DSGVO: Was sind eigentlich Technische und organisatorische Maßnahmen (TOMs)?

Seminare zur IT-Sicherheit in Magdeburg buchen.

DSGVO: Was sind eigentlich Technische und organisatorische Maßnahmen (TOMs)?

Sei es die Patientenakte oder auch ausgedruckte Rechnungen sowie Korrespondenzen: Die zum Großteil überaus empfindlichen Informationen sollten niemals in die falschen Hände geraten. So sind jene Unterlagen nicht nur datenschutzkonform aufzubewahren, auch gilt es, diese gemäß der Datenschutzgrundverordnung vorschriftsgemäß zu entsorgen.

TOMs: Technische und organisatorische Maßnahmen im Datenschutz

Jeder, der personenbezogene Daten verarbeitet, erhebt oder nutzt ist dazu verpflichtet, eine Reihe von Schutzmaßnahmen zu treffen; darunter AVVs, DFAs und TOMs, also technische und organisatorische Maßnahmen (kurz: TOM). Das soll sicherstellen, dass die persönlichen Informationen von Menschen vor fremden Zugriff nicht nur rechtlich, sondern auch praktisch geschützt sind. Alle Details finden sich in Artikel 32 DSGVO.

Technischen Maßnahmen bezeichnet alle Maßnahmen, die sich irgendwie physisch oder praktisch umsetzen lassen, also beispielsweise:

  • Schlösser an Türen, Toren, Fenster
  • Bauliche Maßnahmen wie Wände, Mauern, Zäune, Absperrungen, Warnschilder, Alarmanlagen
  • Software-Sicherung wie Passwörter, Logging-Dateien, biometrische IDs, Zwei-Faktor-Authentifizierung etc.

Anweisungen, Verfahren und Methoden sind organisatorische Maßnahmen und sollen durch Verhalten wirken, beispielsweise:

  • Zufallsprüfungen
  • Anmeldelisten
  • Arbeitsanweisungen
  • Vier-Augen-Prinzip
  • Aktenvernichtung

Ein Aktenvernichter oder auch eine mobile Aktenvernichtung sind hierfür sinnvolle Investitionen, genauso wie gute und DSGVO-konforme Software und Cloud-Anwendungen.

Gesetzliche Bestimmungen für TOMs

Nach dem Federal Data Privacy Law (German BDSG) ist sich bezüglich der Aktenvernichtung seit Oktober 2012 an die DIN 66399 zu halten. Diese legt den Umfang der Schritte fest, welche bei der  datenschutzkonformen Aktenvernichtung stets zu beachten sind. Die folgenden Punkte und Einteilungen gelten dabei:

  • 3 Schutzklassen,
  • 7 Sicherheitsstufen und
  • 6 Materialklassifizierung

Die bisherige DIN-Norm verfügte über fünf geltende Sicherheitsstufen, allerdings beinhaltet die neue Norm bereits sieben geltende Sicherheitsstufen. Hierbei geht es grundsätzlich darum, in welcher Form die Aktenvernichtung zu erfolgen hat: Dies kann in Form von Streifen oder Partikeln sein, zudem gibt es unterschiedliche Breiten und Größen.

Doch welche Sicherheitsstufe trifft nun auf meinen (Büro-)bereich zu? Hier nun mehr zur Einordnung in die jeweiligen Schutzklassen:

Sicherheitsstufe 1: Normale Daten wie Notizen

Darunter fallen als „normal“ einzustufende Daten. Sprich: Konsequenzen sind nur in kleinstem Maße zu befürchten – hierzu zählt beispielsweise allgemeiner Schriftverkehr sowie Notizen und auch personalisierte Werbung.

Sicherheitsstufe 2: Erhöhter Schutzbedarf wie Personaldaten

Hier besteht schon ein erhöhter Bedarf an zu schützenden Daten. Darunter fallen beispielsweise Personal- sowie auch Bewerberdaten.

Sicherheitsstufe 3: Hoher Schutzbedarf  wie Patientendaten

Unter die dritte Schutzklasse fällt ein besonders hoher Schutzbedarf. Gelangen unbefugte Daten an die Öffentlichkeit, so wäre dies für das Unternehmen existenzbedrohlich. Beispiele hierfür sind: Verschlusssachen, Mandanteninformationen sowie Patientendaten. Darüber hinaus kann sogar ein Verstoß gegen besondere Berufsgeheimnisse vorliegen, welcher womöglich strafrechtlich zu verfolgen ist.

Sicherheitsstufe 4 bis 6

Grundsätzlich sei zu den einzelnen Schutzklassen gesagt: Je höher der Schutzbedarf, desto höher ist die zu beachtende Sicherheitsstufe bei der Aktenvernichtung.

Sicherheitsstufe 7: Geheime Daten wie Militärinformationen

Bei der höchsten Sicherheitsstufe 7 geht es um Datenträger mit streng geheimen Daten, bei denen höchste Sicherheitsvorkehrungen zu beachten sind. Zu diesen zählen beispielsweise Daten aus geheimdienstlichen oder auch militärischen Bereichen.

Datenvernichtung

Unter Einhalt der Vorschriften des Datenschutzes ist beim Kauf eines Aktenvernichters entsprechend darauf zu achten, dass dieser mindestens die benötigte Sicherheitsstufe aufweist. So sollte man sich im Vornherein über das Gerät informieren, ob dieses auch den eigenen Anforderungen entsprechen würde.

Allerdings verfügt die Mehrzahl der Kleingeräte eher über die Schutzklasse 1 beziehungsweise 2 – dies entspricht der Aktenvernichtung in Streifen oder große Partikel. Die schlechte Nachricht: Handelt es sich bei den Unterlagen und Akten um personenbezogene Daten, so ist ein solcher Aktenvernichter nicht ausreichend.

Von einem professionellen Anbieter beziehungsweise einer mobilen Aktenvernichtung sollten die folgenden Berufsgruppen eher Gebrauch machen:

  1. Ärzte und Ärztinnen
  2. Anwälte und Anwältinnen
  3. Notare und Notarinnen
  4. weitere dem Berufsgeheimnis verpflichtete Berufstätige

So bietet ein professioneller Anbieter stets datenschutzkonforme sowie komplexe Geräte zur Aktenvernichtung – dies erfolgt entweder auf deren eigenen Grundstücken/Höfen oder zur Vermietung.

Zuständigkeiten in der Aktenvernichtung

Beim Datenschutz in Betrieben handelt es sich nach wie vor um die Angelegenheit des Vorgesetzten – so der Fachmann vom TÜV. Diesem zufolge sollten sich kleine Betriebe (unter zehn Mitarbeiter) eine Beratung für den Aufbau eines optimalen Aktenvernichtungsprozesses einholen – sofern natürlich nicht schon ein Datenschutzbeauftragter im Unternehmen tätig ist.

Schließlich gilt: Im Falle eines Verstoßes drohen hohe Bußgelder sowie voraussichtlich auch verschärfte Kontrollen.

No Comments

Add your comment