Datenschutzmanagement: Planen – Umsetzen – Überprüfen – Handeln
Die Technisch-Organisatorischen Maßnahmen sind das Rückgrat des Datenschutzes. Ihre ständige Überprüfung findet eingebettet ins Datenschutzmanagementsystem statt.
Kernpunkte sind Gebäude- und IT-Sicherheit. Typische Maßnahmen der Datensicherheit sind speziell in Art. 32 DSGVO beschrieben.
Vieles im Zusammenhang mit TOM stellt sich für Laien kompliziert dar. Sie sollten sich in diesem Fall von ihrem Datenschutzbeauftragten beraten oder Vorlagen erstellen lassen.
Datenschutzmanagementsystem
Da Technik und Organisation sich ständig verändern, teils verbessern, müssen diese im Rahmen des Datenschutzmanagementsystems (DSMS) nach Art. 5, Art. 24 Abs. 1 DSGVO vom Verantwortlichen ständig auf dem Laufenden gehalten und den Verhältnissen angepasst werden.
Diese ständige Verbesserung wird mit dem Demingkreis beschrieben: Planen – Umsetzen – Überprüfen – Handeln (vgl. PDCA-Cyle: Plan – Do – Check – Act).
Wir organisieren das Datenschutzmanagement mit unserer Software kameon PLC - Privacy, Legacy & Compliance.
Technische Maßnahmen
Technische Maßnahmen betreffen Geräte oder digitale Anwendungen.
Die einfachste Maßnahme ist: Tür zu. Wenn Sie einen Raum mit personenbezogenen Daten verlassen, sollten Sie den Raum (und im Erdgeschoss das Fenster) immer abschließen. Gleiches gilt für den Rechner. Falls Sie mit anderen im Büro arbeiten und den Platz verlassen, sollten Sie nichts auf dem Tisch liegen lassen und den Bildschirm sperren.
Art. 25 und Erwägungsgrund 78 zu DSGVO schreiben Maßnahmen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen vor (privacy by design & default). Das ist besonders für Softwarehersteller und andere Dienstleister wichtig, da ihre Leistung in der Regel rechtlich mangelhaft ist, wenn diese Vorgaben nicht erfüllt werden.
Häufige Maßnahmen sind Sicherheitsschlösser, Aktenvernichtung, Pseudonymisierung, Verschlüsselung, ein digitales Rechtemanagement.
Organisatorische Maßnahmen
Organisatorische Maßnahmen bilden das menschliche Miteinander im Datenschutz ab.
Erstes Mittel ist hier beispielsweise die Datenschutzbelehrung der Mitarbeiter. Wir bieten Online-Videoschulungen zum Datenschutz über die Software kameon PLC Academy an.
Die Bestellung eines Datenschutzbeauftragten, das Führen des Verarbeitungsverzeichnisses nach Art. 30 DSGVO, die Kontrolle der Datenschutzmaßnahmen oder Anweisungen an Mitarbeiter sind weitere Möglichkeiten.
Pflichtmaßnahmen
Die DSGVO sieht bestimmte Maßnahmen immer oder unter bestimmten Voraussetzungen vor. Sie müssen grundsätzlich alle personenbezogenen Daten nach Art. 17 DSGVO irgendwann löschen. Sie müssen ein Verarbeitungsverzeichnis führen. Sie müssen Unterauftragsverarbeiter kontrollieren. Sie müssen unter bestimmten Bedingungen (Art. 37 ff. DSGVO, § 38 BDSG) einen Datenschutzbeauftragten bestellen, unter anderen nach Art. 35 DSGVO eine Datenschutzfolgeabschätzung durchführen.
Siehe auch
-
Technisch-Organisatorische Maßnahmen – TOM (Teil 2): Risikoanalyse, Verhältnismäßigkeit und Maßnahmenkataloge
-
Optimale Auftragsverarbeitung: Rechenschaftspflicht, DSK-Prüfkriterien, TOM – Geht das einfacher?
-
Einzelbeispiel: Rechtmäßiger Einsatz von Videoüberwachung
Autor: Florian Thomas Hofmann, Data Privacy Consultant, 10.05.2023
