Technische und organisatorische Maßnahmen – Sicherheit der Verarbeitung nach DS-GVO / DSG-EKD

 

Worum geht es?

Die Datenschutz-Grundverordnung (DS-GVO) sowie das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) fordern von Unternehmen geeignete technische und organisatorische Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DS-GVO bzw. § 27 DSG-EKD).

Dabei sind „der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.“

Das schließt unter anderem Folgendes ein:

    • Ist eine Pseudonymisierung und Verschlüsselung personenbezogener (pb) Daten möglich?
    • Vertraulichkeit der pb Daten
    • Integrität der pb Daten
    • Verfügbarkeit und Belastbarkeit der Systeme und Dienste
    • Geeignete Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Was sind die Kontrollarten, an denen sich Unternehmen/soziale Einrichtungen orientieren sollten?

Analog der oben aufgezählten Zuordnung sind Maßnahmen zu treffen, die folgende Kontrollen gewährleisten:

  1. Vertraulichkeit:
    • Zutrittskontrolle (Kein unbefugter Zutritt zu Datenverarbeitungsanlagen)
    • Zugangskontrolle (Keine unbefugte Systembenutzung, Verwendung sicherer Passwörter)
    • Zugriffskontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems)
    • Trennungskontrolle (Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden)
    • Pseudonymisierung (Daten können ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden)
  2. Integrität:
    • Weitergabekontrolle (Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport)
    • Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind)
  1. Verfügbarkeit und Belastbarkeit:
    • Verfügbarkeitskontrolle (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust)
    • Rasche Wiederherstellbarkeit (Datensicherungskonzept, Redundanz)
  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung:

TOM im Zusammenhang mit einer Auftragsverarbeitung

Maßnahmen zur Sicherheit der Verarbeitung (TOM) erlangen bei der Auswahl eines geeigneten und vertrauenswürdigen Dienstleisters (Auftragsverarbeiter) besondere Bedeutung! Zusätzlich zu einer datenschutzrechtlichen Vereinbarung (AV-Vereinbarung) sind sie die ausschlaggebenden Informationen, die eine Auswahl des Dienstleisters überhaupt ermöglichen. Daher sollte der Auftragsverarbeiter bei der Dokumentation der TOM, die er dem Auftraggeber vorab zur Prüfung übermittelt, möglichst keine Fragen offenlassen.

Eine hinreichende Beschreibung der umgesetzten Maßnahmen zur Sicherheit der Verarbeitung kann bereits erfolgsversprechend sein für eine Beauftragung.

Hilfreiche Links:

GDD-Praxishilfe ab S. 21: Anlage Technisch-organisatorische Maßnahmen

Verfasser: Thorsten Jordan, 23.03.2020