Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

TOM Technische und organisatorische Maßnahmen - DSGVO Artikel 32 

Öffentliche oder nichtöffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben - unter Berücksichtigung „Stand der Technik“ - die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 

Neben dem Datenschutz muss auch immer die Datensicherheit gewährleistet werden. Das heißt, dass personenbezogene Daten durch geeignete Maßnahmen zu schützen sind. Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Gefordert ist auch eine Rechenschaftspflicht über Maßnahmen nach Art. 5 Abs. 2 DSGVO.

Geeignete Maßnahmen Art. 32 DSGVO

Die Verordnung verpflichtet „Verantwortliche“ (die letztlich entscheiden, wie die Daten genutzt werden) dazu, „geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten“ zu treffen.

Artikel 32 DSGVO “Unter Berücksichtigung des Stands der Technik, der Implementierungskosten der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsdatenverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“

Der Verantwortliche trifft zum Zeitpunkt der Festlegung der Mittel und zum Zeitpunkt der Verarbeitung.

  • geeignete technische und organisatorische Maßnahmen,
  • die ausgelegt sind, die Datenschutzgrundsätze umzusetzen und
  • die notwendigen Garantien in die Verarbeitung
aufzunehmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

 

IT-Sicherheits-/Schutzziele

Der Begriff „technische und organisatorische Maßnahmen“ in der DSGVO 21mal verwendet. Als Beispiele nennt die Verordnung in diesem Zusammenhang die ziemlich amorphe „Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit (VIV bzw. CIA) und Belastbarkeit der Systeme ... sicherzustellen“ und die konkretere „Verschlüsselung“ (Pseudonymisierung) sowie die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“.

  • VIV Vertraulichkeit-Integrität-Verfügbarkeit
  • CIA Confidentiality-Integrity-Availability

Das Prinzip der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f DSGVO, dass eine angemessene Sicherheit der personenbezogenen Daten verlangt (auch aus Sicht der betroffenen Person, nicht nur aus Sicht des Verantwortlichen), wird insbesondere mit den Regelungen in Art. 24, Art. 25 und Art. 32 DSGVO umgesetzt.


Wichtige Anmerkung
Die Informationen in diesem Dokument stellen nur einen Auszug aus der DSGVO dar, erheben keinen Anspruch auf Vollständigkeit und ersetzen nicht die Gesetze, Verordnungen, Normen und Regeln für die Umsetzung der DSGVO. Sie dienen vielmehr als Orientierungshilfe.