1. Startseite
  2. Themen
  3. THEMEN A-Z
  4. Recht
  5. Internetrecht für Webprojekte
  6. Die technisch-organisatorischen Maßnahmen rechtskonform umsetzen
Recht
Digitalisierung

Die technisch-organisatorischen Maßnahmen rechtskonform umsetzen

08.03.2023
Sharing

  • In Zwischenablage kopiert

Im Rahmen der Erstellung eines AV-Vertrages zwischen dem Verantwortlichen (Auftraggeber) und dem Datenverarbeiter (Auftragnehmer) muss nach Art. 32 DSGVO ein sogenannter TOM (technisch-organisatorische Maßnahmen) erstellt werden.

Art. 32 DSGVO verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter, zur Herstellung der Datensicherheit geeignete technische und organisatorische Maßnahmen zu ergreifen. Hier werden auch die für die Datensicherheit zentralen Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste beschrieben. Darüber hinaus zählt Art. 32 DSGVO weitere Maßnahmen zum Schutz personenbezogener Daten auf. ZU diesen zählen zum Beispiel:

  • die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten (soweit möglich),
  • eine rasche Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall
  • sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Sind bestimmte Verarbeitungen besonders risikoträchtig, muss im Vorfeld eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

Beispiele für technisch Maßnahmen nach der DSGVO

Begrifflich beziehen sich technisch Maßnahmen regelmäßig auf Hard-, Software- und Netzwerk-Komponenten, die für die Datenverarbeitung genutzt und herangezogen werden. Technische Maßnahmen sorgen für die Sicherheit der eingesetzten IT-Systeme und für deren äußere Absicherung. Maßnahmen sind z.B.

  • der Einsatz von Firewalls,
  • die Erstellung von Protokollen (Logfiles) sowie
  • Vorgaben für die Passwortvergabe und -komplexität.

Daneben können es aber auch Maßnahmen zur Sicherung der Datenverarbeitungsanlagen sein, wie z.B. Zugangsbeschränkungen, Gebäudesicherheit durch Alarmanlagen, Fenster- oder Türsicherungen.

Beispiele für organisatorische Maßnahmen nach der DSGVO

Organisatorische Maßnahmen zielen auf Betriebsabläufe und Sicherheitsstrukturen in einer Organisation ab. Es handelt sich somit um alle nichttechnischen Maßnahmen, mit denen die Datensicherheit erreicht werden soll. Beispiele sind z.B.

  • Mitarbeiter*innenschulungen im Datenschutz,
  • Vertraulichkeitsverpflichtungen der Mitarbeitenden,
  • das Vier-Augen-Prinzip oder
  • die Aufstellung von Berechtigungskonzepten.

Umsetzungshilfen

Eine umfangreiche Übersicht von technischen und organisatorischen Good Practice Maßnahmen bietet eine Checkliste des Bayerischen Landesamt für Datenschutzaufsicht.

Weitere Informationen erhalten Sie auch bei der Stiftung Datenschutz.
Am Ende der Seite können Sie auch eine Exceltabelle mit Vorschlägen für TOM herunterladen (4. Reiter).

Links
Checkliste des Bayerischen Landesamt für Datenschutzaufsicht
Praxisratgeber technische & organisatorische Maßnahmen