Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.
Risikobasierter Ansatz
Der Umfang der Maßnahmen richtet sich nach dem Risiko. Zu berücksichtigen sind: Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen.
Vier Mindestmassnahmen (Art. 32 Abs. 1 lit. a-d)
- Pseudonymisierung und Verschlüßelung personenbezogener Daten
- Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste dauerhaft sicherstellen
- Rasche Wiederherstellung der Verfügbarkeit und des Zugangs nach einem physischen oder technischen Zwischenfall
- Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM
Konkrete Maßnahmen in der Praxis
- Technisch: HTTPS/TLS-Verschlüßelung, Firewalls, Antivirensoftware, Zugriffskontrollen, Mehr-Faktor-Authentifizierung, automatische Backups, Pseudonymisierung von Datenbanken, sichere Passwortspeicherung als Salted Hash (DSK OH Zugangssicherung)
- Organisatorisch: Zugriffberechtigungskonzepte, Datenschutzschulungen, Clean-Desk-Policy, Besucherregelungen, Verpflichtung der Beschäftigten auf Vertraulichkeit, Notfallpläne, regelmäßige Audits
Besondere Maßnahmen bei sensiblen Daten
Paragraph 22 Abs. 2 BDSG konkretisiert die erforderlichen Maßnahmen bei Verarbeitung besonderer Datenkategorien: u.a. Protokollierung von Zugriffen, Sensibilisierung der Beteiligten, Zugangskontrollen, Pseudonymisierung, Verschlüßelung und regelmäßige Überprüfung.
Dokumentationspflicht
Die TOM müßen dokumentiert werden - als Teil des VVT (Art. 30 DSGVO) und als Nachweis der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).