©Jan_EngelWie im letzten Beitrag zu diesem Thema bereits angekündigt, möchte ich diesmal zu einem Thema Stellung nehmen, welches auch schon in Teilen aus dem BDSG bekannt war, den sogenannten technischen und organisatorischen Maßnahmen (kurz TOM genannt)
Die Vorschriften hierfür finden Sie in Art. 32 DSGVO.
Feststellung des Schutzniveaus
Für den Umfang der technischen und organisatorischen Maßnahmen, die von dem Verantwortlichen einzuhalten sind, stellt die DSGVO es auf einige Dinge ab, die es im Vorfeld stets zu prüfen gilt, wie zum Beispiel
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zweck der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
- ein dem Risiko angemessenes Schutzniveau
Diese grundsätzlichen Voraussetzungen sollten stets geprüft werden, wenn es darum geht, das „angemessene Schutzniveau„ zu gewährleisten.
Aber beachten Sie hierbei nicht ausschließlich die Risiken für Ihre Mandantschaft, sondern auch das Risiko für Ihre Kanzlei, welches z. B. bei Verlust aller Daten bestehen würde, bei längerem Ausfall des Systems, bei Notfallsituationen und Störfällen etc. .
Evtl. hilft hierzu, noch einmal meinen Artikel zum Business Continuity Management zu lesen.
Notwendige Maßnahmen
Die geforderten Maßnahmen sind unter anderem (Art. 32 Abs. 1 lit. a) bis d)
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wieder herzustellen
- ein Verfahren zur regelmäßigen Überprüfung Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
Beurteilung des angemessenen Schutzniveaus
Art. 32 Abs. 2 DSGV gibt einen Ansatz für die Beurteilung des angemessenen Schutzniveaus
“Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.”
Soweit erst einmal die gesetzlichen Regelungen.
Aber wie bauen wir nun ein Verzeichnis für die technischen und organisatorischen Maßnahmen auf?
Wie bereits in meinem Artikel zum Verarbeitungsverzeichnis angeregt, sollten Dinge, die für jede Verarbeitung zutreffen, nur einmal erfasst und auf diese Erfassung Bezug genommen werden. Beim Verfahrensverzeichnis haben wir das bereits mit den Angaben zu Namen und Kontaktdaten des Verantwortlichen vorgesehen. Gleiches sollte auch bezüglich des Verzeichnisses für die technischen und organisatorischen Maßnahmen geschehen.
Bei dem Aufbau des Verzeichnisses können Sie sich an das nachfolgende „Gerüst „halten.
1 Vertraulichkeit
1.1 Zutrittskontrolle
1.2 Zugangskontrolle
1.3 Zugriffskontrolle
1.4 Trennungskontrolle
1.5 Pseudonymisierung
2 Integrität
2.1 Weitergabe Kontrolle
2.2 Eingabekontrolle
2.3 Auftragskontrolle
3 Verfügbarkeit und Belastbarkeit
3.1 Back-up Verfahren
3.2 Business Continuity Management
4 Verfahren zur regelmäßigen Überprüfung Bewertung und Evaluierung
4.1 Auftragskontrolle
4.2 Mitarbeiter Anstellung
4.3 Mitarbeiterschulung
4.4 Prüfung der Prozesse und Systeme
4.5 Zertifizierung
Eine Vorlage für ein solches Verzeichnis mit Erklärungen können Sie sich hier herunterladen. Ersetzen Sie bitte die Kopfzeile durch Angaben zu Ihrer Kanzlei.
Sollten Sie Fragen zu diesem Thema haben, können Sie mich gerne ansprechen. Bitte nutzen Sie hierzu das Kontaktformular.
Der Beitrag DSGVO in der Anwaltskanzlei (Verzeichnis TOM) erschien zuerst auf Organisationsberatung Treysse.