Dokumentationspflichten (DSGVO) / 3 Technische und organisatorische Maßnahmen (TOM)

Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung

• des Stands der Technik,
• der Implementierungskosten,
• der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
• der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen

die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.

Abwägung

Damit hat eine Abwägung unter Berücksichtigung des möglichen Schadens für den Betroffenen, des jeweiligen Stands der Technik und des Aufwands zu erfolgen. Der Stand der Technik kann sich im Laufe der Zeit verändern. Es muss also regelmäßig geprüft werden, ob fortschrittlichere Verfahren zum Schutz personenbezogener Daten zur Verfügung stehen, die ein höheres Schutzniveau bieten und in der Praxis inzwischen als Standard erprobt sind. Werden Schwachstellen oder Sicherheitslücken festgestellt, ist unmittelbar darauf zu reagieren. Personenbezogene Daten sind nicht unendlich stark zu schützen, wenn die Maßnahmen dafür wirtschaftlich unangemessen aufwendig ausfallen würden. Zu prüfen ist auch, ob eine technische Maßnahme, deren Angemessenheit fraglich ist, durch eine organisatorische Regelung ersetzt oder ergänzt werden kann.

Wohnungsunternehmen

In der Regel werden bei Wohnungsunternehmen nur im Rahmen der Lohn- und Gehaltsabrechnung und bei Dividendenausschüttungen besondere Kategorien personenbezogener Daten verarbeitet, nämlich die Kirchenzugehörigkeit. Für diese Daten besteht ein erhöhter Schutzbedarf. Dennoch sollten die technischen und organisatorischen Maßnahmen so flexibel gestaltet sein, dass sie auch auf neue Anforderungen und Gefahren angepasst werden können, z. B. auf die Erhebung von Gesundheitsdaten (Erhebung des Impfstatus von Mitarbeitern). Bei den ganz überwiegenden Verarbeitungen in Wohnungsunternehmen besteht nur ein normaler Schutzbedarf. So werden zwar bei der Neuvermietung einer Wohnung von Wohnungsunternehmen zahlreiche personenbezogene Daten von den Interessenten erhoben, um den passenden Mieter für eine Wohnung zu finden. Die erhobenen Daten stellen jedoch i. d. R. keine besonders schützenswerten Daten dar.

3.1 Schutzziele

Durch die technischen und organisatorischen Maßnahmen sollen dauerhaft die Schutzziele

• Vertraulichkeit (Schutz vor unberechtigtem Zugriff),
• Integrität (keine unbefugte Änderung),
• Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität),
• Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen oder bei hoher Beanspruchung) und
• rasche Wiederherstellung der Verfügbarkeit und des Zugangs auch bei einem physischen oder technischen Zwischenfall im Zusammenhang mit der Verarbeitung personenbezogener Daten

erreicht werden.

3.2 Konkrete Anforderungen an die Ausgestaltung technischer und organisatorischer Maßnahmen

Während die DSGVO eher allgemein von den Schutzzielen spricht, wird im BDSG in den Absätzen 2 und 3 des § 64 BDSG konkretisiert, wie diese Ziele in Bezug auf die IT-Anlagen erreicht werden sollen. Zwar ist § 64 BDSG nur für Justiz und Polizei anzuwenden, doch ergeben sich daraus auch Hinweise, wie die technischen und organisatorischen Maßnahmen in anderen Bereichen zu gestalten sind. Im Folgenden wird deshalb anhand der Anforderungen des § 64 BDSG die konkrete Ausgestaltung der technischen und organisatorischen Maßnahmen dargestellt. Dabei werden auch Formulierungshilfen zur Dokumentation gegeben.

Die besten Konzepte für technische und organisatorische Maßnahmen bleiben wirkungslos, wenn die Mitarbeiter die Maßnahmen unterlaufen oder durch Unachtsamkeit Sicherheitslücken insbesondere für Angreifer aus dem Internet schaffen.

Zur Rolle der Mitarbeiter für die Datensicherheit siehe Kap. 3.3 Die Schlüsselrolle der Mitarbeiter für Datenschutz und Datensicherheit.

3.2.1 Pseudonymisierung

Bei der Pseudonymisierung wird ein Name oder ein anderes Identifikationsmerkmal durch ein Kennzeichen ersetzt und damit die Identifizierung des Betroffenen ausgeschlossen oder zumindest erschwert.

Werden Kundendaten zur Analyse des Kundenverhaltens für Zwecke der Marktforschung ausgewertet, werden hierfür die Namen der Kunden nicht benötigt und eine Pseudonymisierung ist sinnvoll und auch erforderlich. In Wohnungsunternehmen wird bei der Bearbeitung der Miet- oder Beschäftigungsverhältnisse der Name der Betroffenen benötigt. Bei einer Pseudonymisierung dieser personenbezogenen Daten würde die laufende Sachbearbeitung unnötig erschwert und verteuert und wäre damit im Verhältnis zum verfolgten Schutzzweck nicht mehr angemessen. Eine Pseudonymisierung ist deshalb bei der laufenden Sachbearbeitung nicht erforderlich und auch nicht sinnvoll.

Praxis-Beispiel

Musterformulierung

"Ei...