Die Datenschutzgrundverordnung (DSGVO) verpflichtet den für die Verarbeitung personenbezogener Daten Verantwortlichen, technische und organisatorische Maßnahmen (TOMs) zu ergreifen. Dabei handelt es sich um Sicherheitsmaßnahmen zum Schutz personenbezogener Daten und zur Wahrung der Konformität. TOMs müssen die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitung personenbezogener Daten gewährleisten.
Die Datenschutz-Grundverordnung enthält keine erschöpfende Liste spezifischer TOMs, sondern verlangt von Organisationen, dass sie je nach Art, Umfang, Kontext und Zweck der jeweiligen Verarbeitung sowie den potenziellen Risiken für die Rechte und Freiheiten natürlicher Personen geeignete Maßnahmen ergreifen. Daher können die TOMs von einem für die Verarbeitung Verantwortlichen zum anderen sehr unterschiedlich sein.
Einige gängige Beispiele für TOMs sind:
- Verschlüsselung: Anwendung von Verschlüsselungstechniken zum Schutz personenbezogener Daten während der Speicherung und Übertragung.
- Zugangskontrolle: Einrichtung von Zugriffskontrollen, Benutzerauthentifizierung und Autorisierungsmechanismen, um sicherzustellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können.
- Pseudonymisierung und Anonymisierung: Anwendung von Techniken zum Ersetzen oder Entfernen von identifizierenden Informationen aus Datensätzen, um das Risiko einer nicht autorisierten Identifizierung zu verringern.
- Regelmäßige Datensicherungen: Einrichtung regelmäßiger Sicherungsverfahren, um die Verfügbarkeit und Ausfallsicherheit von Daten im Falle eines Systemausfalls oder einer Datenpanne zu gewährleisten.
- Reaktion auf Vorfälle und Benachrichtigung über Datenschutzverletzungen: Einführung von Verfahren zur Erkennung von Datenschutzverletzungen oder Sicherheitsvorfällen und deren Meldung an die zuständige Aufsichtsbehörde und die betroffenen Personen.
- Schulung und Sensibilisierung der Mitarbeiter: Regelmäßige Schulungen und Sensibilisierungsprogramme zur Aufklärung der Mitarbeiter über Datenschutzverantwortung, Sicherheitspraktiken und den Umgang mit personenbezogenen Daten.
- Datenminimierung und Speicherbegrenzung: Umsetzung von Maßnahmen, um nur die für bestimmte Zwecke erforderlichen personenbezogenen Daten zu erfassen und aufzubewahren und sie nicht länger als erforderlich aufzubewahren.
- Privacy by Design and Default: Berücksichtigung von Datenschutzaspekten bei der Entwicklung und Implementierung von Systemen, Prozessen und Produkten von Anfang an.
Unternehmen sind für die Durchführung von Risikobewertungen und die Bestimmung der geeigneten TOMs auf der Grundlage ihrer spezifischen Umstände verantwortlich. Außerdem sollten sie ihre Sicherheitsmaßnahmen regelmäßig überprüfen und aktualisieren, um sich entwickelnden Risiken zu begegnen und die kontinuierliche Einhaltung der Anforderungen der DSGVO zu gewährleisten.