Technische und organisatorische Maßnahmen (TOM): Art. 32 DSGVO verfolgt einen risikobasierten Ansatz

20.05.2019 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© lassedesignen – stock.adobe.com
Jedes Unternehmen, das personenbezogene Daten verarbeitet, hat angemessene technische und organisatorische Maßnahmen (TOM) zu treffen, um die Betroffenenrechte zu schützen. Zwar war die Durchführung von TOM schon im alten Bundesdatenschutzgesetz (BDSG a. F.) vorgeschrieben, doch mit der DSGVO wurden die Anforderungen verschärft. Eine Gegenüberstellung der verpflichtenden Maßnahmen sowie mögliche Haftungsrisiken.

  1. TOM: Maßnahmen nach BDSG a. F. und Art. 32 DSGVO 
  2. DSGVO: Vor Auswahl der TOM erfolgt eine Risikoabschätzung
  3. Haftungsfalle Nr. 1: Cyber-Security, TOM und die Frage nach der Haftung 
  4. Haftungsfalle Nr. 2: TOM in der Auftragsverarbeitung

TOM: Maßnahmen nach BDSG a. F. und Art. 32 DSGVO 

Vor der Datenschutz-Grundverordnung (DSGVO) basierte die Forderung nach TOM auf § 9 BDSG a. F. zuzügl. Anlage. Die Maßstäbe für die Auswahl geeigneter Maßnahmen waren „Erforderlichkeit“ und „Verhältnismäßigkeit“. Sie orientierten sich zudem an den drei Säulen der IT-Sicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. 

Diese Grundsätze gelten nach wie vor, jedoch stellt die DSGVO weitreichendere Anforderungen an die Auswahl der TOM: Zum einen muss der Verantwortliche im Sinne der DSGVO ein aktives Risikomanagement betreiben, zum anderen sieht das Standard-Datenschutz-Modell (SDM), das von den deutschen Aufsichtsbehörden entwickelt wurde, Gewährleistungsziele vor, die sich nicht eins zu eins mit denen in der Anlage des § 9 BDSG a. F. decken: 

Gewährleistungsziele nach SDM
Maßnahmen nach § 9 BDSG a. F. 
 Datenminimierung   
 Verfügbarkeit   Verfügbarkeitskontrolle 
 Integrität   Eingabekontrolle 
 Vertraulichkeit   Zutrittskontrolle
 Zugangskontrolle
 Zugriffskontrolle
 Weitergabekontrolle 
 Nichtverkettung   Trennungsgebot 
 Transparenz   
 Intervenierbarkeit   
   Auftragskontrolle 

Die Maßnahmen zur Transparenz und Intervenierbarkeit sind in erster Linie organisatorischer Natur, trotzdem liegt der überwiegende Teil der TOM im Bereich der IT-Sicherheit. 

DSGVO: Vor Auswahl der TOM erfolgt eine Risikoabschätzung  

Während Erforderlichkeit und Verhältnismäßigkeit die alten Maßstäbe für die Auswahl der TOM waren, setzt die DSGVO auf einen risikobasierten Ansatz: Auf Grundlage des Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 DSGVO) wägt der Verantwortliche für Datenschutz ab, welche Risiken für die Rechte und Freiheiten des Betroffenen aufgrund der Datenverarbeitung entstehen (könnten). Falls erforderlich nimmt er im Anschluss an diese Abwägung eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vor.

Anhand dieser Risikoabschätzung entscheidet der Verantwortliche, welche TOM umzusetzen sind, um das Risiko für den Betroffenen so gering wie möglich zu halten. Aus diesem risikobasierten Ansatz folgen zwei Schlüsse für die TOM: 

  1. Für verschiedene Verarbeitungen sind unterschiedliche TOM möglich, wenn nicht sogar notwendig. 
  2. Der Datenschutzverantwortliche muss die TOM regelmäßig und systematisch an den Stand der Technik anpassen. Das ist insbesondere bei Verarbeitungen, die gesetzlich über Jahrzehnte vorgeschrieben sind, notwendig. 

TOM dürfen nicht als etwas einmalig Überlegtes verstanden werden, sondern als fortlaufende Pflicht, die sich im ständigen Prozess befindet. Dieser andauernden Herausforderung begegnen Verantwortliche für den Datenschutz, indem sie sich stets über den Stand der Technik informieren und Entwicklungen im Bereich Datenschutz verfolgen. Der „Infodienst Datenschutz für Praktiker“ unterstützt sie bei dieser Aufgabe und informiert nicht nur über die aktuelle Rechtsprechung, sondern bietet gleich Umsetzungshilfen für die Praxis.  

Haftungsfalle Nr. 1: Cyber-Security und TOM 

Der Bereich der IT-Sicherheit gewinnt in Anbetracht der Auswahl von TOM an Bedeutung und sollte von Unternehmen nicht auf die leichte Schulter genommen werden. Es empfiehlt sich, dass der Datenschutzverantwortliche und der IT-Sicherheitsverantwortliche eng zusammenarbeiten, um Cyber-Angriffen vorzugreifen und die Datensicherheit so gut wie möglich zu gewährleisten. 

Neben den rein technischen Angriffen nutzen Cyber-Kriminelle verstärkt social engineering und social hacking, um an sensible personenbezogene Daten heranzukommen. Verläuft so ein Cyber-Angriff erfolgreich, liegt eine Datenschutzverletzung nach Art. 33 DSGVO vor, die in der Regel die Informationspflicht nach Art. 34 DSGVO auslöst.

Hat der Verantwortliche keine TOM ergriffen, die diesen Risiken angemessen entgegenwirken, haftet er für entstandene Schäden, obwohl er den Schaden nicht verursacht hat. Diese Tatsache unterstreicht nicht nur die Bedeutung der TOM, sondern zeigt, wie wichtig es ist, dass Arbeitgeber ihre Mitarbeiter über solche Szenarien und ein korrektes datenschutzrechtliches Verhalten unterrichten

Haftungsfalle Nr. 2: TOM in der Auftragsverarbeitung 

Wer sich nun zurücklehnt, weil er für die Verarbeitung personenbezogener Daten einen Auftragsverarbeiter engagiert hat, geht ebenfalls ein Risiko ein. Denn die DSGVO schreibt in Art. 28 Abs. 1 vor, dass Verantwortliche für den Datenschutz nur mit Auftragsverarbeitern zusammenarbeiten dürfen, die geeignete TOM ergreifen.   

Meist fügt der Auftragnehmer dem Vertrag zur Auftragsverarbeitung ein Verzeichnis der Tätigkeiten bei. Auftraggeber sollten dieses Verzeichnis gründlich prüfen und bei Zweifeln von ihren Prüf- und Kontrollrechten Gebrauch machen. Denn im Schadensfall haftet auch der Auftraggeber wegen Verletzung seiner Prüfpflicht.  

Quelle: „Infodienst Datenschutz für Praktiker“

Mehr zu den Themen: DSGVO