Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Neues bei technischen und organisatorischen Maßnahmen
Die neue EU-Datenschutzgrundverordnung (DSGVO) verspricht vor allem eines: einheitliche Datenschutz-Standards für alle in der EU tätigen Unternehmen ab 25. Mai 2018. Was ist neu bei den technischen und organisatorischen Maßnahmen (TOM)?
Die neue EU-Datenschutzgrundverordnung (DSGVO) verspricht vor allem eines: einheitliche Datenschutz-Standards für alle in der EU tätigen Unternehmen ab 25. Mai 2018. Die vielen inhaltlichen Neuerungen erhöhen die Herausforderungen an das Datenschutzmanagement, um die vielen Transparenz- und Dokumentationspflichten zu erfüllen. Jede sich durch die Digitalisierung wandelnde Branche ist von der DSGVO betroffen und wird sich den neuen Herausforderungen stellen müssen.
EU-Datenschutz präzisiert technische und organisatorische Maßnahmen
Aktuell geltende Datenschutzmechanismen, wie technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten, bleiben in der DSGVO erhalten und werden an einigen Stellen noch präzisiert. TOM sollen zum Schutz personenbezogener Daten bzw. zur Absicherung der Datenverarbeitungsanlagen sinnvoll und angemessen eingesetzt werden. Hierbei soll der Datenverarbeiter (Verantwortlicher) den Stand der Technik, die Implementierungskosten, die Art der Daten, den Umfang der Daten, die Umstände und Zwecke der Verarbeitung sowie die Risikoeintrittswahrscheinlichkeit und Schwere der Folgen für den Betroffenen berücksichtigen. Sobald diese Verarbeitung durch einen Auftragsverarbeiter, also z.B. Hosting-Anbieter als Dienstleister, durchgeführt werden soll, muss auch dieser entsprechende Maßnahmen für ein angemessenes Schutzniveau der personenbezogenen Daten des Auftraggebers treffen.
Artikel 32 DSGVO (Sicherheit der Verarbeitung) schließt bestimmte Maßnahmen ein, um ein angemessenes Schutzniveau zu gewährleisten. Hier sind neben den klassischen Schutzzielen der Informationssicherheit wie Vertraulichkeit, Integrität und Verfügbarkeit auch Maßnahmen wie die Pseudonymisierung und die Verschlüsselung personenbezogener Daten aufgeführt. Um die Sicherheit der Verarbeitung langfristig zu gewährleisten, müssen die eingesetzten Maßnahmen regelmäßig überprüft und bewertet werden. Dies erhöht den bisherigen Dokumentationsaufwand für Unternehmen und macht eine zeitnahe Erweiterung des bisherigen Datenschutzmanagements notwendig.
Neuerungen: Privacy-by-Design und Privacy-by-Default
Weitere Neuerung der DSGVO sind die Prinzipien des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, welche viele bereits als „Privacy-by-Design“ und „Privacy-by–Default“ kennen. Der Verantwortliche soll seine Produkte und Dienstleistungen so gestalten, dass die Menge der erhobenen Daten möglichst minimal bleibt. Gleichermaßen sollen Einstellungen (z.B. in Apps oder anderen Softwareprodukten) standardmäßig so gewählt werden, dass ein hohes Datenschutzniveau gewahrt wird. Gerade Softwareanbieter sollten also besonderes darauf achten, dass deren Lösungen die Einhaltung der oben genannten Prinzipien auch ermöglichen. Auf der anderen Seite sollten Verantwortliche auch nur Anbieter auswählen, die den Schutz der personenbezogenen Daten nach diesen Standards auch garantieren können.
Technische und organisatorische Maßnahmen bleiben weiterhin die Visitenkarte im Datenschutz. Unternehmen sollten aus der DSGVO auch eigene Chancen ableiten und möglichst schnell reagieren. Eine sorgfältige Prüfung und technisch sinnvolle Erweiterung der eigenen TOM gehört bis zur Anwendbarkeit der DSGVO zur Pflichtaufgabe. Mit besonders innovativen Lösungen unter Berücksichtigung von Privacy-by-Design und Privacy-by-Default lassen sich zudem Wettbewerbsvorteile für das eigene Unternehmen herausholen. Der Stellenwert des Datenschutzes bei der Auswahl von Partnern wird unter der Datenschutzgrundverordnung in jedem Fall mehr Gewicht bekommen.
Ein Kommentar zu Neues bei technischen und organisatorischen Maßnahmen
Schreiben Sie einen Kommentar

Andreas Schulz ist seit 2014 Berater im Bereich Datenschutz bei Bitkom Consult, Datenschutzbeauftragter der Bitkom-Gruppe und mehrfach bestellter externer Datenschutzbeauftragter. Bereits im September 2010 hat der studierte Informationswissenschaftler die Zusatzausbildung zum Datenschutzbeauftragten bei der TÜV Akademie GmbH abgeschlossen und war von Januar 2011 bis Oktober 2014 als Datenschutzbeauftragter bei der PROMOS Unternehmensgruppe tätig.

Guter Bericht
Sicherlich wurden einige Vorgaben in der DSGVO konkretisiert. Jedoch wird ein Maßnahmenkatalog oder ähnliches nie gebastelt werden können. Vielmehr sollte auch den Unternehmen vermittelt werden, dass keine Wahlmöglichkeit mehr besteht. Jedes Unternehmen ungeachtet von KRITIS für das ITSiG muss handeln um die TOM umzusetzen. Denn im Zweifel hat derjenige keine Strafgelder zu zahlen der sich kümmert.