Technische und organisatorische Maßnahmen
Praxisratgeber
Was sind technische und organisatorische Maßnahmen?
Die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) bezieht sich auf alle Maßnahmen, welche zum Schutz der personenbezogenen Daten und zur Sicherheit der Verarbeitung getroffen wurden.
Die Maßnahmen müssen entsprechend der jeweiligen Datenverarbeitung angemessen sein. Daher sind verschiedene Faktoren zu berücksichtigen, unter anderem das Risiko für den Betroffenen.
Ein Verein sollte allgemeine Maßnahmen etablieren, welche als Basisschutz für jegliche Datenverarbeitung gelten. Bei Bedarf müssen bei der Auswahl der TOMs aber auch spezielle Anforderungen oder Umstände berücksichtigt werden. Spezielle Anforderungen können z.B. ein anderer Standort, der Einsatz eines bestimmten Dienstleisters, eine ganz bestimmte Verarbeitung oder ein Gesetz sein.
Eine Liste von konkreten, verpflichtenden technischen oder organisatorischen Maßnahmen gibt die Datenschutzgrundverordnung (DSGVO) nicht vor. Dennoch gibt es sehr viele Informationen und Muster-Checklisten welche sich z.B. am Stand der Technik und Best-Practice-Ansätzen orientieren.
Was beinhalten solche Maßnahmen?
Zum einen sollen die Daten geschützt werden und zum anderen soll die Datenverarbeitung sicher und verantwortlich erfolgen. In den Begriffsbestimmungen unter Artikel 4 DSGVO findet sich leider keine Begriffsbestimmung zu „technischen und organisatorischen Maßnahmen“. Dennoch weist die DSGVO an mehreren Stellen auf die Notwendigkeit solcher Maßnahmen hin.
Sicherheit der Verarbeitung
Art. 32 Abs. 1 DSGVO
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Hieraus wird deutlich, dass man bei der Wahl der Maßnahmen diverse Faktoren berücksichtigen muss. Leider enthält die DSGVO selbst keine Vorgaben zu konkreten Maßnahmen, sondern nur die Ziele dieser Maßnahmen in abstrakter Form. Dies kann zu Unsicherheiten bei der Auswahl von zu treffenden Maßnahmen führen.
Zusätzlich hierzu beinhaltet Art. 25 DSGVO Vorgaben zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Hier liegt der Fokus darauf, dass technische und organisatorische Maßnahmen bereits bei der Auswahl von Mitteln (wie z.B. digitalen Tools) mit bedacht werden müssen. Später zu sagen, dass die Software bestimmte Datenschutzfunktionen, wie eine differenzierte Berechtigungsvergabe oder das Löschen einzelner Datensätze, nicht unterstützt, ist daher keine Option.
Umgekehrt definiert Art.4 Nr.12 DSGVO die "Verletzung des Schutzes personenbezogener Daten" als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zum unbefugten Zugang zu personenbezogenen Daten führt beziehungsweise zu deren unbefugter Offenlegung. Hieraus wird also ersichtlich, was durch die Auswahl von technischen und organisatorischen Maßnahmen vermieden werden soll. Eine solche Verletzung des Schutzes kann neben der eigentlichen aktiven Verarbeitung auch bei einer Übermittlung (und Transport) oder bei einer Speicherung (Ruhezustand, Archiv, Back-up) auftreten.
Zusammengefasst soll die Sicherheit der Verarbeitung einen Schutz der Daten gewährleisten. Die Sicherheit der Verarbeitung konkretisiert sich in den technischen und organisatorischen Maßnahmen, welche vom Verein getroffen wurden.
Was sind die Ziele der Maßnahmen?
Das übergeordnete Ziel der Maßnahmen ist die Gewährleistung der Vertraulichkeit, der Integrität, der Verfügbarkeit von personenbezogenen Daten und der Belastbarkeit von datenverarbeitenden Systemen und Anwendungen.
Durch die getroffenen Maßnahmen soll eine Vernichtung, ein Verlust, eine Veränderung, aber auch die unbefugte Offenlegung oder ein unbefugter Zugriff auf personenbezogene Daten möglichst verhindert werden.
Einen hundertprozentigen Schutz zu erreichen ist schwierig und oftmals gar nicht möglich. Dennoch können die getroffenen Maßnahmen die Gewährleistung des Schutzes der Verarbeitung und der Daten erheblich unterstützen. Und genau hierzu verpflichtet die DSGVO – einen angemessenen Schutz zu erreichen.
Was ist der Unterschied zwischen technischen Maßnahmen und organisatorischen Maßnahmen?
Technische Maßnahmen sind geeignet, um die Gewährleistung des Schutzes der Verarbeitung und der Daten durch physische und IT-technische Maßnahmen zu unterstützen.
Physische Maßnahmen sind zum Beispiel:
- ein Zaun,
- eine Schranke,
- ein Pförtner / Empfangstresen,
- ein Schlüssel,
- ein abschließbarer Aktenschrank,
- eine Alarmanlage,
- eine Videokamera,
- eine elektronische Eingangskontrolle,
- oder ein Serverschrank.
Daneben spielt die Sicherheitstechnik der Informationstechnologie (IT-Sicherheit) mit ihren nicht-physischen Aspekten eine immer größere Rolle. Zudem werden immer mehr relevante Daten in Cloud-Umgebungen gespeichert. Das hat zur Folge, dass auch die Sicherheitsmaßnahmen mit „umziehen“ oder sich ändern, weil im herkömmlichen Büro kaum noch Daten vorhanden sind.
Sicherheitstechniken aus dem Bereich der Informationstechnik sind zum Beispiel:
- ein Benutzerkonto,
- eine technische Passworterzwingung,
- eine technische Sicherheitsabfrage,
- ein Logging (Protokolldateien von Dateizugriffen oder Einlasskontrollen),
- Methoden zur Zwei-Faktor-Authentifizierung,
- oder eine biometrische Benutzeridentifikation.
In Abgrenzung zu technischen Maßnahmen sollen organisatorische Maßnahmen die Gewährleistung des Schutzes der Verarbeitung und der Daten durch Anweisungen und Vorgaben unterstützen. Das sind in der Regel Dokumente wie Richtlinien, Anweisungen oder Verpflichtungserklärungen. Aber auch Datenschutzschulungen, Prozessanleitungen und Anwendungsschulungen zu einer konkreten Software oder eine externe Datenschutzberatung gehören dazu.
Da viele Vereine keine eigenen Büroräumlichkeiten unterhalten und der Einsatz privater Computer eher die Regel als die Ausnahme ist, sind organisatorische Maßnahmen im Vereinskontext besonders relevant. Denn im Gegensatz zu einem Unternehmen, welches seinen Beschäftigten alle Arbeitsmittel stellt, kann der Verein auf den privaten Computern von Mitarbeitenden und Aktiven technische Maßnahmen nicht immer durchsetzen. In diesem Fall kann der Verein auf organisatorische Maßnahmen zurückgreifen und konkrete Anweisungen geben.
In welcher Form sollten TOMs dokumentiert werden?
TOMs machen nur dann Sinn, wenn sie in einem direkten oder indirekten Zusammenhang mit einer Datenverarbeitung stehen. Außerdem sollen bei der Auswahl von zu treffenden Maßnahmen weitere Faktoren berücksichtigt werden.
Bei der Erstellung berücksichtigt werden sollen:
- der Stand der Technik
- die Implementierungskosten
- Art und Umfang der Verarbeitung
- Zwecke der Verarbeitung
- und auch das Risiko, welches für einen Betroffenen besteht und eintreffen könnte.
Da viele Faktoren berücksichtigt werden sollen, gibt es auch nicht DIE EINE Liste der TOMs, welche für alle passt. Vermeiden Sie daher die Erstellung oder das reine Kopieren einer Liste der TOMs, welche nicht auf Ihren Verein zutreffen.
Besser ist es, die technischen und organisatorischen Maßnahmen für jede der Verarbeitungstätigkeiten Ihres Vereins zu notieren. Art. 30 DSGVO schreibt dies im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten auch so vor. Gemeinsame Maßnahmen, wie die Gegebenheiten der Dateiablage des Vereins, kann man natürlich auch an zentraler Stelle notieren und bei den einzelnen Verarbeitungstätigkeiten notieren. Unsere Vorlage für ein Verzeichnis der Verarbeitungstätigkeiten (siehe unten), sieht daher sowohl eine Spalte bei den einzelnen Verarbeitungstätigkeiten, als auch ein Tabellenblatt für allgemeine Maßnahmen vor.
Kann ich nicht einfach eine Checkliste abhaken?
Die getroffenen Maßnahmen müssen sich auf eine konkrete Datenverarbeitung beziehen und unter Berücksichtigung verschiedener Faktoren getroffen werden. Die DSGVO macht außerdem keine Angaben dazu, WELCHE Maßnahmen getroffen werden sollen und WIE diese umgesetzt werden sollen. Aus diesem Grunde stehen sehr viele unterschiedliche Informationen und Checklisten von verschiedenen Anbietern im Internet zur Verfügung.
Auch die Form der Darstellung von TOMs bleibt offen zu gestalten. Sie können eine Tabelle erstellen, eine Fließtextform wählen oder die Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten (VVT) mit aufführen.
Wichtig ist in jedem Fall, dass die Maßnahmen auf die konkreten Tätigkeiten und Gegebenheiten Ihrer Organisation abgestimmt sind. Daher können bestehende Checklisten immer nur als Beispiel und Muster dienen, aber eine individuelle Befassung mit dem Thema niemals ersetzen.
Mustervorlage Verarbeitungsverzeichnis
Beispielhafte Maßnahmen
Wir haben aus verschiedenen Quellen recherchiert und daraus einen Vorschlag für mögliche technische und organisatorische Maßnahmen erstellt. Die beispielhaften Maßnahmen stehen Ihnen als Teil unserer Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten zur Verfügung.
Lade hier die Vorlage als xlsx-Datei herunter.
Je höher das Risiko, desto „höher“ die zu treffenden Maßnahmen.
Es ist zu Beginn gar nicht so einfach, ein Risiko gleich zu erkennen. Größere Unternehmen gehen hier nach einer festgelegten Methodik vor, die an dieser Stelle aber den Rahmen sprengen würde. Stellen Sie sich die einfache Frage, was passieren könnte, wenn die jeweiligen personenbezogenen Daten eines Betroffenen offengelegt werden würden, in falsche Hände gelangen oder auf einmal nicht mehr verfügbar wären.
Beispiel:
Nachfolgend erläutern wir die Herleitung eines Risikos für eine betroffene Person am Beispiel eines E-Mail-Verteilers:
Mit der Verarbeitung „E-Mail-Verteiler“ kann die Aussendung eines Newsletters des örtlichen Schachvereins mit den neuesten Schachknobelrätsel oder die Aussendung einer Einladung mit einem Dokumenten-Anhang zur Jahresversammlung an die Mitglieder eines politischen Vereins gemeint sein.
Der Newsletter eines Schachvereins beinhaltet in aller Regel ein eher geringes Risiko für den Betroffenen. Denn die Kenntnis der Mitgliedschaft in einem Schachverein dürfte als ein eher geringes Risiko gesehen werden. Anders stellt es sich bei der Mitgliedschaft in einem politischen Verein oder einer Selbsthilfegruppe zu gesundheitlichen Themen dar.
Für die Verarbeitung wurden folgende Szenarien identifiziert:
- Falsche, veraltete E-Mail-Adresse des Mitgliedes
- Falscher Verteiler aus Auswahlliste
- Komplett falscher E-Mail-Adressat/Empfänger
- Für alle Empfänger sichtbare E-Mail-Adressen durch falsche Nutzung der Mail-Adressierungsoptionen (Empfänger, cc, bcc)
- Versehentliche falsche Anhänge mit Listen aller Mitglieder mit diversen personenbezogenen Daten (Adressliste mit Kontodaten, Geburtsdaten, etc.)
- Unbefugter Zugriff auf versendete E-Mails mit allen Kontakt-E-Mail-Adressen
Sollte eines oder mehrere der Szenarien eintreffen, könnten sich Folgeszenarien ergeben:
- Offenlegung der E-Mail-Adresse
- Offenlegung der Mitgliedzugehörigkeit
- Offenlegung weiterer personenbezogener Daten
- Offenlegung nur an Vereinsmitglieder und/oder auch an Dritte
Daraus resultieren Risiken für den Betroffenen:
- Ungewollter Verlust der Vertraulichkeit der E-Mail-Adresse, Missbrauch
- Möglicher Missbrauch einer Information – je nach Satzung
- Mögliche Diskriminierung, Anfeindungen – je nach Satzung, Inhalt und Adressatenkreis
Merke:
Bereits die Mitgliedschaft in einem politischen Verein oder das Abonnieren des Newsletters einer Selbsthilfegruppe kann eine „besondere Kategorie“ von Daten gemäß Art.9 DSGVO darstellen (Politische Meinung, Gesundheitsdaten) und bedarf eines höheren Schutzes und einer genaueren Abwägung. Vereine aus diesen Bereichen sollten daher zusätzliche Maßnahmen treffen.
Weiterführende Informationen
- Good Practice bei technischen und organisatorischen Maßnahmen (LDA Bayern)
- Technische und organisatorische Maßnahmen zur Umsetzung des Datenschutzes bei Heimarbeit (LDA Brandenburg)
- Datenschutz im Verein nach der DSGVO (LDI NRW)
- Dokumentation der Sicherheit (TLfDI)
- Kurzpapier Nr. 18 zum Risiko für betroffene Personen (DSK)
- Standarddatenschutzmodell zur Unterstützung einer risikoadäquaten Auswahl und rechtlicher Bewertung von TOMs (BfDI)
Aufzeichnung des Webinar "Vereinsdaten schützen mit technisch-organisatorischen Maßnahmen" zum Nachschauen
Autorin des Beitrags: Kirstin Vedder