Maren Winter - stock.adobe.com

Die Datenschutz-Maßnahmen im Datenschutzkonzept nach DSGVO

Die Auswahl und Beschreibung geeigneter Datenschutz-Maßnahmen ist zentraler Bestandteil eines Datenschutzkonzeptes nach DSGVO.

Für das Verzeichnis von Verarbeitungstätigkeiten, früher Verfahrensverzeichnis genannt, gehört nach Artikel 30 DSGVO (Datenschutz-Grundverordnung), wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, die kurz auch als TOM bezeichnet werden.

Zweifellos reicht eine kurze Beschreibung der Datenschutz-Maßnahmen aber nicht aus, um die Datenschutz-Organisation zu planen und einzuführen. Es ist sinnvoll, ein ausführliches Datenschutzkonzept zu erstellen, auf das man dann im Verzeichnis von Verarbeitungstätigkeiten verweisen kann.

Neben den Verantwortlichkeiten, dem Umfang (zu schützende Daten, zu überwachende Verfahren, zu prüfende Verträge) und den erkannten Risiken für den Datenschutz sollten auch die Maßnahmen dokumentiert sein, mit denen das erforderliche, angemessene Datenschutzniveau erreicht werden soll. Eine solche Dokumentation hilft intern, aber auch bei einer geplanten Datenschutz-Zertifizierung nach DSGVO oder bei einer Prüfung durch die zuständige Aufsichtsbehörde.

Die Landesbeauftragte für den Datenschutz Niedersachsen zum Beispiel hat in den vergangenen Monaten in 50 großen und mittelgroßen Unternehmen geprüft, wie umfassend diese die Anforderungen der Datenschutz-Grundverordnung (DSGVO, GDPR) umgesetzt haben. Dazu gehörten auch Fragen zu den technisch-organisatorischen Maßnahmen, die sich mit einem passenden Datenschutzkonzept beantworten lassen sollten.

Was bei den Datenschutzmaßnahmen erfüllt sein muss

Bei der genannten Querschnittsprüfung in der Wirtschaft durch die Datenschutzaufsicht in Niedersachsen mussten unter anderem folgende Fragen beantwortet werden:

  • Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen beziehungsweise die Ihrer Dienstleister ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten?
  • Wie stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen an den jeweiligen Stand der Technik angepasst werden?
  • Wie stellen Sie sicher, dass Sie für die von Ihnen aktuell oder zukünftig eingesetzten IT-Anwendungen ein dokumentiertes datenschutzkonformes Rollen- und Berechtigungskonzept haben?

Wichtig ist dabei, dass das Unternehmen nachweisen können muss, dass die gewählten technisch-organisatorischen Maßnahmen den Stand der Technik berücksichtigen. Dazu müssen also Verfahren für die Auswahl der Maßnahmen und entsprechende Dokumentationen vorhanden sein.

Ebenso muss beispielsweise die Dokumentation der zugelassenen Benutzer und Rechteprofile im Rechte- und Rollenkonzept berücksichtigt sein und die Auswahl von Identitäts- und Berechtigungs-Managementsystemen im Rechte- und Rollenkonzept berücksichtigt werden.

Welche Maßnahmen für den Datenschutz gefordert sind

Die verantwortliche Stelle im Unternehmen und damit die Geschäftsleitung muss geeignete Maßnahmen für den Datenschutz ergreifen. Dabei nennt die DSGVO für die Datensicherheit eine Reihe von Auswahlkriterien:

  • Berücksichtigung des Stands der Technik,
  • Implementierungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung sowie
  • die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Das Ziel ist dabei ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die DSGVO nennt auch Beispiele für Maßnahmen der Datensicherheit, die allerdings nicht etwa abschließend sind, sondern es sind Beispiele, die genaue Auswahl muss die verantwortliche Stelle treffen und sollte dies im Datenschutzkonzept begründen:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Auswahl muss risikoorientiert erfolgen

Welche Maßnahmen angemessen sind und damit ausgewählt werden, hängt von den Risiken für den Datenschutz ab. Die DSGVO gibt vor: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

Sicherheitsmaßnahmen sind nicht alles

Zu den Datenschutzmaßnahmen, die geplant und umgesetzt werden müssen, gehören aber nicht nur die Maßnahmen, die die Sicherheit der Verarbeitung gewährleisten sollen, sondern zum Beispiel auch Maßnahmen

  • zur Umsetzung der Betroffenenrechte (wie Recht auf Datenübertragbarkeit, Recht auf Vergessenwerden, etc.)
  • zur Prüfung der Rechtsgrundlagen,
  • zur Erreichung von Privacy by Default und Privacy by Design,
  • für den Datenschutz bei Auftragsverarbeitung,
  • für die Umsetzung der Datenschutz-Folgenabschätzungen,
  • für die Umsetzung der Dokumentationspflichten (zum Beispiel Verzeichnis von Verarbeitungstätigkeiten),
  • für die Umsetzung der Meldepflichten (bei Datenschutzverletzungen).

Keine Frage, die Beschreibung der Maßnahmen bedeutet einigen Aufwand, doch man kann diese Beschreibungen aus dem Datenschutzkonzept vielfach gebrauchen, auch zum Beispiel als Basis für Datenschutzschulungen.

Nächste Schritte

Gratis-eBook: Die DSGVO in der Praxis umsetzen

Die DSGVO und der Umfang des Datenschutzkonzeptes

Datenschutz-Grundverordnung: Die Verantwortung für den Datenschutz

Erfahren Sie mehr über Datenschutz und Compliance