DSGVO: Was sind eigentlich Technische und organisatorische Maßnahmen (TOMs)?
Sei es die Patientenakte oder auch ausgedruckte Rechnungen sowie Korrespondenzen: Die zum Großteil überaus empfindlichen Informationen sollten niemals in die falschen Hände geraten. So sind jene Unterlagen nicht nur datenschutzkonform aufzubewahren, auch gilt es, diese gemäß der Datenschutzgrundverordnung vorschriftsgemäß zu entsorgen.
TOMs: Technische und organisatorische Maßnahmen im Datenschutz
Jeder, der personenbezogene Daten verarbeitet, erhebt oder nutzt ist dazu verpflichtet, eine Reihe von Schutzmaßnahmen zu treffen; darunter AVVs, DFAs und TOMs, also technische und organisatorische Maßnahmen (kurz: TOM). Das soll sicherstellen, dass die persönlichen Informationen von Menschen vor fremden Zugriff nicht nur rechtlich, sondern auch praktisch geschützt sind. Alle Details finden sich in Artikel 32 DSGVO.
Technischen Maßnahmen bezeichnet alle Maßnahmen, die sich irgendwie physisch oder praktisch umsetzen lassen, also beispielsweise:
- Schlösser an Türen, Toren, Fenster
- Bauliche Maßnahmen wie Wände, Mauern, Zäune, Absperrungen, Warnschilder, Alarmanlagen
- Software-Sicherung wie Passwörter, Logging-Dateien, biometrische IDs, Zwei-Faktor-Authentifizierung etc.
Anweisungen, Verfahren und Methoden sind organisatorische Maßnahmen und sollen durch Verhalten wirken, beispielsweise:
- Zufallsprüfungen
- Anmeldelisten
- Arbeitsanweisungen
- Vier-Augen-Prinzip
- Aktenvernichtung
Ein Aktenvernichter oder auch eine mobile Aktenvernichtung sind hierfür sinnvolle Investitionen, genauso wie gute und DSGVO-konforme Software und Cloud-Anwendungen.
Gesetzliche Bestimmungen für TOMs
Nach dem Federal Data Privacy Law (German BDSG) ist sich bezüglich der Aktenvernichtung seit Oktober 2012 an die DIN 66399 zu halten. Diese legt den Umfang der Schritte fest, welche bei der datenschutzkonformen Aktenvernichtung stets zu beachten sind. Die folgenden Punkte und Einteilungen gelten dabei:
- 3 Schutzklassen,
- 7 Sicherheitsstufen und
- 6 Materialklassifizierung
Die bisherige DIN-Norm verfügte über fünf geltende Sicherheitsstufen, allerdings beinhaltet die neue Norm bereits sieben geltende Sicherheitsstufen. Hierbei geht es grundsätzlich darum, in welcher Form die Aktenvernichtung zu erfolgen hat: Dies kann in Form von Streifen oder Partikeln sein, zudem gibt es unterschiedliche Breiten und Größen.
Doch welche Sicherheitsstufe trifft nun auf meinen (Büro-)bereich zu? Hier nun mehr zur Einordnung in die jeweiligen Schutzklassen:
Sicherheitsstufe 1: Normale Daten wie Notizen
Darunter fallen als „normal“ einzustufende Daten. Sprich: Konsequenzen sind nur in kleinstem Maße zu befürchten – hierzu zählt beispielsweise allgemeiner Schriftverkehr sowie Notizen und auch personalisierte Werbung.
Sicherheitsstufe 2: Erhöhter Schutzbedarf wie Personaldaten
Hier besteht schon ein erhöhter Bedarf an zu schützenden Daten. Darunter fallen beispielsweise Personal- sowie auch Bewerberdaten.
Sicherheitsstufe 3: Hoher Schutzbedarf wie Patientendaten
Unter die dritte Schutzklasse fällt ein besonders hoher Schutzbedarf. Gelangen unbefugte Daten an die Öffentlichkeit, so wäre dies für das Unternehmen existenzbedrohlich. Beispiele hierfür sind: Verschlusssachen, Mandanteninformationen sowie Patientendaten. Darüber hinaus kann sogar ein Verstoß gegen besondere Berufsgeheimnisse vorliegen, welcher womöglich strafrechtlich zu verfolgen ist.
Sicherheitsstufe 4 bis 6
Grundsätzlich sei zu den einzelnen Schutzklassen gesagt: Je höher der Schutzbedarf, desto höher ist die zu beachtende Sicherheitsstufe bei der Aktenvernichtung.
Sicherheitsstufe 7: Geheime Daten wie Militärinformationen
Bei der höchsten Sicherheitsstufe 7 geht es um Datenträger mit streng geheimen Daten, bei denen höchste Sicherheitsvorkehrungen zu beachten sind. Zu diesen zählen beispielsweise Daten aus geheimdienstlichen oder auch militärischen Bereichen.
Datenvernichtung
Unter Einhalt der Vorschriften des Datenschutzes ist beim Kauf eines Aktenvernichters entsprechend darauf zu achten, dass dieser mindestens die benötigte Sicherheitsstufe aufweist. So sollte man sich im Vornherein über das Gerät informieren, ob dieses auch den eigenen Anforderungen entsprechen würde.
Allerdings verfügt die Mehrzahl der Kleingeräte eher über die Schutzklasse 1 beziehungsweise 2 – dies entspricht der Aktenvernichtung in Streifen oder große Partikel. Die schlechte Nachricht: Handelt es sich bei den Unterlagen und Akten um personenbezogene Daten, so ist ein solcher Aktenvernichter nicht ausreichend.
Von einem professionellen Anbieter beziehungsweise einer mobilen Aktenvernichtung sollten die folgenden Berufsgruppen eher Gebrauch machen:
- Ärzte und Ärztinnen
- Anwälte und Anwältinnen
- Notare und Notarinnen
- weitere dem Berufsgeheimnis verpflichtete Berufstätige
So bietet ein professioneller Anbieter stets datenschutzkonforme sowie komplexe Geräte zur Aktenvernichtung – dies erfolgt entweder auf deren eigenen Grundstücken/Höfen oder zur Vermietung.
Zuständigkeiten in der Aktenvernichtung
Beim Datenschutz in Betrieben handelt es sich nach wie vor um die Angelegenheit des Vorgesetzten – so der Fachmann vom TÜV. Diesem zufolge sollten sich kleine Betriebe (unter zehn Mitarbeiter) eine Beratung für den Aufbau eines optimalen Aktenvernichtungsprozesses einholen – sofern natürlich nicht schon ein Datenschutzbeauftragter im Unternehmen tätig ist.
Schließlich gilt: Im Falle eines Verstoßes drohen hohe Bußgelder sowie voraussichtlich auch verschärfte Kontrollen.
Und was nun? Unsere Angebote:
DER Datenschutzbeauftragte: Christian Allner ist Experte in Datenschutzrecht und Datenschutzpraxis, beruflich qualifiziert und unabhängig. Seit 2013 führt er regelmäßig Weiterbildungen zu Datenschutz und Datensicherheit durch und coacht Unternehmen. Kontaktieren Sie gern uns oder beauftragen Sie uns direkt hier. Wir helfen Ihnen weiter:
Book data protection seminars
- Thema „Rechtssicherheit im Netz“
- Thema „Datenschutz und Datensicherheit: Medienkompetenz, DSGVO & Co.“
- Thema „DSGVO in 30 Minuten“
- (exkl. Reisekosten)
Datenschutz-Beauftragten bestellen
- gem. Art. 37-39 DSGVO und §§ 4f; 38 BDSG (2018)
- Unterrichtung und Beratung des Verantwortlichen; DSGVO-Einhaltungsüberwachung
- Data protection analysis
- Training and education for your employees
- Technische und organisatorische Maßnahmen (TOM) anfertigen
- Verzeichnis von Verarbeitungstätigkeiten (VZV) erstellen
- Datenschutz-Folgenabschätzungen (DFA) und andere DSB-Tätigkeiten durchführen
- Anlaufstelle und Ansprechpartner für Aufsichtsbehörden
Datenschutz-Consulting kaufen
- Impressum oder Datenschutz-Erklärung erstellen
- Kompetente individuelle Beratung
- Audits, Consulting zu Datenschutz, Digitalisierung, DSGVO & BDSG
- (exkl. Reisekosten)