Technisch-Organisatorische Maßnahmen – TOM (Teil 2)

Risikoanalyse, Verhältnismäßigkeit und Maßnahmenkataloge

Um die richtigen TOM auszuwählen, müssen Sie Ihr Risikoprofil bestimmen und einzelne Maßnahmen auf ihre Verhältnismäßigkeit prüfen. Es gibt Vorlagen mit Empfehlungen für die meisten Tätigkeiten.

Sie müssen nicht nur ihre eigenen TOM überprüfen, sondern nach Art. 28 DSGVO auch die Ihrer Dienstleister, sogenannte Auftragsdatenverarbeiter, die personenbezogene Daten für Sie verarbeiten.

Vieles im Zusammenhang mit TOM stellt sich für Laien kompliziert dar. Sie sollten sich von Ihrem Datenschutzbeauftragten beraten oder Vorlagen erstellen lassen.

Risikoanalyse

Je nachdem, welche Daten Sie verarbeiten, sollten Sie eine Risikoanalyse durchführen, um festzustellen, welches Schutzniveau die Daten der Betroffenen benötigen. Das Risiko ist die Kombination aus Eintrittswahrscheinlichkeit und Eintrittsschwere. Ein mittelständischer Maschinenbaubetrieb verarbeitet wenige und wenig sensible Daten, während eine Krankenversicherung viele und hoch sensible Daten verarbeitet, deren Bekanntwerden schwere Folgen nach sich ziehen kann.

Art. 4 Nr. 12 DSGVO beschreibt als maßgebliches Risiko eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung, zum unbefugten Zugang oder der Offenlegung personenbezogener Daten führt.

Falls Sie für einen Teilbereich ein hohes Risiko ermitteln, müssen Sie nach Art. 35 DSGVO mit einer Datenschutzfolgeabschätzung versuchen, bessere TOM zu ermitteln, um das Risiko zu verringern. Wenn das Risiko trotzdem hoch bleibt, müssen Sie ggf. Meldung beim Landesdatenschutzbeauftragten erstatten und vielleicht von dieser Verarbeitung ganz absehen.

• Wenn ein mittelständischer Betrieb etwa mit besonderen Gefahren oder Gefahrstoffen konfrontiert ist, verarbeitet er vielleicht mehr Gesundheitsdaten und sollte dieses Verfahren näher beleuchten.

• Wenn Sie eine Videoüberwachung betreiben, sollten Sie immer eine Risikoanalyse durchführen.

• Die DSK hat eine Liste mit Verfahren herausgegeben, für die regelmäßig eine Datenschutzfolgeabschätzung erforderlich ist.

Verhältnismäßigkeitsprüfung

Die TOM müssen zwar immer den neuesten Stand der Technik berücksichtigen, aber nicht immer müssen die höchsten Sicherheitsanforderungen erfüllt werden. Sie müssen nicht mit Kanonen auf Spatzen schießen. Art. 24 Abs. 2 DSGVO stellt klar, dass sie nach dem Prinzip der Verhältnismäßigkeit  ausgewählt werden dürfen und müssen.

Die Verhältnismäßigkeitsprüfung erfordert, dass man für alle Verarbeitungen Zwecke und Mittel klärt und mit möglichen Beeinträchtigungen der Betroffenen und dem eigenen Aufwand ins Verhältnis setzt.

Die Zwecke aus Art. 5 DSGVO sind zum Teil gegenläufig. Das gibt Ihnen Freiheit und hat gegenüber den Aufsichtsbehörden den Vorteil, dass es die eine verbindliche Lösung in der Regel nicht geben kann. Vieles ist möglich. Das Standard-Datenschutzmodell (SDM) gruppiert die gegensätzlichen Anforderungen so:

• Verfügbarkeit ↔ Vertraulichkeit

• Integrität ↔ Intervenierbarkeit

• Transparenz ↔ Nicht-Verkettung

• Datenminimierung

In den meisten Fällen muss diese Prüfung nicht für jeden Fall ausformuliert und dokumentiert werden, wenn sie beispielsweise die Basismaßnahmen umsetzen. Aber je höher das Risiko ist, desto wichtiger ist die Dokumentation. Hauptsächlich jedoch gibt Ihnen die Prüfung Gewissheit, dass sie alles Nötige getan haben. Das mindert Ihr Haftungsrisiko.

Maßnahmenkataloge

Die Maßnahmenkataloge des SDM oder des BSI-Grundschutzkatalogs können dazu dienen, die Mindestanforderungen dessen, was gegenwärtiger Stand der Wissenschaft ist, festzustellen und helfen, nichts zu vergessen.

Bei Anwendung des BSI-Grundschutzkataloges sollte man sich aber bewusst sein, dass es dort primär um Informationssicherheit geht und nicht um Datenschutz. Diese beiden sind zu 95 % deckungsgleich, aber zu 5 % gegenläufig. Während die Informationssicherheit den Betrieb des Unternehmens vor Gefahren schützt, soll der Datenschutz Betroffene vor Übergriffen des Unternehmens bewahren (Siehe dazu auch BSI Grundschutz CON.2)

Wenn für Sie oder Ihre Firma diese Kataloge für den Anfang zu umfangreich erscheinen, können sie klein anfangen. Weil die DSGVO die TOM nicht abschließend vorschreibt und diese sich ständig ändern, gibt es verschiedene Sortierungen der TOM, die Sie für den Einstieg nutzen können. Bitte beachten Sie, dass die meisten Maßnahmen nicht nur einem Zweck der folgenden Maßnahmengruppen dienen können, sondern sehr häufig mehrere Ziele erreichen können.

Anlage zu § 9 BDSG a.F.

Von 2009 bis 2018 (2021) sortierte man die TOM in Deutschland nach der Anlage zum § 9 des alten BDSG in acht Maßnahmengruppen. Rechts ist jeweils eine mögliche Übersetzung ins Englische.

1. Zutrittskontrolle → access

2. Zugangskontrolle → access

3. Zugriffskontrolle → access

4. Weitergabekontrolle → transfer

5. Eingabekontrolle → Input

6. Auftragskontrolle → subprocessors

7. Verfügbarkeitskontrolle → availability

8. Trennungsgebot → purpose limitation

Schon an der etwas holprigen Übersetzung ins Englische kann man erkennen, dass die internationale DSGVO anders strukturiert werden musste, um ein europäisches Verständnis zu gewährleisten. Man hatte zudem seit 2009 dazugelernt und neue Bereiche ergänzt.

Anhang zu EU-Standardvertragsklauseln

Lange hat eine „offizielle“ Strukturierung der TOM für die DSGVO gefehlt, aber mit den EU-Standardvertragsklauseln haben wir seit 2021 einen unverbindlichen Vorschlag des EDSA erhalten. In deren Anhang III lesen wir von 18 Maßnahmengruppen:

1. Pseudonymisierung und Verschlüsselung

2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
   Hier werden in Deutschland gerne die alten Nummern 1 bis 3 (und 7) als Unterpunkte zugeordnet

   a. Zutritt
   b. Zugang
   c. Zugriff
   d. (Verfügbarkeit)

3. Wiederherstellbarkeit nach einem Zwischenfall (Vgl. 7. Verfügbarkeit)

4. Überprüfung der TOM

5. Identifizierung und Autorisierung der Nutzer

6. Datenschutz während der Übermittlung (Vgl. 4. Weitergabekontrolle)

7. Datenschutz während der Speicherung (Vgl. 5. Eingabekontrolle, 8. Trennungsgebot)

8. Physische Sicherheit am Ort der Datenverarbeitung

9. Protokollierung

10. Systemkonfiguration

11. Interne Verwaltung der IT und der IT-Sicherheit

12. Zertifizierung/Qualitätssicherung

13. Datenminimierung

14. Datenqualität

15. Vorratsdatenspeicherung (dieser Punkt wird nur selten gebraucht)

16. Rechenschaftspflicht

17. Datenübertragbarkeit und Löschung

18. Unterauftragsverarbeiter (Vgl. 6. Auftragskontrolle)

Siehe auch

• Technisch-Organisatorische Maßnahmen – TOM (Teil 1): Datenschutzmanagement: Planen – Umsetzen – Überprüfen – Handeln

• Optimale Auftragsverarbeitung: Rechenschaftspflicht, DSK-Prüfkriterien, TOM – Geht das einfacher?

• Datenschutzmanagement | bbg bitbase group

• Stiftung Datenschutz: Technische und organisatorische Maßnahmen

Autor: Florian Thomas Hofmann, Data Privacy Consultant, 12.05.2023