Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Gastbeitrag

TOMs beraten und prüfen: So gehen Sie bei Schutzmaßnahmen schlau vor

Gibt es neue Verarbeitungen im Unternehmen, sind Sie als Datenschutzbeauftragter der Ansprechpartner Nummer eins. Bei Ihrer Beratung oder bei Kontrollen geht es jedoch nicht nur um die passenden Rechtsgrundlagen. Von besonderer Bedeutung sind technische und organisatorische Schutzmaßnahmen. Denn die sorgen meist dafür, dass der Datenschutz praktisch sichergestellt wird.

Andreas Würtz

02.12.2024 · 5 Min Lesezeit

Behalten Sie Ihren Auftrag im Blick

Klar ist: Sie als Datenschutzbeauftragten trifft keine Verantwortung für die Umsetzung der gesetzlichen Anforderungen. Die liegt beim Verantwortlichen (Art. 24 Abs. 1 Datenschutz-Grundverordnung (DSGVO)). Dennoch kommt Ihnen eine besondere Rolle zu. Sie tragen dazu bei, dass das Unternehmen dieser Verantwortung gerecht werden kann. Meint man dennoch, dass Sie für den Datenschutz „verantwortlich“ seien, sollten Sie den Kollegen die vom Gesetzgeber für Sie vorgesehenen Aufgaben erklären. So sieht Art. 39 Abs. 1 DSGVO vor:

  • Sie beraten in allen Fragen des Schutzes personenbezogener Daten (Art. 39 Abs. 1 Buchst. a DSGVO). Dazu zählt auch, dass Sie relevante Datenschutzthemen, Risiken oder Handlungsbedarf von sich aus identifizieren und beispielsweise die Unternehmensleitung informieren.
  • Sie kontrollieren die Einhaltung und Anwendung der Festlegungen zum Datenschutz im Unternehmen (Art. 39 Abs. 1 Buchst. b DSGVO). Das bedeutet, Sie können sich beispielsweise einzelne Verarbeitungen anschauen und deren Vereinbarkeit mit der DSGVO oder betrieblichen Regelungen (z. B. Betriebsvereinbarungen) prüfen.

Diese Tipps machen Sie zum Profi

Als Experte im Datenschutz wissen Sie: Technische und organisatorische Schutzmaßnahmen müssen ergriffen werden. Da kommt niemand drum rum. Auch dass die wesentlichen Rahmenbedingungen sich aus Art. 32 DSGVO ergeben und der technisch-organisatorische Datenschutz frühzeitig berücksichtigt werden muss, etwa bei der Umsetzung des Prinzips „Data protection by design and default“ (Art. 26 DSGVO), liegt auf der Hand. Dennoch sollten Sie beim Beraten oder Prüfen von Schutzmaßnahmen immer diese Tipps im Hinterkopf behalten:

Tipp 1: Der Schutzbedarf ist entscheidend

Jedermann weiß: Mit Kanonen auf Spatzen zu schießen, bringt meist nicht den beabsichtigten Erfolg. Auch mit Schutzmaßnahmen kann man es übertreiben, wenn diese nicht angemessen sind. Damit Sie jedoch ausmachen können, was im konkreten Fall passt, brauchen Sie einen Bezugspunkt. Und das ist der sich aus der Schutzwürdigkeit der Daten bzw. der Verarbeitung ergebende Schutzbedarf.

Tipp 2: Machen Sie gemeinsame Sache

Datenschutz entwickelt sich nicht im stillen Kämmerlein. Gerade wenn es um das Beraten oder das Prüfen von technischen oder organisatorischen Schutzmaßnahmen geht, sollten Sie das nie als „One-Man-Show“ sehen. Unabhängig davon, welche Ausbildung oder welchen beruflichen Hintergrund Sie haben, ist klar: Sie können nicht in allem der Know-how-Profi sein. Damit die Sache mit den Schutzmaßnahmen rund wird, sollten Sie bei der Bewertung von Sachverhalten oder bei der Auswahl von Schutzmaßnahmen stets die zuständigen Kollegen und/oder weitere Know-how-Träger einbinden. So können etwa Kollegen aus der IT-Abteilung meist besser beurteilen, ob angedachte Maßnahmen tatsächlich dem Stand der Technik entsprechen.

Tool-Tipp: TOM-Kataloge per Knopfdruck anlegen
In „manageforwork | Datenschutz“ können Sie Kataloge aus Vorlagen generieren oder verarbeitungsspezifische Maßnahmen anlegen. Der Vorteil: Prüfen Sie Ihre Maßnahmen im Auditstil. Offene Aufgaben können Sie als To-do delegieren. So können Sie Ihre TOMs gemeinsam mit der IT implementieren. Testen Sie das Datenschutzmanagementsystem 14 Tage oder vereinbaren Sie einen Demotermin unter https://bit.ly/tom_test.

Tipp 3: Die Mischung macht’s

Mancher meint, dass Datenschutz in erster Linie durch technische Maßnahmen umgesetzt und sichergestellt werde. Das entbehrt jedoch jeglicher Grundlage. Gerade bei den Schutzmaßnahmen gibt es keine gesetzgeberische Entscheidung oder Empfehlung, dass in erster Linie technische Lösungen für angemessenen Datenschutz sorgen müssen. Auch organisatorische Maßnahmen, etwa (Arbeits-)Anweisungen, Regelwerke oder Prozesse, können gut geeignet sein, um Risiken zu minimieren. Entscheidend ist die Wirksamkeit der Maßnahmen. Dabei ist wichtig: Oft kommt es auf die Kombination von technischen und organisatorischen Maßnahmen an.

Tipp 4: Einmal reicht nicht

Sich bei der Planung einer Verarbeitung einmal mit den für einen angemessenen Schutz erforderlichen Maßnahmen beschäftigen ist zu wenig. Der Grund liegt auf der Hand: Nicht nur die Verarbeitung kann sich ändern. Auch die Bewertung von Gefahren, der sich daraus ergebenden Risiken und auch der Angemessenheit von Schutzmaßnahmen ist meist nicht von Dauer. Daher ist wichtig, dass die Schutzmaßnahmen regelmäßig überprüft und bewertet werden.

Tipp 5: Bleiben Sie an der Sache dran

Um angemessene Schutzmaßnahmen ausfindig zu machen und festzulegen, müssen Sie mit den Kollegen meist mehrere Runden drehen. Doch auch bei der Kontrolle einer Verarbeitung bzw. von diesbezüglichen Schutzmaßnahmen gilt: Bleiben Sie am Ball. Legen Sie mit den Zuständigen Termine fest, bis wann etwas erledigt sein soll bzw. bis wann Sie eine Rückmeldung erwarten. Gibt es hierzu keine Festlegungen oder muss erst ein Konzept ausgearbeitet werden, sollten Sie selbst zu gegebener Zeit nachhaken. Schließlich schafft sich ein angemessenes Schutzniveau nicht von selbst. Damit Sie das Nachhaken nicht vergessen, sollten Sie sich am besten gleich einen Termin im Kalender eintragen.

Kostenloses Webinar “TOMs aufsetzen und prüfen”
Sie möchten wissen, welche Musterkataloge die Gesetze vorgeben, wie Sie Maßnahmen effizient dokumentieren und andere Kollegen wie die IT-Abteilung einbinden? Entschlüsseln Sie das Mysterium TOMs im gratis Webinar. Dies wird täglich um 10 Uhr ausgestrahlt und dauert
ca. 60 Minuten. Melden Sie sich hier kostenlos an.

Tipp 6: Entwerfen Sie eine Stellungnahme bzw. einen Bericht

Datenschutz ist kompliziert. Das bekommt jeder zu spüren, der das Thema umsetzen will. Auch die beste Beratung hilft meist wenig, wenn sie nicht untermauert wird. Idealerweise unterstützen Sie die beratenen Kollegen dadurch, dass Sie Ihre Hinweise auch schriftlich geben, etwa in einer E-Mail im Nachgang zu einem Termin. So stellen Sie sicher, dass man Sie richtig versteht. Zugleich haben Sie die Möglichkeit zu dokumentieren, was Sie wie beraten haben.

Auch bei einer Prüfung ist ein Bericht unerlässlich: Zeigen Sie darin auf, was Sie wann geprüft und welche Feststellungen Sie gemacht haben. Doch mit dem Aufzeigen des „Problems“ ist es nicht getan. Nutzen Sie jede Prüfung auch als Gelegenheit für eine Beratung. Geben Sie Tipps, wie man Defizite beheben kann,
kann man die Umsetzung leichter angehen. Idealerweise vereinbaren Sie nicht nur Maßnahmen zur Behebung festgestellter Defizite. Legen Sie auch Erledigungstermine fest. Nach deren Ablauf sollten Sie schauen, ob die Umsetzung tatsächlich erfolgt ist.

Tipp 7: Sprechen Sie mit der Unternehmensleitung

Will man unvernünftigerweise an den Schutzmaßnahmen sparen oder schlägt man Ihre Hinweise in den Wind, sollten Sie nicht einfach einen Haken an die Sache machen. Informieren Sie zeitnah die Unternehmensleitung über die Angelegenheit und die damit verbundenen Risiken. Nicht selten kommt dann von ganz oben Schwung in die Sache.

Gehen Sie es geschickt an

Egal, ob Sie beraten oder prüfen wollen: Damit das in Sachen Schutzmaßnahmen Hand und Fuß hat, können Sie auf folgende Checkliste setzen. So stellen Sie sicher, dass Sie alle wichtigen Aspekte berücksichtigen und professionell auftreten.

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
9
0
19
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]