Zum Inhalt springen

Checkliste

Anmer­kun­gen zu unse­rer Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 und 32 DSGVO

Wir freu­en uns immer wie­der, dass unse­re kos­ten­freie “Check­lis­te TOM Auf­trags­ver­ar­bei­tung nach Art. 28 + 32 DSGVO — tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men” so tol­len Anklang fin­det. Und wir freu­en uns auch über das regel­mä­ßi­ge Feed­back dazu per Email oder in den Kom­men­ta­ren auf unse­rer Web­sei­te. Wenn Fra­gen und Anmer­kun­gen dazu per Email bei uns auf­schla­gen, sind die­se samt unse­rer Erwi­de­run­gen dazu nicht auf der Web­sei­te für ande­re Nut­zer der Check­lis­te sicht­bar. Daher grei­fen wir hier ein­fach mal ein paar Punk­te auf:

“Die Check­lis­te umfasst gar nicht alle unse­re inter­nen tech­ni­schen und orga­ni­sa­to­ri­schen Schutzmaßnahmen.”

Nun, dafür sind die Frei­fel­der da, in die man wei­te­re vor­han­de­ne Schutz­maß­nah­men ein­tra­gen kann. Auch das am Ende eines jeden Abschnitts befind­li­che Frei­text­feld kann für wei­te­re Auf­zäh­lun­gen oder Beschrei­bun­gen ver­wen­det werden.

“Die Check­lis­te TOM Auf­trags­ver­ar­bei­tung ent­hält eini­ge Maß­nah­men, die es bei uns gar nicht gibt.”

Das ist ja nicht schlimm. Im Zwei­fel las­sen Sie die­se ein­fach leer. Oder noch bes­ser: Da die­se Maß­nah­men sich ja in der Brei­te und ganz unab­hän­gig von den unter­schied­li­chen Orga­ni­sa­ti­ons­for­men bewährt haben, könn­ten Sie ja auch über­le­gen, ob die­se nicht bei Ihnen umge­setzt bzw. ein­ge­führt wer­den soll­ten. Nur so als Idee …

“Wäre es nicht hilf­reich, wenn die genann­ten Schutz­maß­nah­men gleich die kon­kre­ten Bau­stei­ne und Anfor­de­run­gen aus dem IT-Grund­schutz bzw. con­trols und objec­ti­ves aus der ISO 27001 referenzieren?”

Ja. 🙂 Da die Stan­dards jedoch kon­ti­nu­ier­li­chen Anpas­sun­gen unter­lie­gen, müss­te die Check­lis­te regel­mä­ßig auf mög­li­che Ände­run­gen in den ISMS-Stan­dards aktua­li­siert wer­den. Die Idee neh­men wir ger­ne auf, kön­nen aber eine Umset­zung in der Zukunft nicht versprechen.

“Der für uns (eine Behör­de) zustän­di­ge Lan­des­da­ten­schutz­be­auf­trag­te ver­neint die Ver­pflich­tung auf die Ver­trau­lich­keit, da es ja das Dienst­ge­heim­nis gibt! Wie­so steht das dann in der Checkliste?”

A) Weil es dazu auch ande­re Sicht­wei­sen gibt und b) die Check­lis­te sich nicht auf den Ein­satz in Behör­den beschränkt (Grü­ße vom Tellerrand 😉 )

Und selbst wenn man sich die­ser Sicht­wei­se der Auf­sichts­be­hör­de anschließt, könn­te man die schrift­li­che Ver­pflich­tung am Ende eines doku­men­tier­ten und gere­gel­ten Ein­ar­bei­tungs­pro­zess als Beleg für die kor­rek­te Durch­füh­rung des Pro­zes­ses nut­zen. Ein­ar­bei­tungs­pro­zess bedeu­tet übri­gens nicht, dem Mit­ar­bei­ter hun­der­te Sei­ten Richt­li­ni­en und Anwei­sun­gen (alter­na­tiv einen pau­scha­len Ver­weis auf alle vor­han­de­nen Richt­li­ni­en im Intra­net) auf den Tisch zu legen und sich die Kennt­nis­nah­me und Ein­hal­tung im sel­ben Moment bestä­ti­gen zu las­sen 🙂 Dazu sei ange­merkt, dass die Auf­sichts­be­hör­den auch erst mal nur eine Mei­nung ver­tre­ten, die weder Pflicht noch Gesetz ist. Man kann und darf auch ande­rer Mei­nung sein, zumin­dest wenn es gute Grün­de dafür gibt. Und die gibt es durch­aus gar nicht so selten 😉

“Wird die Check­lis­te TOM Auf­trags­ver­ar­bei­tung weiterentwickelt?”

Ja, klar. Wir haben dafür aller­dings kein fes­tes Update-Inter­vall vor­ge­se­hen. Aber allei­ne die aktu­el­le Ver­si­ons­num­mer 3.1 zeigt ja auf, dass die Lis­te “lebt”.

“Kann man die Check­lis­te kaufen?”

Nö. Aber sie steht ja zur Nut­zung im defi­nier­ten Umfang zur Ver­fü­gung. Wenn Sie die­se “bran­den” wol­len, kön­nen Sie uns ger­ne ansprechen.

 

Check­lis­te Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men (TOM) aktualisiert

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
7944 Downloads

Daten­schutz-Skan­dal: Anwalts-Akten lan­den im Altpapier

Tat­ort: Alt­pa­pier­con­tai­ner, Super­markt-Park­platz in Schwarzenbek

In die­sem fand ein ahnungs­lo­ser Bür­ger unzäh­li­ge Akten meh­re­rer Anwalts­kanz­lei­en, die über einen län­ge­ren Zeit­raum ange­legt wur­den. Bri­san­ter Inhalt: Pfän­dun­gen, Haft­an­trä­ge, ver­trau­li­che Infor­ma­tio­nen u.a. aus Recher­chen pri­va­ter Ermitt­ler. Lapi­da­rer Kom­men­tar des Lan­des­da­ten­schutz­be­auf­trag­ten Dr. Thi­lo Wei­chert (ULD): “Das hat defi­ni­tiv nichts in einem Alt­pa­pier­con­tai­ner zu suchen”. “Lei­der”, so Wei­chert, “pas­siert so etwas aber all­zu oft.”

Damit ist die Sache für die betrof­fe­nen Anwalts­kanz­lei­en jedoch nicht aus­ge­stan­den. Wei­chert hat die Unter­la­gen bereits ange­for­dert und wird der ille­ga­len Ent­sor­gung nach­ge­hen. Sehr zum Leid­we­sen der Anwalts­kam­mer, wel­che die Rechts­auf­fas­sung ver­tritt, die schles­wig-hol­stei­ni­sche Lan­des­da­ten­schutz­be­hör­de sei — und zwar aus Daten­schutz­grün­den — gar nicht zustän­dig, denn Anwäl­te wür­den der Schwei­ge­pflicht unter­lie­gen. Doch mit die­ser scheint es nicht weit her zu sein. Erfährt der Leser der gefun­de­nen Akten doch z.B. zahl­rei­che Details über die wirt­schaft­li­che Situa­ti­on der Mandanten.

Der gefun­de­ne Akten­sta­pel ist über einen hal­ben Meter hoch. Da der Alt­pa­pier­con­tai­ner voll war, klemm­ten die Akten unter dem Deckel und waren für jeder­mann ein­zu­se­hen, so der Finder.

Schwei­ge­pflicht ver­sus Datenschutz

Die­se Dis­kus­si­on fin­det man als Daten­schutz­be­auf­trag­ter sehr häu­fig in der täg­li­chen Pra­xis. Gesetz­lich vor­ge­schrie­be­ne Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung wer­den ver­neint unter Bezug­nah­me auf die Schwei­ge­pflicht u.a. nach § 203 StGB Ver­let­zung von Pri­vat­ge­heim­nis­sen. Hier­zu hat das ULD eine Stel­lung­nah­me ver­öf­fent­licht, in der nach­voll­zieh­bar die Rege­lungs- und Umset­zungs­pflicht aus dem Bun­des­da­ten­schutz­ge­setz (BDSG) für Anwäl­te dar­ge­legt ist. So hat auch das Ber­li­ner Kam­mer­ge­richt unter dem Akten­zei­chen 2 Ss 23/​07, 1 Ws (B) 51/​07 — 2 Ss 23/​07 im August 2010 klar­ge­stellt, dass die Schwei­ge­pflicht und BDSG sich nicht erset­zen, son­dern ergänzen.

Der DAV (Deut­scher Anwalt­ver­ein) hat dies erkannt und sei­nen Mit­glie­dern in der Depe­che 2010–42 eine ent­spre­chen­de Check­lis­te für die Berei­che IT-Ein­satz, exter­ne Dienst­leis­ter, Daten­si­che­rung und Archi­vie­rung, Ver­schlüs­se­lung und die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten zur Ver­fü­gung gestellt.

Quel­len:

Zum The­ma:
Hilf­rei­che Links
  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sende Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gige Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­nare.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Das Inter­net ver­gisst nichts! — Schutz von Kin­dern und Jugend­li­chen im Netz

So lau­tet die Über­schrift eines Kapi­tels der PDF — Online — Bro­schü­re “ICH SUCHE DICH! Wer bist Du?”, her­aus­ge­ge­ben von jugend​netz​-ber​lin​.de und dem Ber­li­ner Beauf­trag­te für Daten­schutz und Informationsfreiheit.

“Hast du auch ein Pro­fil in einem sozia­len Netz­werk, wie schü­lerVZ, stu­diVZ, Face­book oder wer-kennt-wen? Was erfährt man über dich? Wel­che Infor­ma­tio­nen gibst du preis?”, so lau­ten die ein­lei­ten­den Fra­gen.

Anhand eines Fra­gen­ka­ta­logs wer­den Jugend­li­che an das The­ma her­an­ge­führt und sen­si­bi­li­siert, bei aller Inter­net-Eupho­rie den Schutz der eige­nen Pri­vat­sphä­re nicht zu ver­ges­sen. Denn das Inter­net ver­gisst nicht nur nichts, es ist nun mal auch ein öffent­li­ches Medi­um. Schnell sind Infor­ma­tio­nen für alle zugäng­lich, deren Streu­ung man so gar nicht bedacht hat. Prak­ti­sche Tipps run­den die Bro­schü­re als emp­feh­lens­wer­te Infor­ma­ti­ons- und Auf­klä­rungs­quel­le — nicht nur — für Jugend­li­che ab.

Immer im Hin­ter­kopf soll­te man die­ses Zitat behal­ten, wenn man hier und heu­te Bil­der, Kom­men­ta­re oder wei­te­re Anga­ben im Inter­net kom­mu­ni­ziert: “Das Inter­net­ar­chiv (www​.archi​ve​.org) hat sich vor­ge­nom­men, das gesam­te Inter­net zu archi­vie­ren. Von jeder erfass­ten Web­sei­te sind auf einem Zeit­strahl auch frü­he­re Ver­sio­nen vor­han­den, also viel­leicht auch per­sön­li­che Daten zu lesen, die eigent­lich längst gelöscht sein sollten.”

Update vom 20.09.2010:

In einem aktu­el­len Bei­trag greift Gui­do Strunck in sei­nem Blog zu IT-Sicher­heit die­ses The­ma auf und warnt vor der Lang­le­big­keit von Daten und Infor­ma­tio­nen im Internet

  • Das Arsch­ge­weih im Inter­net – von der Lang­le­big­keit der Daten in sozia­len Netzwerken

Update vom 03.12.2010:

Bun­des­da­ten­schüt­zer star­tet Datenschutz-Wiki

Peter Schaar (Foto: BUND)

Der Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar hat die Anre­gun­gen und Vor­schlä­ge aus dem Daten­schutz-Forum des Bun­des auf­ge­grif­fen und ein Daten­schutz-Wiki initi­iert. Häu­fi­ger Kri­tik­punkt war, es wür­de an einem umfas­sen­den und aktu­el­len Infor­ma­ti­ons­pool zum Daten­schutz man­geln, egal ob pri­vat ober beruflich.

Im nun gestar­te­ten Daten­schutz-Wiki sol­len Grund­sät­ze und Fach­be­grif­fe des Daten­schutz leicht ver­ständ­lich vor­ge­stellt und erklärt wer­den. Arbeits­in­stru­men­te wie Check­lis­ten oder Mus­ter­ver­trä­ge sol­len das Ange­bot abrunden.

Schaar hier­zu: “Wir gehen hier bewusst einen neu­en Weg, indem wir allen Inter­es­sier­ten eine Platt­form bie­ten, ihren Sach­ver­stand ande­ren Men­schen über das Inter­net zur Ver­fü­gung zu stel­len. Alle, die beim Auf­bau des Daten­schutz-Wiki mit­ma­chen wol­len, sind eingeladen.”

Lai­en und Fach­leu­te sol­len glei­cher­ma­ßen ange­spro­chen werden.

Die mobile Version verlassen