Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)
Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM — technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto “Weniger ist oftmals mehr” haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt “Gemeinsam sind wir stark”, wollen wir da nicht hintenanstehen.
Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.
Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.
Anregungen und Ideen zu Ergänzungen sind gerne willkommen.
Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.
Hier finden Sie noch einige Fragen und Antworten zu dieser Checkliste, die uns im Laufe der Zeit erreicht haben.
Bitte nutzen Sie die aktuelle Version 3.3 (Stand 29.04.2024):
Hahn IT Services, Schwaig
20 Responses
@DrThomasHelbing @askconsult hat dazu ein Muster veröffentlicht ?https://t.co/zmLALKkUAo
leider gibt mir diese Checkliste keinerlei Rückmeldung ob der jeweilige Betrieb dann auch auf der sicheren Seite ist. Bitte um Überarbeitung.
Hallo! Wenn Sie uns verraten, wie das aus einem Mix an kunterbunten Schutzmaßnahmen automatisch errechnet werden kann, greifen wir das gerne auf.
RT @kleibold23: @askconsult hat eine tolle Checkliste zu den TOMs für die Auftragsverarbeitung nach Art. 28 #DSGVO erstellt.
https://t.co/9…
RT @kleibold23: @askconsult hat eine tolle Checkliste zu den TOMs für die Auftragsverarbeitung nach Art. 28 #DSGVO erstellt.
https://t.co/9…
@askconsult hat eine tolle Checkliste zu den TOMs für die Auftragsverarbeitung nach Art. 28 #DSGVO erstellt.
https://t.co/9ggFLd8pY7
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
RT @askconsult: Kostenfreie Checkliste zur Darstellung der eigenen #TOM oder Überprüfung / Dokumentation der TOM von Auftragsverarbeitern #…
“#Checkliste #TOM #Auftragsverarbeitung nach Art. 28 #DSGVO — technische und organisatorische Maßnahmen” …… https://t.co/bp0sMWXGxq