Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Die Technischen und organisatorischen Maßnahmen

Unternehmen sind verpflichtet, bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen zu treffen, um den Datenschutz zu gewährleisten.

Diese Maßnahmen waren bereits nach dem Bundesdatenschutzgesetz (BDSG) erforderlich und müssen nach der DSGVO neu angepasst werden.

In diesem Beitrag erfahren Sie, was technische und organisatorische Maßnahmen sind und wie diese im Unternehmen umgesetzt werden können, um sich nicht der Gefahr von Sanktionen durch die Aufsichtsbehörden auszusetzen.

Was sind Technische und organisatorische Maßnahmen?

Technische Maßnahmen sind all jene, welche sich physisch umsetzen lassen, etwa durch bauliche Maßnahmenwie Alarmanlagen oder durch Soft- und Hardwarevorgaben wie etwa passwortgeschützte Benutzerkonten. Die technischen Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang selbst.

Organisatorische Maßnahmen dagegen betreffen Regeln, Vorgaben und Handlungsanweisungen, mit welchen Mitarbeiter zur Einhaltung des Datenschutzes angehalten werden. Diese beziehen sich auf den äußeren Ablauf bzw. die äußeren Rahmenbedingungen des Datenverarbeitungsvorgangs.

Welche Maßnahmen sind geeignet?

Im Wesentlichen sollen nach den Anforderungen der DSGVO personenbezogene Daten vor einem Zugriff durch unberechtigte Dritte oder vor versehentlicher Löschung geschützt werden. Um dies zu verhindern verlangt die DSGVO, dass mit den getroffenen Maßnahmen ein angemessenes Schutzniveau bei der Datenverarbeitung sichergestellt wird.

Welche Maßnahmen hierzu geeignet sind, richtet sich nach dem Stand der Technik, den Implementierungskosten und den konkreten Risiken. Dabei muss berücksichtigt werden, dass je höher das Risiko der Datenverarbeitung ist (z.B. wenn besonders sensible Daten verarbeitet werden), umso höher auch die Implementierungskosten sein können.

Was bedeutet „Stand der Technik“?

Der Stand der Technik ist ein unbestimmter Rechtsbegriff. Gemeint damit sind die bekannten und etablierten Maßnahmen, die auf dem Markt verfügbar sind. Im Online-Handel ist der Einsatz von SSL-Zertifikaten zur verschlüsselten Übertragung von personenbezogenen Daten etwa bei Bestellformularen oder Login-Seiten etabliert und daher zwingend einzusetzen. Da der Stand der Technik sich in einem steten Wandel befindet, sind Unternehmen aufgerufen, sich hier regelmäßig auf dem Laufenden zu halten.

Müssen die Maßnahmen verpflichtend getroffen werden?

Grundsätzlich gilt, dass alle technischen und organisatorischen Maßnahmen zwar möglich aber nicht obligatorisch sind. Welche konkreten Maßnahmen zum Schutz der Daten ergriffen werden können, liegt also im Ermessen des Unternehmens. Wie bisher gilt, dass nur solche Maßnahmen umzusetzen sind, die auch verhältnismäßig sind. Entscheidend ist, dass die Summe der getroffenen Maßnahmen einem der Verarbeitung angemessenen Datenschutzniveau entspricht.

Welche Maßnahmen können getroffen werden?

Die DSGVO gibt verschiedene Beispielkategorien vor, die dazu geeignet sein können, ein angemessenes Datenschutzniveau zu gewährleisten. Folgende Kategorien werden dabei unterschieden:

  • Pseudonomysierung und Verschlüsselung personenbezogener Daten (Ersteres z.B. durch das Versehen mit einem nicht personenbezogenen Namen oder einer Nummer)

 

  • Vertraulichkeit

Es soll verhindert werden, dass es zu einer unbefugten oder unrechtmäßigen Verarbeitung der Daten kommt. Dies kann z.B. durch bauliche Maßnahmen oder Zugangskontrollen geschehen.

 

  • Verfügbarkeit und Belastbarkeit

Um die Daten bzw. Datenverarbeitungssysteme verfügbar und belastbar zu halten, sind sie bestmöglich gegen innere und äußere Einflüsse wie z.B. Stromausfall, Blitzeinschlag oder auch Sabotageakte zu schützen. Hierzu zählen Maßnahmen wie abgesicherte Stromanschlüsse oder Blitzableiter insbesondere in Serverräumen.

 

  • Integrität

Es soll verhindert werden, dass Daten unbeabsichtigt geändert oder zerstört werden können (z.B. durch Virenscanner, Firewalls, Software-Updates).

 

  • Wiederherstellung von Daten nach Zwischenfall

Die Verfügbarkeit der Daten und den Zugang zu Ihnen nach einem physischen oder psychischen Zwischenfall kann z.B. durch geeignete Back-up-Systeme, Notstromversorgung oder gespiegelte Datenbanken wiederhergestellt werden.

 

  • Überprüfung, Bewertung und Evaluierung

Es muss regelmäßig überprüft werden, ob die Maßnahmen ihren Zweck noch erfüllen oder ob technische Fortschritte oder neu entstandene Risiken veränderte oder neue Maßnahmen erfordern. Hierzu sind etwa regelmäßige intern oder extern protokollierte Prüfungen oder Evaluierungen durch Betroffene oder Nutzer sinnvoll.

 

Welche Folgen drohen, wenn kein angemessenes Schutzniveau erreicht wird?

Entsprechen die getroffenen technischen und organisatorischen Maßnahmen keinem angemessenen Schutzniveau, drohen hohe Bußgelder durch die Aufsichtsbehörden, die bis zu 10 Millionen Euro bzw. bis zu 2% des gesamten Jahresumsatzes des Unternehmens betragen können.

Fazit

Unternehmen sollten  ihre bestehenden Maßnahmen, die sie zum Schutz sowohl ihre eigenen als der verarbeiteten Daten im Einsatz haben, überprüfen und analysieren, ob weitere Maßnahmen zur Abdeckung der neuen Schutzkategorien der DSGVO notwendig sind. Der konkrete Anpassungsbedarf hängt davon ab, wie gut das Unternehmen bereits im Bereich der technischen und organisatorischen Maßnahmen aufgestellt ist.


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO
Die Datenschutz Grundverordnung kommt
Stichtag 25. Mai 2018

92% haben die DSGVO noch nicht umgesetzt. Ihnen drohen teure Abmahnungen, Bußgelder bis zu 20 Mio. Euro und Ärger mit Ihren Kunden.

Handeln Sie jetzt!

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com