Anmerkungen zu unserer Checkliste TOM Auftragsverarbeitung nach Art. 28 und 32 DSGVO

Wir freu­en uns immer wie­der, dass unse­re kos­ten­freie “Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men” so tol­len Anklang fin­det. Und wir freu­en uns auch über das regel­mä­ßi­ge Feed­back dazu per Email oder in den Kom­men­ta­ren auf unse­rer Web­sei­te. Wenn Fra­gen und Anmer­kun­gen dazu per Email bei uns auf­schla­gen, sind die­se samt unse­rer Erwi­de­run­gen dazu nicht auf der Web­sei­te für ande­re Nut­zer der Check­lis­te sicht­bar. Daher grei­fen wir hier ein­fach mal ein paar Punk­te auf:

“Die Check­lis­te umfasst gar nicht alle unse­re inter­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutzmaßnahmen.”

Nun, dafür sind die Frei­fel­der da, in die man wei­te­re vor­han­de­ne Schutz­maß­nah­men ein­tra­gen kann. Auch das am Ende eines jeden Abschnitts befind­li­che Frei­text­feld kann für wei­te­re Auf­zäh­lun­gen oder Beschrei­bun­gen ver­wen­det werden.

“Die Check­lis­te TOM Auf­trags­ver­ar­bei­tung ent­hält eini­ge Maß­nah­men, die es bei uns gar nicht gibt.”

Das ist ja nicht schlimm. Im Zwei­fel las­sen Sie die­se ein­fach leer. Oder noch bes­ser: Da die­se Maß­nah­men sich ja in der Brei­te und ganz unab­hän­gig von den unter­schied­li­chen Orga­ni­sa­ti­ons­for­men bewährt haben, könn­ten Sie ja auch über­le­gen, ob die­se nicht bei Ihnen umge­setzt bzw. ein­ge­führt wer­den soll­ten. Nur so als Idee …

“Wäre es nicht hilf­reich, wenn die genann­ten Schutz­maß­nah­men gleich die kon­kre­ten Bau­stei­ne und Anfor­de­run­gen aus dem IT-Grund­schutz bzw. con­trols und objec­ti­ves aus der ISO 27001 referenzieren?”

Ja. 🙂 Da die Stan­dards jedoch kon­ti­nu­ier­li­chen Anpas­sun­gen unter­lie­gen, müss­te die Check­lis­te regel­mä­ßig auf mög­li­che Ände­run­gen in den ISMS-Stan­dards aktua­li­siert wer­den. Die Idee neh­men wir ger­ne auf, kön­nen aber eine Umset­zung in der Zukunft nicht versprechen.

“Der für uns (eine Behör­de) zustän­di­ge Lan­des­da­ten­schutz­be­auf­trag­te ver­neint die Ver­pflich­tung auf die Ver­trau­lich­keit, da es ja das Dienst­ge­heim­nis gibt! Wie­so steht das dann in der Checkliste?”

A) Weil es dazu auch ande­re Sicht­wei­sen gibt und b) die Check­lis­te sich nicht auf den Ein­satz in Behör­den beschränkt (Grü­ße vom Tellerrand 😉 )

Und selbst wenn man sich die­ser Sicht­wei­se der Auf­sichts­be­hör­de anschließt, könn­te man die schrift­li­che Ver­pflich­tung am Ende eines doku­men­tier­ten und gere­gel­ten Ein­ar­bei­tungs­pro­zess als Beleg für die kor­rek­te Durch­füh­rung des Pro­zes­ses nut­zen. Ein­ar­bei­tungs­pro­zess bedeu­tet übri­gens nicht, dem Mit­ar­bei­ter hun­der­te Sei­ten Richt­li­ni­en und Anwei­sun­gen (alter­na­tiv einen pau­scha­len Ver­weis auf alle vor­han­de­nen Richt­li­ni­en im Intra­net) auf den Tisch zu legen und sich die Kennt­nis­nah­me und Ein­hal­tung im sel­ben Moment bestä­ti­gen zu las­sen 🙂 Dazu sei ange­merkt, dass die Auf­sichts­be­hör­den auch erst mal nur eine Mei­nung ver­tre­ten, die weder Pflicht noch Gesetz ist. Man kann und darf auch ande­rer Mei­nung sein, zumin­dest wenn es gute Grün­de dafür gibt. Und die gibt es durch­aus gar nicht so selten 😉

“Wird die Check­lis­te TOM Auf­trags­ver­ar­bei­tung weiterentwickelt?”

Ja, klar. Wir haben dafür aller­dings kein fes­tes Update-Inter­vall vor­ge­se­hen. Aber allei­ne die aktu­el­le Ver­si­ons­num­mer 3.1 zeigt ja auf, dass die Lis­te “lebt”.

“Kann man die Check­lis­te kaufen?”

Nö. Aber sie steht ja zur Nut­zung im defi­nier­ten Umfang zur Ver­fü­gung. Wenn Sie die­se “bran­den” wol­len, kön­nen Sie uns ger­ne ansprechen.