Die DSGVO verlangt in Art. 32 DSGVO die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen, damit ein angemessenen Schutzniveau für die Rechte und Freiheiten natürlicher Personen gewährleistet wird.
Damit ist klar: Keine Maßnahmen zu etablieren ist keine Lösung.
In unserer Beratung kommt daher immer wieder die Frage auf, welche Maßnahmen ein angemessenes Schutzniveau gewährleisten können, wie es in der DSGVO gefordert wird. Die DSGVO ist absolut unkonkret und technikneutral.
Auch wenn die Formulierung wenig hilfreich erscheint, ist sie jedoch sinnvoll, denn nur so kann vermieden werden, dass die DSGVO bei jeder technischen Weiterentwicklung angepasst werden muss.
Was dabei angemessen ist und was dem Stand der Technik entspricht, regelt also der Markt und der technische Fortschritt. Aber: Unter Berücksichtigung der Implementierungskosten ist es nicht notwendig mit der sprichwörtlichen Kanone auf Spatzen zu schießen.
Auch unter diesem Gesichtspunkt wird deutlich: Keine Maßnahmen zu etablieren ist immer noch keine Lösung.
Doch auch wenn nun klar ist, dass etwas umgesetzt werden muss: Häufig ist völlig unklar, was denn unter technischen und organisatorischen Maßnahmen zu verstehen ist. Auch dies müssen wir erstmal konkretisieren. So spricht Art. 32 Abs. 1 lit. a – c DSGVO zwar u.a. von „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ – den Schutzzielen der DSGVO – jedoch ist auch dies für Laien häufig noch zu ungenau.
Hilfreich kann da ein Blick auf §64 BDSG sein! Auch wenn Teil 3 des BDSG (§45-77) eigentlich für öffentliche Stellen der Strafverfolgung und der öffentlichen Sicherheit gedacht ist, kann die Auflistung in §64 Abs. 3 BDSG beim Verständnis für technische und organisatorische Maßnahmen helfen. Die wenig präzisen Forderungen nach Maßnahmen zur Einhaltung der Schutzziele werden plötzlich konkreter mit möglichen Maßnahmenkategorien ausgestaltet. Alte Hasen im Datenschutz fühlen sich bei dieser Auflistung an die alte Anlage zum §9 BDSG in der alten Fassung erinnert.
Doch auch wenn nun weitere Begriffe das Bild etwas klarer werden lassen, trotzdem fehlt es immer noch an eindeutigen Maßnahmen…
Unterm Strich braucht es trotz dieser Hilfestellung häufig immer noch weitere Informationen welche Maßnahmen möglich erscheinen und was angemessen ist. Durch unseren technischen Background verfügen wir über umfangreiche Erfahrungen im Bereich der IT-Sicherheit, die wir auch in unsere Beratungen einfließen lassen.
Zusätzlich haben wir für unsere Mandanten eine neue Orientierungshilfe zu technischen und organisatorischen Maßnahmen verfasst, worin wir das Thema ausführlich beleuchten und erklären. Zudem benennen wir auch Basismaßnahmen, die heute wahrscheinlich in nahezu allen Unternehmen als angemessen und verhältnismäßig zu betrachten sind.
Übrigens: Auch der EuGH hat zur Anwendbarkeit der EU-Standardvertragsklauseln weitere Maßnahmen beim Drittlandstransfer gefordert. Wir treffen in vielen Unternehmen auf die Abo-Modelle von Microsoft (Office 365 / Microsoft 365), weshalb wir aus unserer Sicht sinnvolle Maßnahmen in einer neuen Orientierungshilfe zu Microsoft 365 zusammengefasst haben und die technische Umsetzung soweit möglich beschreiben.
Beide Orientierungshilfen stellen wir Ihnen gerne im Rahmen einer Beratung zur Verfügung. Sprechen Sie uns diesbezüglich einfach an.
Übrigens: Unsere Mandanten, bei denen wir auch als Datenschutzbeauftragter bestellt sind, finden die Orientierungshilfen wie gewohnt kostenfrei in der Dateiablage des DSMS im Beratungskonzept 5!
Wir aktualisieren regelmäßig unsere Beratungskonzepte. Seit dem letzten Informationsschreiben haben sich die nachfolgenden Änderungen ergeben:
20210518 – BK5 – NEU: Orientierungshilfe zu Microsoft 365
20210518 – BK5 – ENTFERNT: Orientierungshilfe zu Windows 10
20210519 – BK2 – UPDATE: Informationen für die Geschäftsleitung (Datenschutzhinweise)
20210519 – BK2 – NEU: Datenschutzhinweise (reduziertes Datenschutzhandbuch für kleine Unternehmen)
20210524 – BK5 – UPDATE: Orientierungshilfe zu Microsoft 365
20210531 – BK5 – UPDATE: Orientierungshilfe zu Microsoft 365
20210601 – BK5 – NEU: Orientierungshilfe zu technischen und organisatorischen Maßnahmen
20210601 – BK3 – NEU: Fragenbogen zur Bewertung von Datenübermittlungen ins Drittland
20210601 – BK3 – NEU: Fragebogens zur Bewertung von Auftragnehmern im Drittland
20210601 – BK3 – NEU: Fragebogens zur Bewertung von Auftragnehmern im Drittland (Beispiel M365)
20210608 – BK3 – UPDATE: Vertraulichkeitsverpflichtung für Mitarbeiter
20210608 – BK3 – UPDATE: Vertraulichkeitsverpflichtung für Auftragnehmer (nicht AV!)
20210608 – BK5 – UPDATE: Orientierungshilfe zu technischen und organisatorischen Maßnahmen (Tippfehler)
20210601 – BK3 – UPDATE: Fragenbogen zur Bewertung von Datenübermittlungen ins Drittland
Quelle Beitragsbild: https://bit.ly/3x45Lkf / http://3.bp.blogspot.com/_6B8tPuW7TwQ/TQimSKfZrsI/AAAAAAAATEc/RMuf3lk81f8/s1600/peclogate.jpg (Autor trotz Recherche unbekannt)