Organisatorische Maßnahmen – was ist das?

Fachbeitrag

Die DSGVO sieht in Artikel 32 vor, dass jeder Verantwortliche und jeder Auftragsverarbeiter technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten etablieren muss. Technische Maßnahmen sind recht eindeutig. Doch was verbirgt sich hinter den organisatorischen Maßnahmen?

Der gesetzliche Hintergrund

Artikel 32 DSGVO steht im Abschnitt über Verantwortliche und Auftragsverarbeiter. Es geht hier also um die Pflichten der Personen oder Unternehmen, die personenbezogenen Daten in irgendeiner Art verarbeiten. Der Begriff der organisatorischen Maßnahmen ist ansonsten nicht weiter definiert. Nach Artikel 24 DSGVO müssen geeignete technische und organisatorische Maßnahmen eingesetzt werden, um die gesetzmäßige Verarbeitung nach der DSGVO zu gewährleisten. Auch Artikel 25 DSGVO sieht in Absatz 2 vor, dass technische und organisatorische Maßnahmen getroffen werden, um datenschutzfreundliche Voreinstellungen in technischen Lösungen zu ermöglichen.

Im Erwägungsgrund 78 zur DSGVO, der die Erwägungen des Gesetzgebers ausführt, werden weitere, aber auch eher allgemeine Ausführungen dazu gemacht, warum technische und organisatorische Maßnahmen wichtig für die Einhaltung der Vorgaben der DSGVO sind. Die Begriffe werden aber ohne weitere Definition vorausgesetzt.

Unterscheidung technische vs. organisatorische Maßnahmen

Die Begriffe werden in der DSGVO immer im Doppelpack genannt. Doch es handelt sich um zwei unterschiedliche Dinge. Was ist der Unterschied?

Technik regelt

Einfacher zu definieren sind technische Maßnahmen. Hierbei handelt es sich um alle Maßnahmen, die auf einer technischen Ebene automatisiert passieren. Ganz plakatives Beispiel ist eine Verschlüsselung, diese verpackt die Daten mittels eines technischen Verfahrens, so, dass sie nicht mehr direkt verständlich sind. Auch die Begrenzung des Zugriffs bei einem Rollenkonzept ist technisch. Wer die entsprechende Rolle oder Berechtigung nicht hat, wird technisch daran gehindert, auf die beschränkten Inhalte zuzugreifen. Oder eine technisch abgesicherte Passwort-Richtlinie: Wenn ein Passwort nur gesetzt werden kann, wenn es mindestens 12 Zeichen hat und aus verschiedenen Zeichenkategorien besteht, ist auch das eine technische Maßnahme. Hier greift das Ideal der „privacy by design“.

Organisation, von organisieren

Die organisatorischen Maßnahmen hingegen sollen die Arbeit der Menschen organisieren, die mit den Datenverarbeitungen betraut sind. Es geht hier also um Arbeitsanweisungen, Zuständigkeitsregeln und Schulungen. Hier sorgt nicht die Technik dafür, dass die Regeln eingehalten werden – sondern jede*r Mitarbeiter*in ist gefragt, die geltenden Regeln und Richtlinien einzuhalten.

Wer denkt sich das aus?

Die Konzeption von solchen Arbeitsanweisungen ist mal leichter, mal schwerer. Zuständig ist hier im Unternehmen immer die Geschäftsführung – nur diese hat das Recht, den Beschäftigten entsprechende Weisungen zu erteilen. Diese kann und sollte sich natürlich fachkundigen Rat holen. Der interne oder externe Datenschutzbeauftragte kann genauso Input geben wie die ggf. betroffenen Mitarbeiter*innen oder Fachabteilungen, die wissen, welche Fallstricke in der Praxis lauern. Eine ausführliche Richtlinie kann auch ein längerer Formulierungsprozess sein.

Betriebsrat und Betriebsvereinbarung

In Unternehmen mit Betriebsrat kann es hilfreich oder sogar erforderlich sein, bestimmte Anweisungen oder Regelungen in Form einer Betriebsvereinbarung zu erlassen. Hierbei ist dann die Einbeziehung des Betriebsrats Pflicht. Dafür sind in gewissem Umfang auch Dinge möglich, die als alleinige Weisung des Arbeitgebers problematisch bis unmöglich wären – durch die Einbeziehung des Betriebsrates erweitert sich der Spielraum etwas. Doch gerade in diesem Bereich sollte fachkundiger Rat im Datenschutz hinzugezogen werden. Eine wirksame und der DSGVO entsprechende Betriebsvereinbarung ist nicht trivial.

Harte Schule des Lebens: Schulungen

Zentral für die Einbeziehung aller Beschäftigten in den Datenschutz sind Schulungen. Nur so kann der Informationsstand gleichmäßig erhöht werden, das Bewusstsein für Probleme geschärft. Schulungen helfen auch an die ggf. bei der Einarbeitung das letzte Mal überflogenen Richtlinien zum Umgang mit personenbezogenen Daten zu erinnern. Papier ist geduldig, aber um organisatorischen Maßnahmen zum Erfolg zu verhelfen, braucht es die Präsenz in den Köpfen der Belegschaft.

Schulungen sind damit eines der essenziellsten Kernstücke der organisatorischen Maßnahmen, da sie in besonderem Maß darüber entscheiden, ob andere organisatorische Maßnahmen tatsächlich eingehalten und umgesetzt werden. Wie bereits erläutert: Die technischen Maßnahmen sorgen automatisch für ihre eigene Einhaltung. Eine Richtlinie zur korrekten Erfassung und Zuordnung von Kundendaten erfordert aber, dass alle betroffenen Mitarbeiter*innen sie in jedem neuen Fall wieder aktiv anwenden. Je seltener etwas im Unternehmen passiert, desto weniger übt es sich im Alltag ein. Umso wichtiger ist es im Zweifel für die Schulung, da im Ernstfall das Wissen trotz seltener Übung vorhanden sein muss. Gerade der Umgang mit Datenschutzvorfällen ist daher als Inhalt regelmäßiger Schulungen zu empfehlen.

Richtlinien und Dienstanweisungen

Der Löwenanteil dessen, was als organisatorische Maßnahmen sichtbar wird, sind Richtlinien und andere Arten von Arbeits- oder Dienstanweisungen. Diese können alle Felder betreffen, in denen personenbezogene Daten verarbeitet werden. Vom Umgang mit Kundendaten über die Handlungsanweisungen für die Personalabteilung bis hin zur IT-Richtlinie für den Umgang mit dienstlichen Geräten. Auch Dinge wie ein Notfallhandbuch, in dem bei einem größeren Betriebsausfall Zuständigkeiten und Informationsketten geregelt sind, zählen in diesen Bereich. Die Sicherheit von personenbezogenen Daten zieht sich in alle Ecken und Abteilungen der meisten Unternehmen, sodass ein erheblicher Teil dessen, was an alltäglichen Dienstanweisungen existiert, zumindest in einem Teilbereich auch Bezüge zum Datenschutz hat. Insofern sollte dieser Aspekt bei neuen Dienstanweisungen und Richtlinien bei der Erstellung bedacht werden. Die Hinzuziehung des Datenschutzbeauftragten ist nie falsch.

Zusammenspiel von Technik und Organisation

Viele organisatorische Richtlinien – wie z.B. eine IT-Richtlinie – bleiben nicht ausschließlich organisatorisch, sondern beschreiben auch die technischen Maßnahmen. Eine Passwortrichtlinie beschreibt, welche Vorgaben für die Passwörter existieren, diese Vorgaben sind zudem technisch abgesichert, sodass ein weniger sicheres Passwort vom System abgelehnt wird. Das Zusammenspiel ist aber wichtig. Nur durch die Erläuterung, welche Kriterien vorliegen, kann ein Mitarbeiter verstehen, warum das Passwort abgelehnt wird und ein korrektes festlegen.

Ein ganz besonderes Zusammenspiel entsteht für die Mitarbeiter*innen im Unternehmen, die die technischen Maßnahmen umsetzen müssen. Insbesondere IT-Mitarbeiter*innen müssen die organisatorischen Anweisungen in technische Lösungen übersetzen, die diese Anweisungen automatisch umsetzen oder Verstöße verhindern. Wichtig ist dabei, dass technische Begrenzungen natürlich bei der Entstehung der Richtlinien beachtet werden sollten. Technische Schwierigkeiten oder unpraktisch erscheinende Abläufe dürfen aber nicht zum Weglassen von Maßnahmen führen. Ist eine organisatorische Maßnahme beschlossen, so sollten alle Beteiligten sich bemühen, ihr zur vollen Wirksamkeit zu verhelfen.

Harmonie der TOMs

Entscheidend ist letztlich immer der Faktor Mensch. Nur wenn alle wissen, warum und wie sie sich an datenschutzrechtliche Maßnahmen halten sollen, ist es ihnen überhaupt möglich, sich datenschutzkonform zu verhalten.

Die DSGVO vertraut allerdings zu Recht nicht darauf, dass sich immer alle Personen absolut gesetzeskonform verhalten wollen. Daher sind technische Maßnahmen vorgeschrieben, und nur durch das Zusammenspiel von beidem kommen gesetzeskonforme Lösungen zusammen. Organisatorische Maßnahmen alleine können nicht wirksam genug überwacht werden, technische Maßnahmen alleine können nicht alle notwendigen Situationen abdecken.

Im harmonischen Zusammenspiel von technischen und organisatorischen Maßnahmen kann dann der Schutz der personenbezogenen Daten umfassend gelebt werden. Das erhöht die Sicherheit aller und macht bei der nächsten Prüfung durch die Aufsichtsbehörde einen wunderbaren Eindruck. Alles nur eine Frage der Organisation.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.