Geschrieben am 16.01.2020 von:
Dass TOM für „technische und organisatorische Maßnahmen“ steht, dürfte inzwischen bekannt sein. Definiert sind diese in Art. 24 Abs. 1 DS-GVO und Art. 32 DS-GVO. So weit, so gut. Die Herangehensweise bei der Umsetzung stellt aber viele Unternehmen noch vor Probleme. Man braucht das richtige Handwerkszeug, um damit umgehen zu können. Hier kommt unser Freund TOM wieder ins Spiel, denn er kennt die Methoden.
Maßnahmen reloaded
Eine kleine Erinnerung: Die zu treffenden Maßnahmen lassen sich in 2 Kategorien unterteilen. Die technischen Maßnahmen sind solche, die Einfluss auf die eigentliche Verarbeitung der Daten haben: Verschlüsselung, Firewall, Backup, USV usw. Die organisatorischen Maßnahmen beeinflussen die Rahmenbedingungen der technischen Verarbeitung: Schulungen, Vertraulichkeitsverpflichtungen, Vier-Augen-Prinzip usw.
Die verantwortliche Stelle hat ein Ermessen bei der Auswahl der geeigneten Maßnahmen. Dabei werden die Kriterien „Stand der Technik“, Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen sowie Art, Umfang, Umstände und Zweck der Verarbeitung berücksichtigt. Daraus folgt, dass jedes Unternehmen seinen eigenen, angepassten Maßnahmenkatalog entwickeln muss. So wird man bei Großunternehmen mit vielen Standorten ganz andere Maßnahmen vorfinden als bei einer Werbeagentur um die Ecke.
Die Maßnahmen müssen für die stattfindenden Verarbeitungen ein angemessenes Schutzniveau herstellen und auch dauerhaft angepasst und aktualisiert werden.
ZAWAS: Za-WAS?
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat einen Leitfaden entwickelt, der bei der Auswahl und Umsetzung von TOM helfen kann. Die Abkürzung ZAWAS steht dabei für einen Prozess zur Auswahl angemessener Sicherungsmaßnahmen, der aus 8 Schritten besteht:
- Verarbeitungstätigkeit beschreiben: Zwecke, Daten, Ablauf der Verarbeitung
- Rechtliche Grundlagen prüfen: zulässige Rechtsgrundlage, Einhaltung der Grundsätze der DS-GVO
- Strukturanalyse durchführen: zu schützende Objekte der Verarbeitungstätigkeit und deren Beziehung zueinander
- Risiken identifizieren und Schadenswerte einschätzen: Ereignisse, die zu einem Schaden führen können sowie Schadenswert des Risikos anhand der Eintrittswahrscheinlichkeit und der Schwere des Risikos
- Maßnahmen auswählen: geeignete Maßnahmen, um die identifizierten Risiken einzudämmen
- Restrisiko bewerten: Restrisiken nach Implementierung der Maßnahmen nach Ziffer 5, eventuell Bestimmung neuer Maßnahmen oder Anpassung an den Verarbeitungsprozess
- Maßnahmen konsolidieren: alle Maßnahmen werden als Einheit betrachtet
- Maßnahmen realisieren: Aufgaben und Verantwortlichkeiten, Priorisieren von Maßnahmen und anschließende Umsetzung
Weitere Informationen zu ZAWAS finden Sie natürlich im Internet: https://www.lfd.niedersachsen.de/