Wissen Sie eigentlich, dass Sie bei Ihren technischen & organisatorischen Maßnahmen einige wichtige Punkte beachten müssen?

Ja, auch hier stellt die DSGVO leider Ansprüche an Ihr Unternehmen!

Doch keine Panik, mit unserem Beitrag bekommen Sie alle wichtigen Informationen, die Sie in Bezug auf Ihre TOMs beachten müssen kurz zusammengefasst.

In Ihrem Kopf bildet sich nun ein großes Fragezeichen, denn Sie wissen noch gar nicht, was technische & organisatorische Maßnahmen überhaupt sind, oder was Sie bedeuten? Dann sollten Sie schnell einen Blick in unseren Ratgeber Beitrag „Technische & organisatorische Maßnahmen (TOM’s) – Diese 5 Grundlagen sollte jeder darüber wissen!“ werfen.

Die technischen & organisatorischen Maßnahmen spielen eine große Rolle für den Datenschutz in jedem Unternehmen. Deshalb stellt die DSGVO auch einige Anforderungen an Ihre TOMs. Schließlich sollten Ihre personenbezogenen Daten immer ausreichend geschützt sein. Und dafür sind die technischen & organisatorischen Maßnahmen ja zuständig.

Folgende Anforderungen sollten unbedingt erfüllt werden:

Damit Ihre TOMs auch wirklich die Sicherheit der personenbezogenen Daten gewährleisten können, benötigen Sie ein ausreichendes Schutzniveau. Dieses können Sie unter anderem mit einer Risikoanalyse bestimmen. So sollten Sie dabei vorgehen:

1. Risiken identifizieren: Welche Gefahren, die die Sicherheit der Daten gefährden, könnten auftreten?
2. Mögliche Folgen beurteilen: Was wären die Folgen für die Betroffenen, wenn es einen Vorfall mit den personenbezogenen Daten gibt?
3. Eintrittswahrscheinlichkeit beurteilen: Wie wahrscheinlich ist es, dass ein Vorfall, z.B. eine Datenpanne, passiert?
4. Risikowert ermitteln: Welche Risiken sind schwerwiegender, welche eher weniger schlimm?

Weiters sollten Sie mit einbeziehen, wie sensibel Ihre Daten sind. Verarbeiten Sie beispielsweise sehr sensible Daten, benötigen Ihre TOMs ein höheres Schutzniveau.

Haben Sie alle Risiken analysiert, wissen Sie, wo im Unternehmen Sie welche TOMs mit welchem Schutzniveau benötigen!

Ein kurzes Beispiel:

Sie betreiben einen kleinen Blumenladen in einer ländlichen Gegend. Sie verarbeiten den Namen, die Adresse und die Telefonnummer Ihrer Kunden. Diese Daten tragen Sie händisch in abgeheftete Kundenakten ein und bewahren Sie in einem Schrank auf. Es besteht keine hohe Wahrscheinlichkeit für Naturkatastrophen oder kriminelle Vorfälle in Ihrer Umgebung. In diesem Fall wird unter anderem ein mechanisches Türschloss, sowie ein versperrbarer Bereich im Schrank ausreichend sein.

Sind Sie jedoch ein Arzt, angesiedelt in der Innenstadt und verarbeiten Ihre Daten elektronisch, würden diese Maßnahmen nicht ausreichen. Hierbei sollten Sie sogar über eine elektronische Verschlüsselung von Türen und Netzwerken nachdenken.

Der Begriff „Stand der Technik“ ist in der DSGVO nicht genauer definiert. Deshalb stützt sich dieser Punkt vor allem auf logisches Verständnis. Alle Maßnahmen, die Sie treffen, sollten nach heutigem Stand in der Lage sein Ihre Daten ausreichend zu schützen.

Beispielsweise sollten Sie keine veraltete Schutzsoftware für Ihren Firmen-PC verwenden.

Auch dieser Punkt lässt einiges an Interpretationsspielraum offen. Zum leichteren Verständnis kommen wir hier noch einmal auf unser vorheriges Beispiel zurück:

Niemand fordert vom kleinen Blumenladen mit einem monatlichen Umsatz von 5.000 € ein High-Tech Sicherheitssystem für die Eingangstür um 25.000€.

Für ein großes IT-Unternehmen mit einem monatlichen Umsatz von 2 Mio. € ist diese Sicherheitsvorkehrung aber auf jeden Fall denkbar.

Jedoch stehen die Implementierungskosten auch immer in Bezug zum benötigten Schutzniveau.

So sieht es die DSGVO. Und nun einfach erklärt:

Sie sollten regelmäßig feststellen, ob Ihre TOMs noch aktuell sind. Genauer gesagt überprüfen Sie, beispielsweise jährlich, ob Ihre technischen und organisatorischen Maßnahmen noch geeignet sind, um Ihre personenbezogenen Daten zu schützen. Basierend darauf, sollten Sie gegebenenfalls Anpassungen vornehmen. 

Sie denken, es genügt, technische & organisatorische Maßnahmen einzuführen? Falsch gedacht! Es ist auch wichtig diese Maßnahmen zu dokumentieren.

Das ist zwar einerseits sehr aufwendig, eine solche Dokumentation kann nämlich bis zu 300 Seiten lang werden, andererseits ist sie auch sehr hilfreich. Im Falle einer Datenpanne können Sie so immer beweisen, dass Sie Maßnahmen zur Vermeidung solcher Vorfälle getroffen haben.