Ob Weltkonzern, mittelständiges Unternehmen, Start-up oder Freelancer: Verantwortliche müssen zum Schutz der Rechte und Freiheiten der Betroffenen ihre Datenverarbeitungen durch „geeignete technische und organisatorische Maßnahmen“ absichern. Bei der konkreten Auswahl der sogenannten „TOM“ besteht ein gewisser Spielraum – das ist Segen und Fluch zugleich: Unbestimmte Rechtsbegriffe wie „geeignete Maßnahmen“ oder „ein dem Risiko angemessenes Schutzniveau“ erschweren Verantwortlichen einzuschätzen, welcher Aufwand konkret erforderlich ist, um datenschutzkonform zu agieren. Wir geben einen Überblick.
Der Inhalt im Überblick
- Die Technischen und organisatorischen Maßnahmen in der DSGVO
- Wie wähle ich geeignete TOM für mein Unternehmen aus?
- Sind technisch organisatorische Maßnahmen abdingbar?
- ZAWAS-Prinzip: Beispiel für Prozessmanagement bei TOM
- Überschneidungen zur Informationssicherheit und der ISO 27001
- Ungenügende technische und organisatorische Maßnahmen führen häufig zu Bußgeldern
- Vorsicht ist besser als Nachsicht
Die Technischen und organisatorischen Maßnahmen in der DSGVO
Nach Erwägungsgrund 78 der DSGVO ist es zum Schutz natürlicher Personen erforderlich, geeignete technische und organisatorische Maßnahmen zu treffen, um die Anforderungen der DSGVO zu erfüllen. Dies leuchtet ein: Die transparenteste Datenschutzerklärung auf der Website eines Unternehmens bringt Nutzern wenig, wenn bei der anschließenden Nutzung des Kontaktformulars ihre Daten ohne größere Hürden durch Dritte abgegriffen werden, weil der Websitebetreiber es versäumt hat, die Eingaben zu verschlüsseln.
Nach Art. 24 DSGVO muss der Verantwortliche TOM umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Die zentrale Vorschrift zu den technischen und organisatorischen Maßnahmen ist Art. 32 DSGVO. Sie verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter zur Herstellung der Datensicherheit, geeignete technische und organisatorische Maßnahmen zu ergreifen. Hier werden auch die für die Datensicherheit zentralen Schutzziele beschrieben: Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Darüber hinaus zählt Art. 32 DSGVO weitere Maßnahmen zum Schutz personenbezogener Daten auf, wie etwa
- die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten soweit möglich,
- eine rasche Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall
- sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Sind bestimmte Verarbeitungen besonders risikoträchtig, muss im Vorfeld eine sog. Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Auch hier spielen die technischen und organisatorischen Maßnahmen eine wichtige Rolle: Nach Art. 35 Abs.7 lit. d DSGVO sind im Rahmen der DSFA die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, zum Schutz personenbezogener Daten zu berücksichtigen. Je höher das Risiko der Verarbeitung, desto strengere Anforderungen sind an die gewählten TOM zu stellen.
Beispiele für technische Maßnahmen nach der DSGVO
Begrifflich beziehen sich technische Maßnahmen regelmäßig auf Hard-, Software- und Netzwerk-Komponenten, die für die Datenverarbeitung genutzt und herangezogen werden. Technische Maßnahmen sorgen für die Sicherheit der eingesetzten IT-Systeme und für deren äußere Absicherung. Maßnahmen sind z.B. die
- Pseudonymisierung und die Verschlüsselung personenbezogener Daten,
- der Einsatz von Firewalls,
- die Erstellung von Protokollen (Logging),
- Vorgaben für die Passwortvergabe und -komplexität.
Daneben können es aber auch Maßnahmen zur Sicherung der Datenverarbeitungsanlagen sein, wie z.B. Gebäudesicherheit durch Alarmanlagen, Fenster- oder Türsicherungen.
Beispiele für organisatorische Maßnahmen nach der DSGVO
Organisatorische Maßnahmen richten sich insbesondere an den Ablauf und die durchführenden Personen. Organisatorische Maßnahmen zielen regelmäßig auf Betriebsabläufe und Sicherheitsstrukturen in einer Organisation. Kurz: Es handelt sich hier um alle nichttechnischen Maßnahmen, mit denen die Datensicherheit erreicht werden soll. Beispiele hierfür wären
- Mitarbeiterschulungen im Datenschutz,
- Vertraulichkeitsverpflichtungen der Mitarbeiter,
- das Vier-Augen-Prinzip oder
- die Aufstellung von Berechtigungskonzepten.
Eine breite Übersicht von technischen und organisatorischen Good Practice Maßnahmen bietet eine Checkliste des Bayerischen Landesamt für Datenschutzaufsicht.
Wie wähle ich geeignete TOM für mein Unternehmen aus?
Grundsätzlich steht Unternehmen bei der Wahl und Zusammenstellung der Maßnahmen ein gewisses Auswahlermessen zu. Doch wie schaffen Sie es, konkret die für Sie „richtigen“ Maßnahmen zusammenzustellen, um bei der Verarbeitung personenbezogener Daten die notwendige Datensicherheit herzustellen? Was müssen Unternehmen bei der Auswahl beachten? Und welche Aspekte dürfen sie mit in den Abwägungsprozess einbeziehen?
Angemessenes Schutzniveau als „Kompass“ für die Auswahl von TOMs
Der zentrale Richtwert hierfür ergibt sich aus Art. 32 Abs.1 DSGVO. Demnach müssen die auszuwählenden Maßnahmen ein „dem Risiko angemessenes Schutzniveau“ gewährleisten. Dies macht es erforderlich, dass der Schutzbedarf der Daten ermittelt und eine Risikoanalyse vorgenommen wird. Art. 32 DSGVO ist Ausdruck des risikobasierten Ansatzes der DSGVO. Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen berücksichtigen.
Der Schaden und die Risikobeurteilung
Ausgangspunkt für jede Überlegung zu TOM wird das potenzielle Risiko und der damit einhergehende Schaden für den Betroffenen sein. Wenn identifiziert ist, welche Folgen eine Datenschutzverletzung für den Betroffenen typischerweise haben kann, lassen sich leichter sinnvolle Maßnahmen zur Reduzierung oder Abwendung der Risiken bestimmen.
Ein Schaden – und damit auch das Risiko – ist dabei grundsätzlich umso höher, je sensibler die Daten des Betroffenen und je schwerwiegender die mögliche Grundrechtsverletzung ist. Besonders sensible Daten im Sinne der DSGVO sind z.B. die so genannten „Art. 9-Daten“, etwa genetische Daten oder Gesundheitsdaten, sowie Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO). Aber auch Daten, die eine Persönlichkeitsanalyse ermöglichen und zur Profilbildung herangezogen werden, sieht die DSGVO als besonders risikoreich an. Darunter fallen z.B. Daten zur Arbeitsleistung, zur wirtschaftlichen Lage, zu persönlichen Vorlieben oder Interessen oder zur Zuverlässigkeit (vgl. EG 75). Gleiches gilt für die Verarbeitung der Daten schutzbedürftiger natürlicher Personen, vor allem von Kindern (vgl. EG 75).
Das Risiko ergibt sich aus
- a) der Schwere des Schadens und
- b) der Wahrscheinlichkeit des Schadenseintritts.
In eine Risikobeurteilung gehen deshalb z.B. auch Überlegungen zur Zahl der Mitarbeiter ein, die Zugriff auf die sensiblen Daten haben, ebenso wie Überlegungen zur Dauer der Speicherung oder zu Beeinträchtigungen für die Persönlichkeitsrechte der Betroffenen, die eine Rufschädigung, einen Identitätsdiebstahl, finanziellen Verlust oder gesellschaftliche Nachteile nach sich ziehen. Die Aufsichtsbehörden haben alles Wesentliche zu diesem Thema in ihrem Kurzpapier Nr.18 zur DSGVO zusammengefasst.
Stand der Technik vs. wirtschaftliche Erwägungen
Art. 32 Abs.1 DSGVO fordert, dass die TOM unter Berücksichtigung des „Standes der Technik“ und ihrer „Implementierungskosten“ gewählt werden. Der Begriff des Standes der Technik findet sich an verschiedenen Stellen in Gesetzen (z.B. § 19 Abs. 4 TTDSG), ist jedoch nicht legaldefiniert. Wir beschäftigten uns in diesem Artikel mit dem Begriff des Standes der Technik. Die DSGVO bringt durch den Verweis auf die Implementierungskosten zum Ausdruck, dass im Rahmen der Abwägung, welche Maßnahme als ausreichend anzusehen ist, auch wirtschaftliche Belange des Verantwortlichen berücksichtigt werden können. Dies betrifft etwa den Fall, bei dem eine Maßnahme nach dem Stand der Technik mit immensen Kosten für den Verantwortlichen verbunden wäre, den potenziellen Kosten jedoch nur ein verhältnismäßig niedriges Risiko für Betroffenen entgegenstünde.
TOM bei Auftragsverarbeitern
Auch bei der Einbindung von Dienstleistern spielen TOM eine wichtige Rolle. Nach Art. 28 Abs.1 DSGVO gilt, dass nur mit solchen Auftragsverarbeitern zusammengearbeitet werden darf, die geeignete TOM einsetzen (sog. Auswahlverantwortlichkeit). Der abzuschließende Auftragsverarbeitungsvertrag sollte daher konkrete Regelungen zu geschuldeten TOM enthalten.
Leider ergibt sich aus der DSGVO nicht auf einen Blick, wann eine Auftragsverarbeitung vorliegt und wann nicht. Hier helfen jedoch die weiterführenden Hinweise der Aufsichtsbehörden. Hilfreich ist hier das FAQ des BayLDA, welches typische Konstellationen zusammenfasst, wann eine Auftragsverarbeitung vorliegt und wann nicht.
Sind technisch organisatorische Maßnahmen abdingbar?
Im Zusammenhang mit technisch und organisatorischen Maßnahmen stellt sich in der Praxis zudem die Frage, ob die beschriebenen Vorgaben in jedem Fall zwingend umzusetzen sind. Andernfalls wäre es denkbar, dass die Beteiligten im Einzelfall abweichende Regelungen auf Einwilligungsbasis treffen wollen, etwa wenn eine Maßnahme eigentlich nach dem Stand der Technik erforderlich und auch angemessen wäre, diese den Verantwortlichen jedoch vor große Herausforderungen stellt und dem Betroffenen die Schutzmaßnahmen egal sind, bzw. er den Verzicht auf diese billigend in Kauf nimmt. Ein Paradebeispiel für eine solche Konstellation ist die E-Mail-Korrespondenz.
Die Antwort auf die Frage ist umstritten. Zumindest der Hamburgische Beauftragte für Datenschutz hält wohl mittlerweile technisch und organisatorische Maßnahmen grundsätzlich für abdingbar. Allerdings nur, wenn davon keine personenbezogenen Daten von Dritten betroffen sind und der Betroffene im Einzelfall freiwillig eingewilligt hat. Wir haben uns mit dieser Thematik eingehend im Artikel „Die Abdingbarkeit von technischen und organisatorischen Maßnahmen“ beschäftigt.
ZAWAS-Prinzip: Beispiel für Prozessmanagement bei TOM
Es ist wichtig, angemessene TOM auszuwählen und zu etablieren. Doch muss man den entsprechenden Vorgang und die technischen und organisatorischen Maßnahmen auch dokumentieren, um seinen Rechenschaftspflichten aus der DSGVO nachzukommen.
Hierfür ist ein Prozessmanagement notwendig. Darunter fällt die Planung, Durchführung, das Controlling sowie die Optimierung von miteinander verbundenen Aufgaben, kurz: Plan-Do-Check-Act oder PDCA.
Ein mögliches Vorgehen hierfür im Kontext der technischen und organisatorischen Maßnahmen hat die niedersächsische Aufsichtsbehörde als Praxishilfe veröffentlicht. Der sog. „Prozess zur Auswahl angemessener Sicherungsmaßnahmen“ („ZAWAS“), den wir im Beitrag „Technische und organisatorische Maßnahmen nach dem ZAWAS-Prinzip“ näher vorstellen.
Überschneidungen zur Informationssicherheit und der ISO 27001
In der DSGVO ist Art. 32 DSGVO logischerweise die Hauptbrücke zur Informationssicherheit. Denn auch hier ist das Ziel, Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Der Unterschied besteht lediglich darin, dass es für die Informationssicherheit unerheblich ist, ob die Informationen einen Personenbezug haben oder nicht. Da die Schutzziele sich gleichen, gleichen oder ähneln sich in den meisten Fällen auch die Maßnahmen, um diese zu erreichen. Daher liegt es nahe, die Sicherheit der Verarbeitung nach Art. 32 DSGVO und die Informationssicherheit im Unternehmen zu verknüpfen.
Dies kann auch schon auf der Ebene des Prozessmanagement geschehen. Für größere Unternehmen bietet das Regelwerk ISO 27001 (Vorgaben für ein Informationssicherheitsmanagementsystem) und die Erweiterung ISO 27701 (Datenschutz-Managementsystem) dafür eine Blaupause.
Ungenügende technische und organisatorische Maßnahmen führen häufig zu Bußgeldern
Nehmen Unternehmen das Thema technische und organisatorische Maßnahmen nicht ernst, kann dies für Betroffene verheerende Folgen haben, etwa wenn durch einen Datenschutzverstoß sensible höchstpersönliche Daten abhandenkommen. Aber auch den Verantwortlichen kann hier Ungemach drohen: Verstöße gegen die Pflicht aus Art. 32 DSGVO, angemessene TOM zu treffen, sind gem. Art. 83 Abs.4 lit. a DSGVO bußgeldbewährt.
Unzureichende oder fehlende technische und organisatorische Maßnahmen führen regelmäßig zu Bußgeldern. 243 von 996 (~25%) der auf enforcementtracker gelisteten Bußgelder beruhen unter anderem (auch) auf einem Verstoß gegen Art. 32 DSGVO.
Erwähnenswerte Bußgelder wegen unzureichenden technischen und organisatorischen Maßnahmen sind:
- 900.000 Euro für unzureichende Maßnahmen, um telefonische Anrufer sicher zu authentifizieren;
- 22 und 20 Millionen Britische Pfund gegen Airline und Hotelkette wegen Verarbeitung durch unbefugte Dritte aufgrund mangelhafter TOM;
- 20.000 Euro für Speicherung von Passwörtern im Klartext;
- 250.000 Euro gegen französischem Schuhhändler, unter anderem wegen unsicherer Aufbewahrung von Passwörtern und Bankdaten.
Vorsicht ist besser als Nachsicht
Das Themenfeld technische und organisatorische Maßnahmen ist ein praxisrelevantes Pflichtthema für alle Verantwortlichen mit dem man sich zwingend auseinandersetzen sollte und das nicht nur wegen möglicher Bußgelder. Nach einer vom Versicherungskonzern Allianz durchgeführten Befragung von Fach- und Führungskräften sehen diese 2022 Cyberattacken als größtes Risiko für deutsche Unternehmen. Um Cyberattacken zu vermeiden oder deren Schaden zu minimieren, helfen nur ausreichende TOM, etwa die regelmäßige Schulung des Personals zu Phishing-Emails, der Einsatz von Pseudonymisierung oder regelmäßige Backups (Stichwort Schutzziel der Verfügbarkeit). Spätestens in einem Fall eines Angriffs zeigt sich: Vorsicht ist immer besser als Nachsicht. Es ist begrüßenswert, dass die DSGVO Verantwortliche und Auftragsverarbeiter zur Vorsicht ermahnt.
Warum „Qual der Wahl“? Für alles gibt es Fachleute, die sich damit auskennen. Ein Jurist baut ja auch kein Haus. Das machen Architekten, Bau-Ingenieure etc. Und genauso gibt es IT-Spezialisten, die IT sicher betreiben können. Und die wissen dann auch, was „Stand der Technik“ ist. Versprochen! :-)
Sehr geehrte Experten für Datenschutz, IT-Sicherheit und IT-Forensik, welch ein intellektuelles Geschwafel. Das können Sie doch besser u. objektiver, oder?
Warum? Ist doch ein toller Beitrag, das Thema ist halt nicht leicht darzustellen.
Mit dem Stand der Technik und den TOMs ist es wie immer in unserer Branche. Drei Leute, vier Meinungen und am Ende ist klar: Es kommt drauf an. Ich vermisse das Schutzziel der Authentizität, im Gesundheitssektor gibt es auch noch die Patientensicherheit und die Behandlungseffektivität als vorgegebene Schutzziele.
Ich finde den Beitrag auch gut. Was hier ja für die IT Sicherheit beschrieben wird, da haben nach meiner Einschätzung die Juristen einfach abgeschrieben, ist ein sogenannten ISMS – Informationssicherheits Management System. Wenn Sie mal die Anforderungen der ISO27001 dazu überfliegen, finden Sie das alles wieder, also diese Prozesse, insbesondere das Risiko Management. Wenn man das aber mal aus Sicht der verantwortlichen Stellen sieht, also einen Friseurladen oder eine Pizzeria – die müssten ja im Grunde alle ein ISO27001 Zertifikate erwerben, um Ihre Kundendaten DSGVO conform zu bearbeiten. Dieser ganze Prozess mit regelmäßiger Überprüfung etc.. muss ja auch dokumentiert werden. Das kann es aber doch nicht sein. Dann kostet Pizza und Frisör demnächst erheblich mehr, weil die Berater und Experten müssen ja auch bezahlt werden. Also ich weiß nicht….. hier stimmt doch was nicht…
So lange bei Staat und Bürger mit zweierlei Maß gemessen wird bezüglich der Konsequenzen bei nicht Einhaltung von Gesetzen und Richtlinien ist das doch alles für die Katz. Weniger relevant wenn jemand Zugriff auf meine pbD vom Pizza-Dienst hat als zum Beispiel den Zugriff auf pbD und Gesundheits/Patientenakten. Der Inhaber der Pizzeria ertrinkt in Kosten für die Umsetzung oder Strafgeldern, das Bundesgesundheitsministerium macht dagegen was es will und ignoriert seit 6 Jahren oder länger die Sicherheitslücken bei der Kartenlieferung, der Verschlüsselung der Daten und macht Privatpersonen die VPN-Boxen die eigentlich in Arztpraxen gehören genauso leicht Zugänglich für jeden wie die Karten…
Der Beitrag ist sehr gut. Nur eine Frage: An welcher Stelle verorten Sie hier das Standarddatenschutzmodell?
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht. Ältere Kommentare beziehen sich auf den vorherigen Beitrag.
Aber warum wollen Sie Maßnahmen „auswählen“ oder „zusammenstellen“? Die Maßnahmen müssen UMGESETZT werden!
…und ihre Wirksamkeit nachvollzogen.