Technisch-Organisatorische Maßnahmen – TOM (Teil 1)

Datenschutzmanagement: Planen – Umsetzen – Überprüfen – Handeln

Die Technisch-Organisatorischen Maßnahmen sind das Rückgrat des Datenschutzes. Ihre ständige Überprüfung findet eingebettet ins Datenschutzmanagementsystem statt.

Kernpunkte sind Gebäude- und IT-Sicherheit. Typische Maßnahmen der Datensicherheit sind speziell in Art. 32 DSGVO beschrieben.

Vieles im Zusammenhang mit TOM stellt sich für Laien kompliziert dar. Sie sollten sich in diesem Fall von ihrem Datenschutzbeauftragten beraten oder Vorlagen erstellen lassen.

 

Datenschutzmanagementsystem

Da Technik und Organisation sich ständig verändern, teils verbessern, müssen diese im Rahmen des Datenschutzmanagementsystems (DSMS) nach Art. 5, Art. 24 Abs. 1 DSGVO vom Verantwortlichen ständig auf dem Laufenden gehalten und den Verhältnissen angepasst werden.

Diese ständige Verbesserung wird mit dem Demingkreis  beschrieben: Planen – Umsetzen – Überprüfen – Handeln (vgl. PDCA-Cyle: Plan – Do – Check – Act).

Wir organisieren das Datenschutzmanagement mit unserer Software kameon PLC - Privacy, Legacy & Compliance.

 

Technische Maßnahmen

Technische Maßnahmen betreffen Geräte oder digitale Anwendungen.

Die einfachste Maßnahme ist: Tür zu. Wenn Sie einen Raum mit personenbezogenen Daten verlassen, sollten Sie den Raum (und im Erdgeschoss das Fenster) immer abschließen. Gleiches gilt für den Rechner. Falls Sie mit anderen im Büro arbeiten und den Platz verlassen, sollten Sie nichts auf dem Tisch liegen lassen und den Bildschirm sperren.

Art. 25 und Erwägungsgrund 78 zu DSGVO schreiben Maßnahmen zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen vor (privacy by design & default). Das ist besonders für Softwarehersteller und andere Dienstleister wichtig, da ihre Leistung in der Regel rechtlich mangelhaft ist, wenn diese Vorgaben nicht erfüllt werden.

Häufige Maßnahmen sind Sicherheitsschlösser, Aktenvernichtung, Pseudonymisierung, Verschlüsselung, ein digitales Rechtemanagement.

 

Organisatorische Maßnahmen

Organisatorische Maßnahmen bilden das menschliche Miteinander im Datenschutz ab.

Erstes Mittel ist hier beispielsweise die Datenschutzbelehrung der Mitarbeiter. Wir bieten Online-Videoschulungen zum Datenschutz über die Software kameon PLC Academy an.

Die Bestellung eines Datenschutzbeauftragten, das Führen des Verarbeitungsverzeichnisses nach Art. 30 DSGVO, die Kontrolle der Datenschutzmaßnahmen oder Anweisungen an Mitarbeiter sind weitere Möglichkeiten.

 

Pflichtmaßnahmen

Die DSGVO sieht bestimmte Maßnahmen immer oder unter bestimmten Voraussetzungen vor. Sie müssen grundsätzlich alle personenbezogenen Daten nach Art. 17 DSGVO irgendwann löschen. Sie müssen ein Verarbeitungsverzeichnis führen. Sie müssen Unterauftragsverarbeiter kontrollieren. Sie müssen unter bestimmten Bedingungen (Art. 37 ff. DSGVO, § 38 BDSG) einen Datenschutzbeauftragten bestellen, unter anderen nach Art. 35  DSGVO eine Datenschutzfolgeabschätzung durchführen.

 

Siehe auch

 

Autor: Florian Thomas Hofmann, Data Privacy Consultant, 10.05.2023

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Data Privacy Legal Consultant

Florian Thomas Hofmann