Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)
Art. 28 DSGVO Auftragsverarbeiter schreibt die Überprüfung externer Dienstleister vor, ob ausreichend Garantien (TOM — technische und organisatorische Maßnahmen) für die sichere Verarbeitung im Sinne der DSGVO vorliegen. Da wir für unsere Kunden zahlreiche Dienstleister im Rahmen der bisherigen Auftragsdatenverarbeitung und zukünftigen Auftragsverarbeitung prüfen, schlagen hier nicht selten ordnerweise Dokumentationen über ein vorhandenes oder vermeintliches Schutzkonzept beim Dienstleister auf. Nach dem Motto “Weniger ist oftmals mehr” haben wir eine frühere Checkliste für technische und organisatorische Maßnahmen (TOM) vom Datenschutz-Guru RA Stephan Hansen-Oest ergänzt und im Hinblick auf die Sortierung der DSGVO überarbeitet. Da Stephan weite Teile seiner genialen Vorlagen und Muster kostenfrei zur Nutzung zur Verfügung stellt und auch beim Thema Datenschutz gilt “Gemeinsam sind wir stark”, wollen wir da nicht hintenanstehen.
Mittels der anhängenden Checkliste Technische und Organisatorische Maßnahmen, kurz TOM, als ausfüllbares Word-Formular kann jeder Dienstleister ohne allzu großen Zeitaufwand die bei ihm getroffenen Schutzmaßnahmen dokumentieren (click & dirty). Diese Angaben überprüft der Auftraggeber, kann bei Bedarf nachfragen oder Punkte im Detail klären. Mit der Ergebnisprotokollierung am Ende sollte auch der Dokumentations- und Rechenschaftspflicht zu dem Punkt Genüge getan sein. Ein Auftraggeber kann seinem Dienstleister diese Checkliste auch direkt zusenden, damit dieser seine Dokumentation erstellen und zurücksenden kann. Als Anhang zur Vereinbarung zur Auftragsverarbeitung von Stephan eignet sich das Dokument ebenso. Kleiner Nebeneffekt: Wenn der Auftraggeber damit seine TOM dokumentiert, kann er auf diese Standard-TOM im Verzeichnis von Verarbeitungstätigkeiten verweisen und muss dort diese Angaben nicht erneut wiederholen.
Bitte beachten: Diese Checkliste entbindet natürlich nicht von der konkreten Prüfung, ob die genannten Schutzmaßnahmen für das angestrebte Schutzziel ausreichend sind. Im Zweifel sind die Angaben mit weiterer Dokumentation, Interviews oder Vor-Ort-Prüfungen zu vertiefen.
Anregungen und Ideen zu Ergänzungen sind gerne willkommen.
Auftragsverarbeitung ist übrigens nichts Neues. Bisher hieß es Auftragsdatenverarbeitung. Es sind jedoch einige Ergänzungen und höhere Dokumentationsanforderungen hinzugekommen.
Hier finden Sie noch einige Fragen und Antworten zu dieser Checkliste, die uns im Laufe der Zeit erreicht haben.
Bitte nutzen Sie die aktuelle Version 3.1:
Comments are closed