Wenn sie sich schon näher mit der neuen DSGVO beschäftigt haben, dann wissen sie, dass sie “technische und organisatorische Maßnahmen (TOMs)” umsetzen müssen. Doch wie bei so vielen anderen Punkten in der DSGVO fehlen konkrete Angaben was damit genau gemeint ist und viele können sich unter diesem Begriff wenig vorstellen.

Die technischen und organisatorischen Maßnahmen sind eine wichtige Säule des Datenschutzes und müssen sorgfältig dokumentiert werden. Schließlich geht es darum, im Fall eines Schadens nachweisen zu können, dass angemessene Maßnahmen zum Schutz der Privatsphäre von Personen im Unternehmen getroffen und umgesetzt wurden. Der Umfang der Maßnahmen ist abhängig von der Art der Datenanwendung und vom Risiko, das für betroffene Personen von der Datenverarbeitung ausgeht.

Ein Handwerksbetrieb, der eine Kundendatenbank auf einem PC führt wird ein geringeres Schutzniveau benötigen als ein medizinisches Labor mit der Möglichkeit online Befunde einzusehen. Aber auch wenn die Maßnahmen sich sehr von Betrieb zu Betrieb unterscheiden so müssen trotzdem alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, ihre Schutzmaßnahmen dokumentieren.

Der österreichische Gesetzgeber zählt dazu im Rahmen des Datenschutz-Anpassungsgesetzes 2018 unter §54 Datensicherheitsmaßnahmen auf, die je nach notwendigem Schutzniveau und insbesondere im Hinblick auf Verarbeitung besonders sensibler personenbezogener Daten umzusetzen sind:

Datensicherheitsmaßnahmen nach §54 DSAG 2018

Zugangskontrolle:

Folgendes Beispiel zeigt, wie Maßnahmen gestaltet und dokumentiert werden können.

Es muss sichergestellt werden, dass Unbefugte keinen Zugang zu Anlagen haben, auf denen personenbezogene Daten verarbeitet werden.

Beschreibung der Schutzmaßnahme:

Die Zugänge zu den Büroräumlichkeiten, in denen sich Computer, Server, Drucker, sowie Aktenordner befinden, werden, wenn sie nicht genutzt werden versperrt. Auch der Serverraum ist versperrt. Der Zutritt zum Serverraum ist nur den von der Geschäftsleitung berechtigten Personen möglich. Ordner mit z.B. Personalakten stehen in versperrten Aktenschränken und sind ebenfalls nur berechtigten Personen zugänglich.

Technische Maßnahmen:

– versperrte Büro- und Eingangstüren, Schließsystem

– sperrbare Kästen für Notebooks und Tablets

– sperrbare Schränke für sensible Informationen

– Alarmanlage und Einbruchsicherung

– Server- bzw. IT-Raum absperrbar

Organisatorische Maßnahmen:

– Arbeitsanweisung, dass mobile Geräte bei Nicht-Benutzung weggesperrt werden müssen

– Bürobesucher nicht unbeaufsichtigt lassen

– Besucherprotokollierung am Empfang

– Schlüssel für Serverraum haben nur IT-Administratoren und Geschäftsführung

Für die Erfüllung der Nachweispflicht nach DSGVO lassen sich viele Punkte über eine gute und vollständige IT-Dokumentation lösen. Auch Serviceverträge mit IT-Dienstleistern und Arbeitsanweisungen zum Umgang mit sensiblen Daten gehören zu Maßnahmen, die für die Einhaltung des Datenschutzes nach DSGVO notwendig sind und auch dokumentiert und beschrieben werden müssen.