Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

06. Juli 2017

Tipps zur Auswahl von TOMs

DP+
Tipps zur Auswahl von TOMs
0,00 (0)
Technische und organisatorische Maßnahmen
Die Datenschutz-Grundverordnung (DSGVO) stärkt den technischen Datenschutz. Sie bleibt aber vage, was konkrete Maßnahmen angeht. Wir stellen Möglichkeiten vor, diese Lücke zu füllen.

Die vermeintlich einfachen Kontrollpflichten der Anlage des § 9 Bundesdatenschutzgesetz (BDSG) verführen bisher dazu, sie als rein formale Punkte zu verstehen.

In generische Checklisten umgesetzt, ermöglicht das zwar eine einfache Anwendung für „jedermann“. Es führt aber dazu, dass die technischen und organisatorischen Maßnahmen (TOMs) mitunter zwei wichtige Anforderungen nicht erfüllen:

1. Wirksamkeit

Die technischen und organisatorischen Maßnahmen müssen, umgangssprachlich gesagt, auch etwas „bringen“, d.h. sie sollen dazu beitragen, die datenschutzrechtlichen Anforderungen umzusetzen. Negativbeispiele sind etwa

  • die schlichte Nennung von Firewalls zum Schutz gegen externe Angreifer (bringen bei Web-Hacking-Angriffen nichts),
  • Hashverfahren als vermeintlich geeignete Anonymisierungsverfahren (sind sie meist nicht) oder
  • die pauschale Nennung von Rollen-Rechte-Konzepten (erst die korrekte Umsetzung bringt den Schutz).

Auch hängen die TOMs vom Anwendungsszenario ab. Eine Aktenvernichtung benötigt andere Maßnahmen als der Betrieb eines Cloud-Service oder einer smarten Anwendung wie Pay-as-you-drive-Tarife von Versicherungen.

Wirksame technische Konzepte

Die Grundverordnung nennt ausdrücklich zwei technische Konzepte, die zu den wirksamsten des Datenschutzes gehören – sofern sie richtig eingesetzt werden:

Pseudonymisierung

Unter Pseudonymisierung versteht man das Ersetzen eines identifizierenden personenbezogenen Datums (z.B. Name, E-Mail-Adresse,  Versichertennummer) mit einem neuen Wert (dem Pseudonym), sodass nur bestimmte Stellen/Personen des Verant…

Andreas Sachs
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andreas Sachs
Andreas Sachs ist Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Darüber hinaus leitet er das Referat Technischer Datenschutz und IT-Sicherheit beim BayLDA.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.