PRIMA // BLOG

Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden - auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.

Welche Bedeutung haben TOMs?

Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, technische und organisatorischer Maßnahmen zum Schutz der Daten und zur Einhaltung des Datenschutzrechts zu implementieren. Dazu gehören Maßnahmen wie:

• Anonymisierung und Verschlüsselung von Daten.
• Sicherstellung der Integrität und Verfügbarkeit von Daten und zugehörigen Systemen.
• Kontinuierliche Überwachung und Bewertung der implementierten Maßnahmen.
  

Ziele der TOMs im Datenschutz

Ziel der TOMs ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.

TOMs im Unternehmenskontext

Mit der DSGVO steigen die Anforderungen an Unternehmen im Bereich des Datenschutzes. Es besteht die Pflicht, alle umgesetzten Schutzmaßnahmen ordnungsgemäß zu dokumentieren. Bei Nichteinhaltung können Unternehmen mit empfindlichen Geldstrafen rechnen.

​Jetzt PRIMA entdecken​

​

Wie lässt sich der Datenschutz durch TOMs verbessern?

• Zutrittskontrolle: Verhindern den unkontrollierten Zugang zu Orten, in denen sich IT-Systemen befinden.
• Zugangskontrolle: Stellt sicher, dass nachvollzogen werden kann, wer Zugang zu IT-Systemen hatte.
• Zugriffskontrolle: Beschränkter stellt sicher, dass nur für autorisierte Personen auf personenbezogene Daten zugreifen können.
• Weitergabekontrolle: Schutz der Daten während der Übertragung.
• Eingabekontrolle: Stellt sicher, dass jeder Dateneingabe nachvollzogen werden kann.
• Auftragskontrolle: Stellt sicher, dass Auftragnehmer nur in kontrollierter Weise mit personenbezogenen Daten umgehen.
• Verfügbarkeitskontrolle: Stellt sicher, dass personenbezogene Daten verfügbar sind und nicht bei IT-Fehlern nicht dauerhaft verloren gehen.
• Trennungsgebot: Stellt sicher, dass personenbezogenen Daten für verschiedene Zwecke getrennt verarbeitet werden.
  

Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.

Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit der DSFA sollen datenschutzrechtliche Gefahren frühzeitig zu erkennen und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.

Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA ist die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt; eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel der DSFA ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.

Wann ist eine DSFA durchzuführen?

Die DSGVO sieht vor, dass eine DSFA immer dann durchgeführt werden muss, wenn Datenverarbeitungsprozesse, insbesondere unter Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten. Artikel 35 DSGVO enthält zudem Regelbeispiele, die die Durchführung einer DSFA verpflichtend machen, wie zum Beispiel die systematische und umfassende Bewertung persönlicher Aspekte oder die Verarbeitung besonderer Datenkategorien. Zudem haben Aufsichtsbehörden sogenannte Positivlisten veröffentlicht, die Verarbeitungsvorgänge enthalten, für die eine DSFA zwingend erforderlich ist.

Wie führt man eine DSFA durch?

Für die richtige Umsetzung gesetzlicher Anforderungen zur Durchführung einer DSFA ist es von entscheidender Bedeutung, Datenverarbeitungsvorgänge, die potenzielle Gefahren bergen, zu identifizieren und dann gründlich zu prüfen. Die DSGVO legt Mindestanforderungen für den Inhalt einer DSFA fest. Dazu gehören eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die betroffenen Personen. Darüber hinaus müssen Unternehmen Maßnahmen zur Risikominderung und zur Gewährleistung des Datenschutzes festlegen und den Rat des Datenschutzbeauftragten einholen. Wenn nach der DSFA immer noch ein hohes Risiko besteht, muss sogar eine Konsultation der Datenschutzbehörde erfolgen.

Fazit

Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.

»Wir verarbeiten ja selbst keine personenbezogenen Daten« oder »unsere Kunden wissen ja, was wir mit ihren Daten machen - bei uns gibt es daher keine besonderen Datenschutzanforderungen« Kommen Ihnen solche Aussagen bekannt vor? Dann ist höchste Vorsicht geboten. Das Datenschutzrecht gilt für jedes Unternehmen – auch für Sie. Es reicht, dass Sie Kontakten von Kunden haben, Beschäftigte oder eine Webseite und sie müssen die strengen Vorgaben der Datenschutzgrundverordnung beachten. Das sind 12 typische Fehler, die Sie bei Ihrem Datenschutz vermeiden sollten.

1. Unklare Datenschutz Information auf der Online-Präsenz: Ein Website- ohne umfassende und verständliche Datenschutzerklärung ist ein Datenschutzverstoß. Ist Ihre Datenschutzerklärung sicher und enthält etwa Information über Analyse-Tools? Stellen Sie sicher, dass Sie transparent informieren und einen Ansprechpartner für datenschutzrelevante Fragen haben.
2. Achtlosigkeit bei Dokumenten: Oft enden Unterlagen oder Notizen im Müll, ohne deren Inhalt zu prüfen. Personenbezogene Daten gehören aber nicht einfach in den Papierkorb, sondern müssen datenschutzkonform vernichtet werden.
3. Fehler in der Cloud: SaaS Dienste wie Google Drive sind praktisch und können richtig eingesetzt sogar ein Mehr an Sicherheit gewährleistet. Eine nicht gemanagter Cloud Dienst kann aber auch ein Einfallstor für Datenschutzverletzungen sein.
4. Mangelhafte Kommunikation: Eine unbeabsichtigte Preisgabe personenbezogener Daten, sei es am Telefon oder in einer E-Mail passiert schnell, darf es aber nicht. Hier ist Sensibilität der Beschäftigten gefragt. Datenschutzschulungen schaffen hier Abhilfe.
5. Sorglosigkeit am Arbeitsplatz: Ein unverschlossenes Büro oder ein Computer ohne Bildschirmsperre können zum Datenverlust und zu Datenpannen führen. Das gilt besonders für Bereiche, in denen auch Besucher Zutritt haben.
6. Laxe Passwort-Praktiken: Das Verwenden zu einfacher oder identischer Passwörter für verschiedene Plattformen und Anwendungen hinweg kann ein Einfallstor für Cyberangriffe sein. Ein gutes Passwortmanagement ist daher Pflicht.
7. Kapazitätsprobleme: Datenschutzthemen sind komplex und ständig im Wandel. Ein reaktiver Ansatz reicht nicht aus. Unternehmen müssen proaktiv sein und sich ständig anpassen. Das setzt voraus, dass es Personen gibt, die genug Ressourcen und passendes Know-how haben.
8. Unwissenheit über die Anforderungen der DSGVO: Vertrauen Sie nicht darauf, dass die DSGVO für Sie nicht gilt. Das ist sicher falsch.  Verschaffen Sie sich einen Überblick der rechtlichen Anforderungen und machen Sie einen Plan, wie Sie mit diesen Risiken umgehen wollen.
9. Risiken in der Kommunikation: E-Mail-Adressen sind personenbezogene Daten. Verwenden Sie beim Versenden von E-Mails an große Verteiler die „BCC“-Funktion, damit Ihr Mailing nicht zur Datenpanne wird.
10. Videoüberwachung ohne Kennzeichnung: Falls Sie eine Videoüberwachung einsetzen, gelten strenge Anforderungen. In jedem Fall muss die Videoüberwachung klar gekennzeichnet sein und Sie müssen detaillierte Informationen dazu bereitstellen. Einfache Schilder mit Piktogrammen reichen dafür nicht.
11. Fehlende Mitarbeiter Schulungen: Auch im Datenschutz ist der Mensch oft der größte Risikofaktor. Schulungen sind essenziell, um Beschäftigte über Datenschutzrisiken und richtiges Verhalten aufzuklären. Dies kann unter anderem helfen, versehentliche Datenlecks oder Phishing-Attacken zu vermeiden.
12. Mischung von Privatem und Geschäftlichem: Die Verwendung von Apps wie WhatsApp auf Firmengeräten ist problematisch. Das gilt insbesondere, wenn solche Apps Zugriff auf das Adressbuch haben.
    
    

Es liegt in Ihrer Verantwortung, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass Sie den Datenschutz In Ihrem Unternehmen einhalten und umsetzen. Die gute Nachricht: effizienter Datenschutz ist einfacher als Sie denken: PLANIT // PRIMA ist eine Datenschutz-Software, die nicht nur durch ihre browserbasierte und intuitive Benutzeroberfläche überzeugt, sondern auch alle essenziellen Bausteine für eine lückenlose Datenschutzorganisation vereint.

Rüsten Sie Ihr Unternehmen für die Datenschutzherausforderungen! Buchen Sie jetzt Ihre kostenlose, persönliche Tour durchs Tool.