Wesentliche Aufgabe des Datenschutzbeauftragten ist die Überwachung der „ ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen.“
Für die Gewährleistung eines angemessenen Datenschutzes genügt dieser Aspekt allein nicht. Zusätzlich bedarf es der Definition und Umsetzung technischer und organisatorischer Maßnahmen (sogenannte TOM) um sicherzustellen, dass die gesetzlichen Vorgaben eingehalten und personenbezogene Daten nicht durch Unbefugte zu rechtswidrigen Zwecken verarbeitet oder genutzt werden.
Das Bundesdatenschutzgesetz (BDSG) definiert in der Anlage zu § 9 insgesamt acht verschiedene Maßnahmen:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Gebot der Datentrennung
In einigen Landesdatenschutzgesetzen (LDSG) divergieren die Begrifflichkeiten, so definiert das LDSG von Schleswig-Holstein die Maßnahmen mit
- Verfügbarkeit
- Integrität
- Vertraulichkeit
- Transparenz
- Nicht-Verkettbarkeit
- Intervenierbarkeit
Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?
Bei technischen Maßnahmen werden die Mitarbeiter der verantwortlichen Stelle durch Systeme oder elektronische Verfahren zur Einhaltung der definierten Vorgaben gezwungen.
Organisatorische Maßnahmen beschreiben solche Vorkehrungen, mit denen sich die Mitarbeiter der verantwortlichen Stelle „selbst verpflichten“, durch ihr Verhalten den Belangen des Datenschutzes Rechnung zu tragen. Es besteht kein technischer Zwang, so dass ein (i.d.R. verbotenes) Abweichen von den Vorgaben möglich ist.
Was verbirgt sich hinter den einzelnen Maßnahmen?
Maßnahmen der Zutrittskontrolle dienen dazu, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hier sollten u.a. folgende Punkte Beachtung finden:
Zugänge zum Betriebsgelände
- Umzäunung
- Vereinzelungsanlagen
- Pförtner
- Videoüberwachung
- Wachdienst
- Alarmanlage mit Aufschaltung zum Wachdienst oder der Polizei
Zugänge zu oder in den Geschäftsräumen
- Definition von Sicherheitsbereichen
- Türen, Türschlösser
- Lichtschächte, Lüftungsöffnungen
- Fenster, Verglasungsart, Rollos mit Hochschiebesicherung
- Feuerleiter, Feuertreppe
- Videoüberwachung, Bewegungsmelder
- gesonderter Zutrittsschutz für bestimmte Räume (z.B. Serverraum, Personalabteilung)
Schlüssel und Verschließbarkeit der Räume
- Umsetzung einer Schlüsselverwaltung, ggfls. unter Berücksichtigung der Sicherheitsbereiche
- Dokumentation von Ausgabe, Rücknahme bzw. Verlust von Schlüsseln
Besucher
- Dokumentation in einem Besucherbuch
- Ausweispflicht
- Begleitpflicht
- Ansprache unbekannter Personen
- Trennung von Bearbeitungs- und Publikumszonen
Externe Dienstleister
- Begrenzung der Bereiche, die externe Dienstleister (z.B. Reinigungs- und Wartungspersonal) aufsuchen können
- Arbeiten unter Aufsicht
Weitere Praxisbeispiele sowie eine ausführliche Darstellung der übrigen technischen und organisatorischen Maßnahmen finden Sie zeitnah in den nachfolgenden Teilen dieser Blogreihe.