Was sind die technische und organisatorische Maßnahmen nach der DSGVO?

Art. 32 DSGVO legt die Anforderungen an technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten fest. Diese Maßnahmen sollen die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten sicherstellen.

Anforderungen gemäß Art. 32 Abs. 1 DSGVO

Art. 32 Abs. 1 DSGVO bestimmt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind folgende Faktoren zu berücksichtigen:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Beispiele für solche Maßnahmen sind:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten bei physischen oder technischen Zwischenfällen
  • Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen

Erforderlichkeit der Maßnahmen

Die Maßnahmen müssen erforderlich und verhältnismäßig sein, um die angestrebten Schutzziele zu erreichen. Der Grundsatz der Verhältnismäßigkeit besagt, dass die Maßnahmen zur Erreichung der Schutzziele geeignet sein müssen. Wenn mehrere geeignete Maßnahmen zur Auswahl stehen, darf das Unternehmen frei wählen, wobei technikbasierte Maßnahmen oft bevorzugt werden.

Die Auswahl der Maßnahmen hängt auch von der Größe und Leistungsfähigkeit des Unternehmens ab. Kosten dürfen jedoch nicht als alleiniger Grund für den Verzicht auf notwendige Maßnahmen dienen. Bei begrenzten Ressourcen müssen Datenverarbeitungsverfahren so gestaltet werden, dass ein angemessenes Schutzniveau erreicht wird, auch wenn dies bedeutet, auf besonders risikoreiche Datenverarbeitungen zu verzichten.

Risikoabhängige Schutzmaßnahmen

Die geeigneten TOM müssen sich nach der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen richten. Die Risikobewertung basiert auf der Art der Daten und der konkreten Verarbeitungsprozesse. Hier sind unter anderem folgende Kriterien maßgeblich. So gilt grundsätzlich, dass besonders sensible Daten, etwa Daten, über den Gesundheitszustand einer Person, auch besonders geschützt werden müssen. Gleichsam gilt auch, dass personenbezogene Daten, mit hoher Attraktivität für unbefugte Dritte besonders geschützt werden müssen – etwa personenbezogene Daten mit hoher wirtschaftlicher Bedeutung, die aufgrund dessen dem Risiko der Wirtschaftsspionage unterliegen.

Eine Klassifizierung der Daten nach Sensibilität und Gefährdungspotenzial hilft, die TOM gezielt anzupassen und die höchste Gefährdungsstufe als Maßstab anzulegen.

Schulungen als organisatorische Sicherheitsmaßnahme

Ein zentraler Bestandteil der TOM sind Schulungen der Beschäftigten. Menschliche Fehler sind eine häufige Fehlerquelle bei der Datenverarbeitung. Regelmäßige Schulungen können die Fehlergefahr minimieren und die Sensibilität der Mitarbeitenden für Datenschutzbelange erhöhen. Schulungen helfen, die Mitarbeiter über aktuelle Bedrohungen und Sicherheitspraktiken zu informieren und somit die Sicherheit der personenbezogenen Daten nachhaltig zu gewährleisten.