Eine Basisprüfung für alle Organisationen
Technische und organisatorische Maßnahmen – kurz TOM – stellen unter anderem sicher, wie personenbezogene Daten verarbeitet werden und vor allem wie sichergestellt werden kann, dass diese ausreichend geschützt sind.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Dabei gilt es verschiedene Punkte ausreichend zu beachten, um die Vorgaben der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) ausreichend umzusetzen. Es ist daher sinnvoll in jeder Organisation, egal ob Unternehmen, Schule, Verein, Kanzlei, Praxis oder sonstiges, eine entsprechende Basisprüfung der TOMs vorzunehmen
Schutzbedarf ermitteln
Um zu wissen, welche technischen und organisatorischen Maßnahmen umzusetzen sind, sollte im ersten Schritt ermittelt werden, welcher Schutzbedarf der personenbezogenen Daten vorliegt. Entsprechend der Daten, die verarbeitet werden sollten, müssen die TOMs diesen Grundlagen entsprechen.
Dazu gehören die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten, aber auch sicher zu stellen, dass zum Beispiel personenbezogene Daten nach einem Zwischenfall wiederhergestellt werden können.
Darüber hinaus sollten Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, welche personenbezogene Daten verarbeiten, dauerhaft sichergestellt werden. Dies sollte durch ein geeignetes Verfahren regelmäßig überprüft, bewertet und ggf. angepasst werden.
BLOG-TIPP: TOM NACH DS-GVO – ERSTE SCHRITTE FÜR UNTERNEHMEN IN NRW
BDSG gibt Datenschutzkontrollen vor
Um die technischen und organisatorischen Maßnahmen umzusetzen bzw. zu kontrollieren, sind im Bundesdatenschutzgesetz (BDSG) entsprechende Datenschutzkontrollen festgelegt:
- Zugangskontrolle
- Datenträgerkontrolle
- Speicherkontrolle
- Benutzerkontrolle
- Zugriffskontrolle
- Übertragungskontrolle
- Eingabekontrolle
- Transportkontrolle
- Wiederherstellbarkeit
- Zuverlässigkeit
- Datenintegrität
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennbarkeit
Zugriffe durch Unbefugte verhindern
Die gesetzlichen Vorgaben im Umgang mit dem Datenschutz geben unterschiedliche Kontrollen vor. Dazu gehört auch, dass Unbefugten der Zugang zu den personenbezogenen Daten oder deren Verarbeitung durch ausreichende Maßnahmen verwehrt wird (Zugangskontrolle).
Auch das unbefugte (Aus-)Lesen, Kopieren, Verändern oder Löschen von Datenträgern muss dabei verhindert werden (Datenträgerkontrolle). Mit der Speicherkontrolle soll verhindert werden, das Unbefugte gespeicherte personenbezogene Daten zur Kenntnis nehmen, verändern oder löschen können, oder personenbezogene Daten eingeben können.
Nutzung Automatische Verarbeitungssysteme durch Unbefugte
Durch eine Benutzerkontrolle soll im Datenschutz verhindert werden, dass automatisierte Verarbeitungssysteme mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte genutzt werden können.
Automatische Verarbeitungssysteme müssen durch eine Zugriffskontrolle geschützt sein, damit Berechtigte nur auf Daten Zugriff haben, die auch Ihre Zugangsberechtigung umfassen.
Wo werden personenbezogene Daten übertragen?
Wenn Daten an andere Befugte übermittelt werden, muss genau festgelegt werden, wo diese personenbezogenen Daten übermittelt werden, um diese Übermittlung entsprechend abzusichern (Übertragungskontrolle).
Es muss zu jeder Zeit möglich sein, zu sehen, welche personenbezogenen Daten von wem und zu welchem Zeitpunkt erfasst wurden (Eingabekontrolle).
Achtung beim Transport von Datenträgern
Wenn Datenträger mit personenbezogenen Daten transportiert werden, muss ebenfalls die Vertraulichkeit und Integrität der Daten geschützt werden. Im BDSG spricht man hierbei von Transportkontrolle.
Darüber hinaus muss jederzeit eine Wiederherstellbarkeit der personenbezogenen Daten gewährleistet sein, welche die Zuverlässigkeit aller Funktionen des Systems oder mögliche Meldungen von Fehlermeldungen sicherstellt (Zuverlässigkeit).
Als Datenintegrität versteht man im Datenschutz die Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch die Fehlfunktion eines Systems beschädigt werden können.
Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit im Datenschutz
Bei der Auftragskontrolle soll gewährleistet werden, dass die personenbezogenen Daten nur entsprechend der Weisung des Auftraggebers verarbeitet werden können. Die Verfügbarkeitskontrolle stellt sicher, dass die Daten gegen Zerstörung oder Verlust geschützt sind und die Trennbarkeit soll, sicherstellen, dass personenbezogene Daten die für unterschiedliche Zwecke erhoben wurden, auch getrennt für dies verarbeitet werden können bzw. sollen.
Umsetzung der Basisprüfung der TOMs
Die Umsetzung der verschiedenen technischen und organisatorischen Maßnahmen kann recht komplex sein und umfasst noch mehr als in diesem Text angegeben. Daher macht es Sinn, sollte es gesetzlich nicht sowieso schon notwendig sein, einen (externen) Datenschutzbeauftragten in die Vorgänge zu integrieren.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.