Wie lassen sich TOMs effizient dokumentieren?

Die Datenschutz-Grundverordnung (DSGVO) sieht an vielen Stellen umfangreiche Dokumentationspflichten vor, die sich sowohl an den Verantwortlichen als auch an externe Dienstleister (in ihrer Rolle als Auftragsverarbeiter) richten.

Nach Art. 32 DSGVO sind beispielsweise die sog. technischen und organisatorischen Maßnahmen (TOMs) zu bewerten und zu dokumentieren, die vom Verantwortlichen und dem Auftragsverarbeiter zur Gewährleistung des angemessenen Schutzniveaus von personenbezogenen Daten zu treffen sind. Die Vorschrift präzisiert den in Art. 5 Abs. 1 lit. f DSGVO formulierten allgemeinen Grundsatz der Integrität und Vertraulichkeit der personenbezogenen Daten, weshalb dem Verantwortlichen und dem Auftragsverarbeiter – jeweils unabhängig voneinander – bestimmte datenschutzrechtliche Gewährleistungspflichten auferlegt werden.

Was sind TOMs eigentlich genau?

In Art. 32 Abs. 1 DSGVO werden einige Sicherheitsmaßnahmen beispielhaft aufgelistet, dabei allerdings nur sehr abstrakt beschrieben:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Daher sollten im Rahmen der eigenen Dokumentation tiefergehende Informationen, vielleicht auch technische Konzepte oder konkrete Maßnahmen (z.B. ein Backup-Konzept, Pentests, Löschkonzept oder Verschlüsselungsmethoden etc.) behandelt werden. Mit einer detaillierten Dokumentation der TOMs erfüllen Verantwortliche und Auftragsverarbeiter nicht nur ihre Pflichten, sondern können durch den Nachweis auch das Risiko eines Bußgeldes deutlich reduzieren.

Worauf kommt es bei der Dokumentation von TOMs an?

Kurz gesagt: Passgenaue Fragen – Passgenaue Antworten. Idealerweise sollten sich die Angaben möglichst an den konkreten Umständen und getroffenen Sicherheitsvorkehrungen orientieren, weswegen die Informationen recht umfangreich sein können und regelmäßig aktualisiert werden müssen. Je zutreffender die Angaben, desto besser! Das erspart auch Nachfragen von externen Prüfern. 

Nicht nur Zugänge zum Gebäude oder die eingesetzten Systeme und Anwendungen befinden sich im Wandel der Zeit, sondern auch interne Richtlinien oder Arbeitsanweisungen ändern sich. Verbesserungen durch neue Systeme oder höheren Schutzvorkehrungen, z.B. beim Zugriff auf Arbeitsmittel, sollten dann auch in den TOMs erwähnt werden.

Direkte Dokumentation und Pflege

Die konkret getroffenen TOMs sind vom Verantwortlichen wie auch vom Auftragsverarbeiter jeweils selbst zu bewerten und auch zu dokumentieren. Bei Audits oder der Auswahl des Auftragsverarbeiters (durch den Verantwortlichen) werden diese Maßnahmen in der Regel direkt abgefragt oder zumindest deren Dokumentation geprüft. Üblicherweise sollten bei der Auswahl des Auftragsverarbeiters und der Vertragsverhandlung die TOMs ein wesentlicher Gegenstand der Prüfung sein. Denn der Verantwortliche muss in der Lage sein, das Schutzniveau der Datenverarbeitung beim Auftragsverarbeiter jederzeit prüfen zu können. Eine Überprüfung der dokumentierten TOMs aufseiten des Auftragsverarbeiters sollte durch den Verantwortlichen je nach Sensibilität der Datenverarbeitung und Besonderheit der Umstände (z.B. einer Datenschutzverletzung) in einem Turnus von 2-3 Jahren vorgenommen und dokumentiert werden. 

Gleichwohl sollten der Verantwortliche wie auch der Auftragsverarbeiter bereits aus Gründen der Rechenschaftspflicht (nach Art. 5 Abs. 2 DSGVO) regelmäßig die selbst getroffenen technischen und organisatorischen Maßnahmen überprüfen, ggfs. an den Stand der Technik anpassen und die Dokumentation entsprechend aktualisieren.

Leichte Handhabung und nachweisbare Dokumentation mit DSN port 

Um hierbei einen effizienten Weg zu gehen und nicht seitenweise Checklisten (in verschiedenen Dateiformaten) oder Unterlagen in Papierform zu pflegen oder gar per E-Mail auszutauschen, bietet sich eine elektronische Erfassung der Angaben in DSN port an. In der im Modul Datenschutz vorgesehenen Kachel zu den TOMs können einzelne Fragenkataloge zu einem Firmensitz oder auch zu ausgewählten Bereichen bzw. Dienstleistungen erstellt und ausgefüllt werden. Die passgenauen Fragen lassen sich beantworten und durch weitere Infos bzw. der Ablage von weiterführenden Dokumenten ergänzen. So bleibt das ganze Wissen stets an einem zentralen Ort und ist nicht abhängig von einer Person oder einem persönlichen Laufwerk. 

Mit Bewertungsfeldern und Freitextfelder wird eine nachvollziehbare Bewertung abgebildet. Die Einträge können mit anderen Inhalten in DSN port verknüpft werden.

Wichtig zu wissen: Bei jeder Speicherung und der Versionierung des jeweiligen Eintrags wird mit einem Zeitstempel das aktuelle Datum hinterlegt, um somit rückwirkend auch die Bearbeitung oder finale Bewertung festzuhalten. Danach fragen auch die Auditoren im Prüfprozess. Die Zugriffe richten sich nach dem intern festgelegten Rollenkonzept, um keine unbefugten Zugriffe zuzulassen. 

Aber auch der Austausch der Einträge kann mittels Freigabe per Versand eines Deeplinks an eine ausgewählte Person einfach gestaltet werden. Während die Zusendung von Fragenkatalogen und Dokumenten per E-Mail immer gewisse Risiken mit sich bringen, kann die direkte Zusendung eines Links zum Eintrag in der gesicherten Umgebung von DSN port vieles sicherer und leichter handhabbar machen! Das ermöglicht einen einfachen und direkten Austausch und trotzdem behalten Sie durch die zentrale Verwaltung immer den Überblick.