Wir freuen uns immer wieder, dass unsere kostenfreie “Checkliste TOM Auftragsverarbeitung nach Art. 28 + 32 DSGVO — technische und organisatorische Maßnahmen” so tollen Anklang findet. Und wir freuen uns auch über das regelmäßige Feedback dazu per Email oder in den Kommentaren auf unserer Webseite. Wenn Fragen und Anmerkungen dazu per Email bei uns aufschlagen, sind diese samt unserer Erwiderungen dazu nicht auf der Webseite für andere Nutzer der Checkliste sichtbar. Daher greifen wir hier einfach mal ein paar Punkte auf:
“Die Checkliste umfasst gar nicht alle unsere internen technischen und organisatorischen Schutzmaßnahmen.”
Nun, dafür sind die Freifelder da, in die man weitere vorhandene Schutzmaßnahmen eintragen kann. Auch das am Ende eines jeden Abschnitts befindliche Freitextfeld kann für weitere Aufzählungen oder Beschreibungen verwendet werden.
“Die Checkliste TOM Auftragsverarbeitung enthält einige Maßnahmen, die es bei uns gar nicht gibt.”
Das ist ja nicht schlimm. Im Zweifel lassen Sie diese einfach leer. Oder noch besser: Da diese Maßnahmen sich ja in der Breite und ganz unabhängig von den unterschiedlichen Organisationsformen bewährt haben, könnten Sie ja auch überlegen, ob diese nicht bei Ihnen umgesetzt bzw. eingeführt werden sollten. Nur so als Idee …
“Wäre es nicht hilfreich, wenn die genannten Schutzmaßnahmen gleich die konkreten Bausteine und Anforderungen aus dem IT-Grundschutz bzw. controls und objectives aus der ISO 27001 referenzieren?”
Ja. 🙂 Da die Standards jedoch kontinuierlichen Anpassungen unterliegen, müsste die Checkliste regelmäßig auf mögliche Änderungen in den ISMS-Standards aktualisiert werden. Die Idee nehmen wir gerne auf, können aber eine Umsetzung in der Zukunft nicht versprechen.
“Der für uns (eine Behörde) zuständige Landesdatenschutzbeauftragte verneint die Verpflichtung auf die Vertraulichkeit, da es ja das Dienstgeheimnis gibt! Wieso steht das dann in der Checkliste?”
A) Weil es dazu auch andere Sichtweisen gibt und b) die Checkliste sich nicht auf den Einsatz in Behörden beschränkt (Grüße vom Tellerrand 😉 )
Und selbst wenn man sich dieser Sichtweise der Aufsichtsbehörde anschließt, könnte man die schriftliche Verpflichtung am Ende eines dokumentierten und geregelten Einarbeitungsprozess als Beleg für die korrekte Durchführung des Prozesses nutzen. Einarbeitungsprozess bedeutet übrigens nicht, dem Mitarbeiter hunderte Seiten Richtlinien und Anweisungen (alternativ einen pauschalen Verweis auf alle vorhandenen Richtlinien im Intranet) auf den Tisch zu legen und sich die Kenntnisnahme und Einhaltung im selben Moment bestätigen zu lassen 🙂 Dazu sei angemerkt, dass die Aufsichtsbehörden auch erst mal nur eine Meinung vertreten, die weder Pflicht noch Gesetz ist. Man kann und darf auch anderer Meinung sein, zumindest wenn es gute Gründe dafür gibt. Und die gibt es durchaus gar nicht so selten 😉
“Wird die Checkliste TOM Auftragsverarbeitung weiterentwickelt?”
Ja, klar. Wir haben dafür allerdings kein festes Update-Intervall vorgesehen. Aber alleine die aktuelle Versionsnummer 3.1 zeigt ja auf, dass die Liste “lebt”.
“Kann man die Checkliste kaufen?”
Nö. Aber sie steht ja zur Nutzung im definierten Umfang zur Verfügung. Wenn Sie diese “branden” wollen, können Sie uns gerne ansprechen.