Lorenz Moser

Ihr Anschprechspartner

Lorenz Moser

< ZURÜCK

Technische und organisatorische Maßnahmen: risikobasiert!

Maurits Haas | September 18, 2019
Maßnahmen zum technischen und organisatorischen Schutz von Daten sind für jedes Unternehmen sehr bedeutsam.

Selbstverständlich liegt es daher ohnehin in Ihrem ureigensten Interesse, gewisse technische und organisatorische Maßnahmen umzusetzen. Aber auch die Datenschutzgrund¬verordnung (DSVGO) verlangt, dass Sie bei der Verarbeitung personenbezogener Daten Sicherheitsvorkehrungen treffen, um die betroffenen Personen zu schützen.

Kommt es zu einer „Datenpanne“, weil personenbezogene Daten verloren gehen, vernichtet werden oder an nicht befugte Personen offen gelegt werden, müssen Sie als Unternehmer diese Datenpanne an die Datenschutzbehörde melden. Falls eine Gefahr für die betroffenen Personen besteht, müssen Sie auch diese Personen verständigen. Das kann einen großen Imageschaden für Ihr Unternehmen bedeuten, aber nicht nur das: Auch kann die Datenschutzbehörde Ihnen Strafen auferlegen, wenn Sie personenbezogene Daten nicht ausreichend sicher verarbeiten.

Die Bandbreite technischer und organisatorischer Maßnahmen ist vielfältig: Sie reicht von simplen Maßnahmen wie Türschlössern und versperrbaren Aktenschränken bis zur Verschlüsselung Ihrer Datenträger und verschlüsselter Kommunikation.
Wichtig ist, dass Sie das Schutzniveau der technischen und organisatorischen Maßnahmen nicht mit dem Kunden vereinbaren können, sondern sich immer an die gesetzlichen Vorschriften halten müssen.

Auf der anderen Seite können betroffene Personen von Ihnen als Unternehmer aber auch keine spezifischen technischen und organisatorischen Maßnahmen zum Schutz ihrer personenbezogenen Daten verlangen (DSB 13.09.2018, DSB-D123.070/0005-DSB/2018).
Welche Maßnahmen Sie treffen müssen, wird risikobasiert beurteilt, d.h. wenn Sie ein „datenintensives Unternehmen“ oder ein Gesundheitsdienstleister sind, müssen Sie sehr viel stärkere technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten setzen als etwa ein technologiefernes Kleinunternehmen.

Für alle Unternehmen gilt allerdings, dass die technischen und organisatorischen Maßnahmen dokumentiert werden müssen.

Sie sind auch bereits als Teil des Verarbeitungsverzeichnisses anzugeben und können daher von der Datenschutzbehörde leicht abgefragt werden.
dsvGO! hilft Ihnen bei der Dokumentation der technischen und organisatorischen Maßnahmen anhand der mittlerweile üblichen Einteilung nach Maßnahmen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle.

Der Nutzer kann die in seinem Unternehmen angewendeten technischen und organisatorischen Maßnahmen im dsvGO!-Tool einfach aus einer Liste mit Vorschlägen aussuchen und selbst ergänzen. Die Liste mit technischen und organisatorischen Maßnahmen kann als eigenes Dokument dem Verarbeitungsverzeichnis beigelegt werden.