Die "angemessenen technischen und organisatorischen Maßnahmen", die die DSGVO vorschreibt, helfen dabei, die Sicherheit personenbezogener Daten zu gewährleisten, wie z.B. technische Sicherheitsvorkehrungen gegen Datenpannen oder Cyberangriffe. Diese Maßnahmen sollten auf Anfrage der Datenschutzbehörden zur Verfügung stehen und regelmäßig überprüft werden.
Zusammengefasst sind technische und organisatorische Maßnahmen die Funktionen, Prozesse, Kontrollen, Systeme, Verfahren und Maßnahmen, die zum Schutz und zur Sicherheit der von einer Organisation verarbeiteten personenbezogenen Daten getroffen werden. Ihr Datenschutzbeauftragter unterstützt Sie bei der Auswahl und Dokumentation der richtigen TOMs.
Die vom Unternehmen geschaffenen Maßnahmen stehen in direktem Zusammenhang mit dem Umfang, der Größe und den Aktivitäten und müssen sich an Art und Umfang der verarbeiteten personenbezogenen Daten orientieren. Der Umfang der technischen und organisatorischen Maßnahmen der DSGVO ist breit gefächert und reicht von Beurteilungskriterien wie Schwachstellenscans und Risikomanagement bis hin zu Firewalls, der Verwendung sicherer Passwörter und der Sorgfaltspflicht gegenüber Dritten.
Welche Maßnahmen sollten Sie berücksichtigen und umsetzen?
Abhängig von der Größe Ihres Unternehmens und den durchgeführten Verarbeitungstätigkeiten gibt es ein breites Spektrum an technischen und organisatorischen Maßnahmen, die helfen können, personenbezogene Daten zu sichern und zu schützen.
Die Erstellung von Informationssicherheitsrichtlinien ist ein wesentlicher Bestandteil Ihrer organisatorischen Maßnahmen und kann von einer Informationssicherheitsrichtlinie für kleine, nicht komplexe Organisationen bis hin zu einer ganzen Reihe an Richtlinien reichen:
- Bring your own device (BYOD)
- Clean Desk Policy
- Zugriffskontrolle
- Passwörter & Verschlüsselung
- Sichere Entsorgung von Dokumenten
- Business Continuity Plan/Disaster Recovery
- Fernzugriff
Woher kommt die Anforderung für technische und organisatorische Maßnahmen?
Unter Erwägungsgrund 78, "Angemessene technische und organisatorische Maßnahmen", werden die Anforderungen an die TOMs spezifiziert:
„Zum Schutz der […] Personen ist es erforderlich, dass geeignete technische und organisatorische Maßnahmen getroffen werden, damit die Anforderungen dieser Verordnung erfüllt werden.
Um die Einhaltung dieser Verordnung nachweisen zu können, sollte der Verantwortliche interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) Genüge tun.
Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, personenbezogene Daten so schnell wie möglich pseudonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Verarbeitung personenbezogener Daten zu überwachen, und der Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern.
In Bezug auf Entwicklung, Gestaltung, Auswahl und Nutzung von Anwendungen, Diensten und Produkten, die entweder auf der Verarbeitung von personenbezogenen Daten beruhen oder zur Erfüllung ihrer Aufgaben personenbezogene Daten verarbeiten, sollten die Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen und unter gebührender Berücksichtigung des Stands der Technik sicherzustellen, dass die Verantwortlichen und die Verarbeiter in der Lage sind, ihren Datenschutzpflichten nachzukommen.
Den Grundsätzen des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen sollte auch bei öffentlichen Ausschreibungen Rechnung getragen werden.“
Sicherheitsmaßnahmen
Das Sicherheitsprinzip geht darüber hinaus, wie Sie Informationen speichern oder übermitteln. Jeder Aspekt der Verarbeitung Ihrer personenbezogenen Daten wird abgedeckt, nicht nur die Cybersicherheit. Das bedeutet, dass die Sicherheitsmaßnahmen, die Sie ergreifen, darauf abzielen sollten, sicherzustellen, dass
- die Daten nur von den Personen eingesehen, verändert, offengelegt oder gelöscht werden können, die Sie dazu autorisiert haben (Zugriffs- und Berechtigungskonzept)
- die in Ihrem Besitz befindlichen Daten in Bezug auf den Grund ihrer Verarbeitung richtig und vollständig sind; und
- die Daten zugänglich und nutzbar bleiben, d.h. wenn personenbezogene Daten versehentlich verloren gehen, verändert oder zerstört werden, sollten Sie in der Lage sein, sie wiederherzustellen und so Schaden oder Belästigung der betroffenen Personen zu verhindern.
Dies wird als "Vertraulichkeit, Integrität und Verfügbarkeit" bezeichnet und ist Teil Ihrer Verpflichtungen nach der DSGVO.
Erforderliches Maß an Sicherheit
Sie sollten die personenbezogenen Daten, die Sie von Kunden, Mitarbeitern und Geschäftspartnern gespeichert haben, überprüfen, um zu beurteilen, wie nützlich, sensibel oder vertraulich sie sind - sowie den Schaden oder die Beeinträchtigung, die durch eine Kompromittierung der Daten verursacht werden könnten. Sie sollten auch Faktoren wie die folgenden berücksichtigen:
- Art und Umfang der Räumlichkeiten und Computersysteme Ihres Unternehmens;
- die Anzahl Ihrer Mitarbeiter und das Ausmaß, in dem diese Zugang zu personenbezogenen Daten haben.
Die DSGVO definiert nicht direkt, welche Sicherheitsmaßnahmen Sie ergreifen müssen. Sie verlangt von Ihnen aber ein Sicherheitsniveau, das den Risiken, die Ihre Verarbeitung mit sich bringt, "angemessen" ist. Sie müssen dies im Zusammenhang mit dem Stand der Technik und den Kosten der Implementierung sowie der Art, dem Umfang, dem Kontext und dem Zweck Ihrer Verarbeitung berücksichtigen.
Dies spiegelt sowohl den risikobasierten Ansatz der GDPR als auch die Tatsache wider, dass es keine "Einheitslösung" für die Informationssicherheit gibt. Es bedeutet, dass das, was für Sie "angemessen" ist, von Ihren eigenen Umständen, der Verarbeitung, die Sie durchführen, und den Risiken, die sie für Ihr Unternehmen darstellt, abhängt.
Welche Faktoren müssen bei der Auswahl technischer und organisatorischer Maßnahmen berücksichtigt werden?
Bei der Auswahl der geeigneten TOM für Ihr Unternehmen müssen Sie bestimmte Kriterien berücksichtigen. Ziel ist es, die TOM so zu wählen, dass ein angemessenes Schutzniveau für die personenbezogenen Daten in Ihrem Unternehmen geschaffen wird.
- Stand der Technik
- Implementierungskosten
- Art der Verarbeitung
- Umfang der Verarbeitung
- Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit des Risikos für die Rechte und Freiheiten von Betroffenen
- Schwere des Risikos für die Rechte und Freiheiten von Betroffenen
Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere Risiken der Verarbeitung zu berücksichtigen, die durch unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten entstehen könnten.