Dokumentation der technischen und organisatorischen Maßnahmen
Wie genau muss es denn sein?
(Urteil Landgericht Mannheim vom 15.05.2024, Aktenzeichen 1 O 99/23)
Die Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) im Sinne der Datenschutz-Grundverordnung (DSGVO) stellt viele Unternehmen vor große Herausforderungen. Das Landgericht Mannheim hat in einem wegweisenden Urteil vom 15. März 2024 (Az. 1 O 99/23) die Anforderungen an diese Dokumentation konkretisiert und dabei betont, dass eine schlagwortartige Benennung der Maßnahmen nicht ausreicht. Wie detailliert muss also die Dokumentation der TOMs tatsächlich sein?
Nach Art. 32 Abs. 1 DSGVO muss der Verantwortliche (also grds. derjenige, der die Daten verarbeitet) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die ausgewählten organisatorischen Maßnahmen sind also das »Ergebnis« der Bewertung des Risikos (Schwere und Eintrittswahrscheinlichkeit) für die Rechte und Freiheiten der betroffenen natürlichen Personen.
Das LG Mannheim führte hierzu aus, dass die Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO beinhaltet, dass er darlegen und beweisen muss, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, das Schutzniveau angemessen zu gewährleisten. Dies bedeutet, dass der Verantwortliche eine Bewertung des Schutzniveaus der Daten vornehmen, die beteiligten Verarbeitungsvorgänge analysieren und die Risiken bewerten muss.
Zunächst ist eine Bewertung des Schutzniveaus der Daten erforderlich. Hierzu kann etwa der BSI-Grundschutz 200–2 (»Schutzbedarfsfeststellung«) herangezogen werden. Ebenso hilfreich ist das Standard-Datenschutzmodell der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder.
Im nächsten Schritt sind die Risiken zu identifizieren und zu bewerten. Dies kann durch eine Risikoanalyse nach BSI-Grundschutz oder eine Risikobetrachtung nach dem Standard-Datenschutzmodell erfolgen. Hierbei müssen alle relevanten Risiken, die mit der Verarbeitung der personenbezogenen Daten verbunden sind, systematisch erfasst und bewertet werden.
Erst nachdem das Schutzniveau der personenbezogenen Daten bestimmt, die Verarbeitungsvorgänge analysiert und die Risiken bewertet wurden, können die konkreten technischen und organisatorischen Maßnahmen festgelegt werden. Diese Maßnahmen müssen darauf abzielen, den identifizierten Risiken in geeigneter und angemessener Weise zu begegnen. Dies umfasst Maßnahmen wie die Implementierung von Übertragungsgrenzen, Verschlüsselungen und Bot-Erkennungen, jedoch müssen diese Maßnahmen detailliert beschrieben und deren Wirksamkeit nachgewiesen werden.
Das Urteil des LG Mannheim unterstreicht die Notwendigkeit einer strukturierten und detaillierten Dokumentation. Verantwortliche müssen nachweisen können, dass sie eine umfassende Bewertung und Analyse durchgeführt haben und die getroffenen Maßnahmen tatsächlich geeignet sind, das erforderliche Schutzniveau zu gewährleisten.
Die Dokumentation der technischen und organisatorischen Maßnahmen gemäß DSGVO muss detailliert und strukturiert erfolgen. Verantwortliche müssen eine umfassende Bewertung des Schutzniveaus, eine Risikoanalyse sowie eine detaillierte Beschreibung der getroffenen Maßnahmen vornehmen. Nur so kann gewährleistet werden, dass die Anforderungen der DSGVO erfüllt und die Rechte und Freiheiten natürlicher Personen angemessen geschützt werden.
Der Datenschutzbeauftragte spielt eine zentrale Rolle bei der Festlegung und Dokumentation der technischen und organisatorischen Maßnahmen. Er ist der richtige Ansprechpartner für Fragen rund um den Datenschutz und die Implementierung der erforderlichen Maßnahmen. Der Datenschutzbeauftragte stellt sicher, dass die Datenschutzrichtlinien eingehalten werden und dass die Schutzbedarfsanalyse mit den datenschutzrechtlichen Anforderungen im Einklang steht. Zudem unterstützt er bei der regelmäßigen Überprüfung und Aktualisierung der Maßnahmen, um sicherzustellen, dass sie stets dem aktuellen Stand der Technik und den rechtlichen Vorgaben entsprechen.
Die Festlegung des Schutzbedarfs ist auch im Hinblick auf den Datenschutz von großer Bedeutung. Nach der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um personenbezogene Daten zu schützen. Eine sorgfältige Schutzbedarfsanalyse hilft, die spezifischen Maßnahmen zu bestimmen, die erforderlich sind, um den gesetzlichen Anforderungen gerecht zu werden. Diese Maßnahmen umfassen sowohl technische Maßnahmen wie Verschlüsselung und Firewalls als auch organisatorische Maßnahmen wie Schulungen der Mitarbeiter und Sicherheitsrichtlinien.
Unsere Experten stehen Ihnen zur Verfügung, um alle Ihre Fragen zu beantworten. Nutzen Sie die Gelegenheit für eine persönliche Beratung.
Nur begrenzte Termine verfügbar – sichern Sie sich Ihren Platz!
Über 500 zufriedene Mandanten haben bereits einen Termin gebucht.