Überprüfung, Bewertung und Evaluierung der TOM

Gemäß Art. 32 Abs. 1 DSGVO (Datenschutz-Grundverordnung) haben alle Verantwortlichen und Auftragsverarbeiter die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau im Rahmen der Verarbeitung der personenbezogenen Daten zu gewährleisten.

Hinsichtlich der konkreten Maßnahmen, die in diesem Zusammenhang zu ergreifen sind, findet sich in der Verordnung jedoch keine abschließende Regelung. Die DSGVO nennt nur einige Beispiele und formuliert sogenannte Schutzziele in den Bestimmungen des Art. 32 Abs. 1 lit. a bis d DSGVO, die durch Verantwortliche und Auftragsverarbeiter zu beachten sind. Neben den Schutzzielen ist in Art. 32 Abs. 1 lit. d DSGVO zusätzlich ein Verfahren geregelt, welches sicherstellen soll, dass die TOM stets an die aktuellen Anforderungen und Entwicklungen angepasst werden. Die Verordnung fordert:

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Im Folgenden reduzieren wir die etwas sperrige Formulierung des Schutzziels aus Gründen der Vereinfachung auf „TOM-Überprüfung“.

Seit Anwendbarkeit der DSGVO im Jahr 2018 haben wir uns mit dem Thema der TOM-Überprüfung bereits ausführlich beschäftigt (hierzu vgl. unseren Beitrag aus August 2018). Damals haben wir uns in erster Linie gefragt, was zu überprüfen, zu bewerten und zu evaluieren ist, wie das Ganze durchgeführt werden kann und vor allem auch wie oft eine solche Überprüfung stattzufinden hat.

Als wir den damaligen Artikel verfasst haben, gab es zu diesem Thema noch keine (Bußgeld-)Entscheidungen der Aufsichtsbehörden, die deutlich gemacht hätten, wie wichtig die regelmäßige Überprüfung, Bewertung und Evaluierung ist. Es war zu dem Zeitpunkt auch nicht klar, was zu befürchten wäre, wenn Verantwortliche die gesetzliche Vorgabe aus Art. 32 Abs. 1 lit. d DSGVO nicht oder nicht vollumfänglich erfüllen. Inzwischen liegen aufsichtsbehördliche Entscheidungen vor, über die wir hier berichten möchten.

Entscheidung der französischen Aufsichtsbehörde CNIL:

Die französische Aufsichtsbehörde Comission Nationale de l’informatique et des libertés (CNIL) hat in einem Bußgeldverfahren gegen einen Verantwortlichen und seinen Auftragsverarbeiter jeweils ein Bußgeld festgesetzt, und zwar in Höhe von 150.000 EUR gegen den Verantwortlichen und 75.000 EUR gegen den Auftragsverarbeiter.

Das Bußgeld wurde verhängt, weil die CNIL Verstöße gegen Art. 32 DSGVO festgestellt hat. Sie war also der Meinung, dass im Rahmen der Abwicklung des Auftragsverhältnisses die technischen und organisatorischen Maßnahmen nicht ausreichend waren.

Die CNIL warf dem Verantwortlichen und dem Auftragsverarbeiter vor, dass sie nur langsam Maßnahmen ergriffen hätten, um wiederholten Angriffen auf die IT-Infrastruktur (es handelte sich um eine größere Online-Verkaufsplattform) wirksam zu begegnen. Der Mangel an Sorgfalt führte demzufolge dazu, dass Daten von ca. 40.000 Kund*innen der Online-Verkaufsplattform zwischen März 2018 und Februar 2019 für unberechtigte Dritte zugänglich waren.

Die französische Aufsichtsbehörde vertritt in ihrer Pressemitteilung die Auffassung, dass der Auftragsverarbeiter nach den am besten geeigneten technischen und organisatorischen Maßnahmen suchen und diese dem Verantwortlichen vorschlagen müsse, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Im Endeffekt geht es also darum, dass der Auftragsverarbeiter hier seiner Verpflichtung, die von ihm getroffenen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu überprüfen, zu bewerten und zu evaluieren, nicht ausreichend nachgekommen war. Somit konnte er weitere erforderliche Maßnahmen nicht erkennen und ergreifen.

Die Pressemitteilung der CNIL vom 27.01.2021 ist (in französischer Sprache) abrufbar unter:
https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant.

Entscheidung der polnischen Aufsichtsbehörde UODO:

Die polnische Aufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) hat in einem ähnlich gelagerten Fall, wie er der Entscheidung durch die CNIL zugrunde lag, ein wesentlich höheres Bußgeld festgesetzt, und zwar umgerechnet 460.000 EUR.

Nach Feststellungen der UODO hatte das mit dem Bußgeld belegte Unternehmen versäumt, regelmäßige und umfassende Tests, Messungen und Bewertungen der Wirksamkeit der TOM durchzuführen. Diesbezügliche Aktivitäten wurden nur bei einem konkreten Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt. Zudem gab es keine Tests, um die Sicherheitsvorkehrungen im Zusammenhang mit der Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Kund*innen des Unternehmens zusammenhängen, zu überprüfen. Die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle wurde durch Unbefugte ausgenutzt, um Zugriff auf Daten von Kund*innen des Unternehmens zu erhalten.

Die UODO widersprach dem für die Verarbeitung Verantwortlichen, der behauptete, die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten geprüft und überwacht zu haben. Die Aufsichtsbehörde vertrat die Auffassung, dass diese Aktivitäten weder regelmäßig noch umfassend waren, da sie nur gelegentlich durchgeführt wurden und nicht alle Systeme abdeckten, in denen die Daten verarbeitet wurden.

Weitere Informationen zu dem Sachverhalt in englischer Sprache sowie Links zu den Informationen der UODO in Polnisch sind abrufbar auf der Webseite des Europäischen Datenschutzausschusses (EDSA) unter:
https://edpb.europa.eu/news/national-news/2021/polish-dpa-virgin-mobile-polska-incidental-safeguards-review-not-regular_en.

Fazit:

Anhand der beiden Entscheidungen, die nun im Zusammenhang mit der TOM-Überprüfung vorliegen, sieht man deutlich, dass es nicht ausreicht, lediglich Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Diese müssen auch regelmäßig und systematisch überprüft werden. Darüber hinaus muss diese regelmäßige Überprüfung nachweisbar sein. Genau diese Anforderung können derzeit zahlreiche Unternehmen nicht erfüllen. Häufig ist die Maßnahme „Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen“ lediglich eine Überschrift im Anhang einer Vereinbarung zur Auftragsverarbeitung, ohne dass eine solche auch die gelebte Praxis wäre. Und nur in einem Bruchteil der Unternehmen existiert hierzu ein echtes Konzept, das auch tatsächlich gelebt wird.

Dass diese Einstellung fatale Folgen haben kann, wird spätestens jetzt deutlich, so dass unser Appell sowohl an die Verantwortlichen als auch die Auftragsverarbeiter, die personenbezogenen Daten verarbeiten, nur lauten kann:

Überprüfen, bewerten und evaluieren Sie Ihre TOM regelmäßig. Und bitte tun Sie das nicht nur auf dem Papier, sondern auch im realen Leben. Führen Sie regelmäßige Tests durch und dokumentieren Sie diese. Und um insbesondere als Auftragsverarbeiter Ihr Bußgeldrisiko zu verringern, gehen Sie auf Ihre Auftraggeber*innen auch aktiv zu, wenn sich im Rahmen solcher Tests zeigen sollte, dass neben den bereits vereinbarten Maßnahmen, weitere Maßnahmen notwendig werden sollten.

Übrigens: Über dieses Thema haben wir auch im Rahmen unseres gemeinsam mit unserem Kooperationspartner, der bITs GmbH betriebenen Podcasts „Nichts zu verbergen – Das Datenschutz-Kaffeekränzchen“ in Folge 9 ausführlich geplaudert. Interesse? – Dann hören Sie doch einfach mal auf einer Plattform Ihrer Wahl rein!