Geschrieben am 31.07.2019 von:
Es gibt Begriffe, die im Bereich Datenschutz immer wieder auftauchen: Einwilligung, Datenschutzerklärung, Auftragsverarbeitung oder berechtigtes Interesse. Jeder Datenschutzbeauftragte hat täglich hiermit zu tun und als Betroffener kann man mit diesen Begriffen auch etwas anfangen. Aber wer oder was ist eigentlich dieser TOM, der im Rahmen von Verträgen mit Dienstleistern oder auch im eigenen Büro immer wieder genannt wird?
Datenschutz ist Persönlichkeitsrechtsschutz
Datenschutz ist Persönlichkeitsrechtsschutz – so viel ist schon seit dem Volkszählungsurteil aus dem Jahr 1983 klar. Das Bundesverfassungsgericht hatte damals entschieden, dass jeder das Recht hat, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu entscheiden. Auch sollen wir durch den Umgang mit unseren personenbezogenen Daten nicht beeinträchtigt werden. Dieses Recht auf informationelle Selbstbestimmung ist auch heute noch der Ursprung der datenschutzrechtlichen Bestimmungen in Deutschland.
Nun dürfte jedem klar sein, dass der Schutz vor einer Beeinträchtigung auch irgendwie umgesetzt und gewährleistet werden muss. Persönlichkeitsrechtsschutz kann nur erreicht werden, wenn auch entsprechende Maßnahmen gegen Missbrauch, unbefugte Kenntnisnahme, Verlust oder Manipulation ergriffen werden. Und genau an dieser Stelle kommt TOM ins Spiel.
Es geht nicht ohne Datensicherheit
Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss es angemessene technische und organisatorische Maßnahmen zum Schutz dieser Daten treffen (TOM). Diese Verpflichtung ergab sich bereits aus dem alten Bundesdatenschutzgesetz und findet sich heute in Art. 32 DS-GVO wieder. Es muss sichergestellt werden, dass nur befugte Mitarbeiter die Räumlichkeiten betreten und in das Netzwerk gelangen können. Bei der Aufgabenerfüllung muss darauf geachtet werden, dass jeder Mitarbeiter nur auf die für ihn relevanten Daten zugreifen kann. Transportwege müssen gesichert und Daten vor Zerstörung bewahrt werden.
Je nachdem, wie sensibel die verarbeiteten Daten sind, müssen die ergriffenen Maßnahmen ausgewählt werden. Der Serverraum in einem Krankenhaus ist z.B. anders abzusichern als der Serverraum in einem Handwerksbetrieb. Sämtliche Maßnahmen sind nachvollziehbar zu dokumentieren, um gegenüber der Aufsichtsbehörde ein angemessenes Datensicherheitsniveau nachweisen zu können. Diese Dokumentationspflicht trifft jedes Unternehmen – egal wie groß und unabhängig davon, ob ein Datenschutzbeauftragter benannt werden muss.
Prüfung des Auftragsverarbeiters
TOM tritt an einer weiteren Stelle in Erscheinung bzw. er glänzt häufig mit Abwesenheit. Wenn ein Unternehmen bestimmte Dienstleister beauftragt, handelt es sich um einen Fall der sogenannten Auftragsverarbeitung. Ein Auftragsverarbeiter erfüllt Aufgaben, die eigentlich dem verantwortlichen Unternehmen selbst obliegen und ist absolut weisungsabhängig in Bezug auf die verarbeiteten personenbezogenen Daten. Typische Fälle einer Auftragsverarbeitung sind Aktenvernichter, IT-Dienstleister, Rechenzentren, Cloud-Softwareanbieter, externe Abrechnungsdienstleister oder auch Webseitenadministratoren.
In all diesen Fällen muss vor Beauftragung des Dienstleisters ein Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO geschlossen werden. Zusätzlich muss der Vertragspartner im Hinblick auf dessen getroffene technische und organisatorische Maßnahmen geprüft und positiv bewertet werden. Ansonsten kann eine Beauftragung nicht erfolgen, ohne dass der Verantwortliche einen Bußgeldtatbestand verwirklicht. Und obwohl die Datenschutz-Grundverordnung seit beinahe einem Jahr wirksam ist, können viele Auftragsverarbeiter immer noch keine TOM Beschreibung vorweisen und zur Prüfung vorlegen. Dabei ist die Auftragsverarbeitung nicht neu. Auch schon unter dem alten Bundesdatenschutzgesetz mussten Auftragsverarbeiter vor ihrem Einsatz geprüft werden. Langfristig werden sich Dienstleister, die diese Anforderungen nicht erfüllen können oder wollen, nicht mehr im Wettbewerb behaupten können.