Die Datenschutz-Grundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG) beinhalten Maßnahmen und Regelungen, welche die Sicherheit im Umgang mit personenbezogenen Daten gewährleisten. Hierzu gehören nicht nur die Erfassung und Verarbeitung, sondern auch die sichere Speicherung personenbezogener Daten. Die beschriebenen Maßnahmen sollen zudem die Funktionalität der einzelnen Prozesse sicherstellen sowie das Risiko von Datenpannen reduzieren.

Welche Maßnahmen werden vorgeschrieben?

Art. 32 Abs. 1 DSGVO verlangt von der datenverarbeitenden Stelle, auf Grundlage einer Risikoanalyse für die die Rechte und Freiheiten der betroffenen Personen ein angemessenes Schutzniveau zu schaffen. Bei der Bildung und Implementierung technischer und organisatorischer Maßnahmen (TOM) ist neben dem Datenschutz auch die wirtschaftliche Angemessenheit zu berücksichtigen. In Art. 32 Abs. 1 litt. a -d DSGVO werden beispielshaft konkrete Maßnahmen sowie zu erreichende Ziele beschrieben. Demnach können Pseudonymisierung und Verschlüsselung als Sicherheitsmaßnahme eingesetzt werden. Die Sicherheitsmaßnahmen sollen nicht nur die personenbezogenen Daten an sich, sondern insbesondere auch die Funktionalität, Verfügbarkeit, Belastbarkeit, Vertraulichkeit sowie Integrität der Systeme und Dienste sicherstellen. Es ist ein betrieblicher Prozess zu schaffen, welcher zur regelmäßigen Überprüfung, Evaluierung und Bewertung der vorhandene technischen und organisatorischen Maßnahmen des Unternehmens führt. Die Sicherheit der Verarbeitung personenbezogener Daten ist dabei das Ziel. Im BDSG, beispielsweise in § 22 BDSG, finden sich ebenfalls einige Ziele im Hinblick auf die technischen und organisatorischen Maßnahmen. Diese decken sich größtenteils mit den Angaben und Beschreibungen der DSGVO.

Gibt es konkrete Beispiele für geeignete Maßnahmen?

Die Entwicklung und Implementierung von technischen und organisatorischen Maßnahmen kann mithilfe von bestehenden Standards erleichtert und vereinheitlicht werden. Die Datenschutzbehörden haben Orientierungshilfen zur Verfügung gestellt.  Auch das IT-Grundschutz-Kompendium oder die Maßnahmen des Standarddatenschutzmodells des Bundesamtes für Bundesamt für Sicherheit in der Informationstechnik (BSI) bieten Anhaltspunkte. Zuletzt ist die ISO 27002 ein international anerkannter Leitfaden und bietet eine gute Hilfestellung.

Welche Sanktionen drohen bei fehlendem Schutzkonzept?

Bei einem datenschutzrechtlichen Verstoß im Bereich der technischen und organisatorischen Maßnahmen liegt jedenfalls ein Verstoß gegen die Integrität und Vertraulichkeit vor (Art. 5 Abs. 1 lit. f DSGVO). Solche Verstöße können gem. Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeld geahndet werden. Meist treten Lücken im Schutzkonzept bei konkreten Datenpannen auf, etwa dem Verlust von ungesicherten Daten oder einem Angriff auf die unternehmenseigene IT-Struktur. Die Einführung von TOM sind somit kein Selbstzweck oder nur zur Vermeidung von behördlichen Bußgeldern gedacht; ihr vorrangiges Ziel ist die Gewährleistung eines ungestörten Betriebsablaufs.

Sie benötigen Unterstützung bei der Umsetzung? Wir stehen Ihnen gerne mit Rat und Tat zur Seite. Weitere Informationen und Kontaktmöglichkeiten finden Sie unter https://kajo-datenschutz.de

Pin It on Pinterest

Share This