Datenschutzbeauftragter und Sachverständiger für Datenschutz

Datenschutz und Datensicherheit scheinen auf den ersten Blick abweichende Beschreibungen zu sein für das, was die Datenschutzgrundverordnung eigentlich im Kern beinhaltet: Tatsächlich ist der Begriff Datensicherheit aber immer dann einschlägig, wenn es um den umfassenden Schutz personenbezogener Daten nach Art. 4 DSGVO im online- und im offline-Bereich geht. Faktisch wird beim Blick in die DSGVO schnell klar: Unter Datensicherheit versteht man allgemein die Ansatzpunkte, die einen effektiven Datenschutz überhaupt erst möglich machen.

Dazu gehören gemäß Art. 32 I b) der DSGVO vor allem die folgenden vier Aspekte:

  • Vertraulichkeit der personenbezogenen Daten: Ein Zugriff auf die betreffenden Daten kann nur von den Personen vorgenommen werden, die dazu befugt sind.
  • Integrität der personenbezogenen Daten: Die betreffenden Daten sind vor Manipulationen und technischen Fehlern geschützt.
  • Verfügbarkeit der personenbezogenen Daten: Die betreffenden Daten können dann verwendet werden, wenn der Bedarf dafür gegeben ist.
  • Belastbarkeit der Systeme und Dienste: Systeme müssen widerstandsfähig sein – gerade auch in Bezug auf eine mögliche Überbelastung.

Datensicherheit kann aber nur dann gewährleistet werden, wenn diesbezüglich bestimmte Maßnahmen im Unternehmen in Abläufe und Prozesse integriert werden. Diese werden durch die DSGVO auch als TOM bezeichnet – also als technische und organisatorische Maßnahmen. Ihre Handhabe ist in Artikel 32 der Datenschutzgrundverordnung geregelt – die Vorschrift gibt dabei direkt einen ersten Hinweis auf die Rahmenbedingungen zur Datensicherheit.

Konkrete Vorschläge zur Datensicherheit

Problematisch hat sich in diesem Zusammenhang erwiesen, dass die DSGVO nur wenig konkrete Maßnahmen erwähnt, die der Umsetzung der Datensicherheit dienen. Lediglich die beiden Punkte Pseudonymisierung und Verschlüsselung werden durch den Gesetzgeber explizit angeführt. Abhilfe schafft hier ein Blick in den Referentenentwurf für das deutsche Ausführungsgesetz zur Datenschutzgrundverordnung: In § 58 III des Entwurfs[1] werden konkrete technische Maßnahmen bzw. Kontrollmechanismen genannt, die für die Datensicherheit sorgen können. Dazu zählen unter anderem:

  • Zutrittskontrolle
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennung von Daten unterschiedlicher Zwecke

Diese Maßnahmen fanden bereits durch § 9 Bundesdatenschutzgesetz a.F. eine gesetzliche Erwähnung  - die Vorschrift fand im oben genannten Artikel 32 Eingang in die europäische Regelung.

Datensicherheit und TOM

Die Datenschutzgrundverordnung zielt auch auf eine verbesserte Datensicherheit ab. Diese soll durch die oben genannten technischen und organisatorischen Maßnahmen (oder kurz: TOM) erreicht werden. Diese müssen nach dem Willen des Gesetzgebers dem aktuellen Stand der Technik entsprechen – nur so lässt sich ein konstant hohes Schutzniveau aufrechterhalten.                                     

Wichtig zu wissen
Die Dokumentation der TOM ist ein wesentlicher Bestandteil der eigenen DSGVO-Compliance. Sie gehört ebenso zu den notwendigen Dokumentationsarbeiten wie das Verzeichnis der Verarbeitungstätigkeiten. Die TOM nehmen aber gerade in Bezug auf die Datensicherheit eine prominente Rolle ein, denn: Sie dienen dazu, den Datenschutz im gesamten Unternehmen zu überwachen und sicherzustellen.

[1] https://www.datenschutzverein.de/wp-content/uploads/2016/11/2016-11-11_DSAnpUG-EU-BDSG-neu_Entwurf-2_Ressortabstimmung.pdf

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau