Technische und Organisatorische Maßnahmen

Der Sicherheit der Verarbeitung wird in der DSGVO einen besonderer Stellenwert eingeräumt. Neu sind dabei die Grundsätze Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default) gemäß Art. 25 DSGVO. Die Sicherheit der Verarbeitung muss durch geeignete technische und organisatorische Maßnahmen gewährleistet werden, die über die klassischen informationssicherheitstechnischen Schutzziele Verfügbarkeit, Vertraulichkeit, Integrität hinausgehen (Art. 32 DSGVO). Weiter sind Verfahren für die regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu etablieren (Art. 24 DSGVO).

Die für die Verarbeitung zu treffenden Maßnahmen müssen ein dem Risiko angemessenes Schutzniveau gewährleisten. Dabei sind

  • der Stand der Technik,
  • die Implementierungskosten,
  • die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie
  • die Eintrittswahrscheinlichkeit und die Schwere des Risikos

zu berücksichtigen. Die Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Festlegung der für eine Verarbeitung erforderlichen technische und organisatorischen sollte in enger Abstimmung mit der Informationssicherheit erfolgen.

Weitere Informationen und Muster zur Dokumentation von Maßnahmen:

Technische und organisatorische Maßnahmen entsprechend der Vorgaben der EU-DSGVO und dem DSG NRW n. F. − Handreichung zu TOMs in Anlehnung an den BSI-Grundschutz

TOM-Muster für verschiedene Anwendungsfälle