Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen verhindern im Datenschutz den Zugriff Unberechtigter auf personenbezogene Daten. Unberechtigt ist dabei jeder, der die personenbezogenen Daten nicht zur Ausübung seiner Tätigkeit benötigt. Das kann also anders ausgedrückt auch jemand sein, den bestimmte personenbezogenen Daten „nichts angehen“.

Unberechtigte können neben Hackern, Kriminellen, Konkurrenten, Behörden, usw. auch Mitarbeiter sein.

Die DSGVO sieht vor, dass die verantwortliche Stelle geeignete technische und organisatorische Maßnahmen umsetzt, um die Rechte und Freiheiten betroffener Personen zu schützen. (Art. 32 DSGVO)

Das Ausmaß von Maßnahmen ergibt sich dabei aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung personenbezogener Daten. All das muss genauso berücksichtigt werden, wie mögliche Risiken und Eintrittswahrscheinlichkeiten. Am Ende hat es Auswirkungen auf die Wirksamkeit oder Eignung der Maßnahmen.

Beispielsweise setzen hohe Risiken für Betroffene auch hohe Sicherheitsvorkehrungen voraus. Geringere Eintrittswahrscheinlichkeiten könnten demnach auch weniger aufwendige Maßnahmen rechtfertigen.

Das bedeutet zusammengefasst: Man muss sich überlegen, wie man wirksam verhindert, dass Unbefugte Kenntnis von personenbezogenen Daten erlangen. Je nachdem wie hoch das Risiko ist, und um welche personenbezogenen Daten es sich handelt, richtet sich auch die eigentliche Maßnahme. Man wägt also das Risiko ab.

All diese Überlegungen müssen natürlich nachweisbar, also dokumentiert sein.

Immer wieder wird in dem Zusammenhang die Formulierung „ein dem Risiko angemessenes Schutzniveau zu ergreifen“ verwendet. Auch bekannt als risikobaiserter Ansatz.

Bestandteile technischer und organisatorischer Maßnahmen

Die Bestandteile technischer und organisatorischer Maßnahmen sind den „alten Hasen“ der IT als die 8 Gebote der IT Sicherheit bekannt.

(Im Bundesdatenschutzgesetz-alt, also in Zeiten vor der DSGVO, gab es zu den Maßnahmen eine konkrete Liste in der Anlage zu  §9 BDSG)

Die Datenschutz-Grundverordnung hat diese 8 Gebote zwar nicht in gleicher Form übernommen, aber sie tauchen immer wieder direkt, oder indirekt auf.

Wenn man so will, stehen hinter dem Begriff der technischen und organisatorischen Maßnahmen Instrumente zur Erfüllung der Anforderungen an die Datensicherheit. Da die Technik sich permanent weiter entwickelt, unterliegen besonders die technischen Maßnahmen einem ständigen Wandel. Den Begriff „Stand der Technik“ sollten Sie sich in diesem Zusammenhang merken.

Schutzziele bei der Verarbeitung personenbezogener Daten

  • Vertraulichkeit

    personenbezogene Daten müssen vor unberechtigtem Zugriff / unberechtigter Kenntnisnahme geschützt werden

  • Integrität

    die Echtheit personenbezogener Daten muss sichergestellt sein

  • Verfügbarkeit

    ein Vorhandensein personenbezogener Daten muss sichergestellt sein (Verlust vermeiden)

  • Belastbarkeit der Systeme

    Resilienz von Systemen (Fähigkeit nach Störungen den Ausgangszustand herstellen zu können / Leistung oder Systembetrieb trotz interner oder externer Störungen)

Umsetzung technischer und organisatorischer Maßnahmen

  • Zutrittskontrolle

    verhindert physischen Zutritt zu Datenverarbeitungsanlagen, bzw. IT (z.B. abgesperrte Türen)

  • Zugangskontrolle

    verhindern der Nutzung von Datenverarbeitungsanlagen durch Unbefugte (z.B. Passwortschutz)

  • Zugriffskontrolle

    Einschränkung / Verhinderung von Zugriff auf Daten (z.B. durch entsprechende Rechte und Befugnisse)

  • Eingabekontrolle

    nachträgliche Feststellbarkeit, von Eingabe, Veränderung oder Entfernung personenbezogener Daten (Protokollierung / Aufzeichnungen)

  • Auftragskontrolle

    Verarbeitung von Daten nur entsprechend der Weisung des Auftraggebers (z.B. geregelt in Auftragsverarbeitungsvertrag)

  • Trennungskontrolle

    voneinander getrennte Verarbeitung von personenbezogenen Daten bei unterschiedlichen Zwecken

  • Pseudonymisierung

    grundsätzliche Zuordnungsmöglichkeit personenbezogener Daten zu bestimmten Personen mittels „Schlüssel“

  • Anonymisierung

    Zuordnung zu Personen nicht mehr möglich (Personenbezug entfällt)

  • Verschlüsselung

    Umwandlung von „Klartext-“ in „Geheimtextdaten“ – lesbar nur unter Verwendung eines geheimen Schlüssels

  • Datenschutz Managementsystem

    regelmäßige Kontrolle und Verbesserung der getroffenen Maßnahmen um die Sicherheit der Verarbeitung sicherzustellen

konkret benannte technische und organisatorische Maßnahmen

Konkret benannte technischer und organisatorischer Maßnahmen findet man in der DSGVO nur vereinzelt.

Die aufgelisteten Maßnahmen ergeben sich überwiegend indirekt aus den Schutzzielen. Vereinzelt werden im Art. 32 DSGVO aber auch konkrete Maßnahmen durch die Verordnung gefordert. Beispielsweise „Pseudonymisierung und Verschlüsselung“. Der Rest bleibt im Gesetz unkonkret. (Zur Beruhigung: Es ist nicht im Grundsatz ein Glücksspiel herauszufinden, welche Maßnahmen man treffen kann, um die Ziele zu Erfüllen. Mehr dazu in den einzelnen Beiträgen der Maßnahmen.)

Übrigens können technisch und organisatorische Maßnahmen auch für analoge Verarbeitungen angewendet werden.

Senden Sie uns Ihre Nachricht