Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
überprüfung tom ransomware trojaner NIS-2 BSIG NIS2UmsuCG

Überprüfung, Bewertung und Evaluierung der TOM – es wird ernst

24. März 2021/von Datenschutzbeauftragter/oba

Gemäß Art. 32 Abs. 1 DSGVO (Datenschutz-Grundverordnung) haben alle Verantwortlichen und Auftragsverarbeiter die Pflicht, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau im Rahmen der Verarbeitung der personenbezogenen Daten zu gewährleisten.

Hinsichtlich der konkreten Maßnahmen, die in diesem Zusammenhang zu ergreifen sind, findet sich in der Verordnung jedoch keine abschließende Regelung. Die DSGVO nennt nur einige Beispiele und formuliert sogenannte Schutzziele in den Bestimmungen des Art. 32 Abs. 1 lit. a bis d DSGVO, die durch Verantwortliche und Auftragsverarbeiter zu beachten sind. Neben den Schutzzielen ist in Art. 32 Abs. 1 lit. d DSGVO zusätzlich ein Verfahren geregelt, welches sicherstellen soll, dass die TOM stets an die aktuellen Anforderungen und Entwicklungen angepasst werden. Die Verordnung fordert:

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Im Folgenden reduzieren wir die etwas sperrige Formulierung des Schutzziels aus Gründen der Vereinfachung auf „TOM-Überprüfung“.

Seit Anwendbarkeit der DSGVO im Jahr 2018 haben wir uns mit dem Thema der TOM-Überprüfung bereits ausführlich beschäftigt (hierzu vgl. unseren Beitrag aus August 2018). Damals haben wir uns in erster Linie gefragt, was zu überprüfen, zu bewerten und zu evaluieren ist, wie das Ganze durchgeführt werden kann und vor allem auch wie oft eine solche Überprüfung stattzufinden hat.

Als wir den damaligen Artikel verfasst haben, gab es zu diesem Thema noch keine (Bußgeld-)Entscheidungen der Aufsichtsbehörden, die deutlich gemacht hätten, wie wichtig die regelmäßige Überprüfung, Bewertung und Evaluierung ist. Es war zu dem Zeitpunkt auch nicht klar, was zu befürchten wäre, wenn Verantwortliche die gesetzliche Vorgabe aus Art. 32 Abs. 1 lit. d DSGVO nicht oder nicht vollumfänglich erfüllen. Inzwischen liegen aufsichtsbehördliche Entscheidungen vor, über die wir hier berichten möchten.

Entscheidung der französischen Aufsichtsbehörde CNIL:

Die französische Aufsichtsbehörde Comission Nationale de l’informatique et des libertés (CNIL) hat in einem Bußgeldverfahren gegen einen Verantwortlichen und seinen Auftragsverarbeiter jeweils ein Bußgeld festgesetzt, und zwar in Höhe von 150.000 EUR gegen den Verantwortlichen und 75.000 EUR gegen den Auftragsverarbeiter.

Das Bußgeld wurde verhängt, weil die CNIL Verstöße gegen Art. 32 DSGVO festgestellt hat. Sie war also der Meinung, dass im Rahmen der Abwicklung des Auftragsverhältnisses die technischen und organisatorischen Maßnahmen nicht ausreichend waren.

Die CNIL warf dem Verantwortlichen und dem Auftragsverarbeiter vor, dass sie nur langsam Maßnahmen ergriffen hätten, um wiederholten Angriffen auf die IT-Infrastruktur (es handelte sich um eine größere Online-Verkaufsplattform) wirksam zu begegnen. Der Mangel an Sorgfalt führte demzufolge dazu, dass Daten von ca. 40.000 Kund*innen der Online-Verkaufsplattform zwischen März 2018 und Februar 2019 für unberechtigte Dritte zugänglich waren.

Die französische Aufsichtsbehörde vertritt in ihrer Pressemitteilung die Auffassung, dass der Auftragsverarbeiter nach den am besten geeigneten technischen und organisatorischen Maßnahmen suchen und diese dem Verantwortlichen vorschlagen müsse, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Im Endeffekt geht es also darum, dass der Auftragsverarbeiter hier seiner Verpflichtung, die von ihm getroffenen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu überprüfen, zu bewerten und zu evaluieren, nicht ausreichend nachgekommen war. Somit konnte er weitere erforderliche Maßnahmen nicht erkennen und ergreifen.

Die Pressemitteilung der CNIL vom 27.01.2021 ist (in französischer Sprache) abrufbar unter:
https://www.cnil.fr/fr/credential-stuffing-la-cnil-sanctionne-un-responsable-de-traitement-et-son-sous-traitant.

Entscheidung der polnischen Aufsichtsbehörde UODO:

Die polnische Aufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) hat in einem ähnlich gelagerten Fall, wie er der Entscheidung durch die CNIL zugrunde lag, ein wesentlich höheres Bußgeld festgesetzt, und zwar umgerechnet 460.000 EUR.

Nach Feststellungen der UODO hatte das mit dem Bußgeld belegte Unternehmen versäumt, regelmäßige und umfassende Tests, Messungen und Bewertungen der Wirksamkeit der TOM durchzuführen. Diesbezügliche Aktivitäten wurden nur bei einem konkreten Verdacht auf eine Schwachstelle oder im Zusammenhang mit organisatorischen Änderungen durchgeführt. Zudem gab es keine Tests, um die Sicherheitsvorkehrungen im Zusammenhang mit der Übertragung von Daten zwischen Anwendungen, die mit der Betreuung von Kund*innen des Unternehmens zusammenhängen, zu überprüfen. Die mit dem Datenaustausch in diesen Systemen verbundene Schwachstelle wurde durch Unbefugte ausgenutzt, um Zugriff auf Daten von Kund*innen des Unternehmens zu erhalten.

Die UODO widersprach dem für die Verarbeitung Verantwortlichen, der behauptete, die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten geprüft und überwacht zu haben. Die Aufsichtsbehörde vertrat die Auffassung, dass diese Aktivitäten weder regelmäßig noch umfassend waren, da sie nur gelegentlich durchgeführt wurden und nicht alle Systeme abdeckten, in denen die Daten verarbeitet wurden.

Weitere Informationen zu dem Sachverhalt in englischer Sprache sowie Links zu den Informationen der UODO in Polnisch sind abrufbar auf der Webseite des Europäischen Datenschutzausschusses (EDSA) unter:
https://edpb.europa.eu/news/national-news/2021/polish-dpa-virgin-mobile-polska-incidental-safeguards-review-not-regular_en.

Fazit:

Anhand der beiden Entscheidungen, die nun im Zusammenhang mit der TOM-Überprüfung vorliegen, sieht man deutlich, dass es nicht ausreicht, lediglich Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Diese müssen auch regelmäßig und systematisch überprüft werden. Darüber hinaus muss diese regelmäßige Überprüfung nachweisbar sein. Genau diese Anforderung können derzeit zahlreiche Unternehmen nicht erfüllen. Häufig ist die Maßnahme „Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen“ lediglich eine Überschrift im Anhang einer Vereinbarung zur Auftragsverarbeitung, ohne dass eine solche auch die gelebte Praxis wäre. Und nur in einem Bruchteil der Unternehmen existiert hierzu ein echtes Konzept, das auch tatsächlich gelebt wird.

Dass diese Einstellung fatale Folgen haben kann, wird spätestens jetzt deutlich, so dass unser Appell sowohl an die Verantwortlichen als auch die Auftragsverarbeiter, die personenbezogenen Daten verarbeiten, nur lauten kann:

Überprüfen, bewerten und evaluieren Sie Ihre TOM regelmäßig. Und bitte tun Sie das nicht nur auf dem Papier, sondern auch im realen Leben. Führen Sie regelmäßige Tests durch und dokumentieren Sie diese. Und um insbesondere als Auftragsverarbeiter Ihr Bußgeldrisiko zu verringern, gehen Sie auf Ihre Auftraggeber*innen auch aktiv zu, wenn sich im Rahmen solcher Tests zeigen sollte, dass neben den bereits vereinbarten Maßnahmen, weitere Maßnahmen notwendig werden sollten.

Übrigens: Über dieses Thema haben wir auch im Rahmen unseres gemeinsam mit unserem Kooperationspartner, der bITs GmbH betriebenen Podcasts „Nichts zu verbergen – Das Datenschutz-Kaffeekränzchen“ in Folge 9 ausführlich geplaudert. Interesse? – Dann hören Sie doch einfach mal auf einer Plattform Ihrer Wahl rein!

  • Spotify
  • Deezer
  • Google Podcasts
  • Amazon Music
  • Apple Podcasts

Benötigen Sie Unterstützung im Rahmen der Umsetzung der technischen und organisatorischen Maßnahmen? Rufen Sie uns an, wir helfen Ihnen gerne!

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2020/11/cyber-2120014.png 1483 1920 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2021-03-24 20:05:472023-06-27 09:25:28Überprüfung, Bewertung und Evaluierung der TOM – es wird ernst
Das könnte Sie auch interessieren
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen Erste Datenschutz-Prüfungen nach DSGVO durch die Aufsichtsbehörden
bußgeld ermittlungen staatsanwaltschaft herausgabe Erstes Bußgeld für Datenschutzverstoß nach DSGVO in Deutschland
home office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseite verstorbene Personen Home-Office / Telearbeit – was ist bei der Einführung zu beachten?
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit daten Serie zu den neuen Standardvertragsklauseln – Teil 3: Datenübermittlung zwischen Auftragsverarbeitern (P2P)
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvo Einwilligung und Widerruf im Zusammenhang mit der DSGVO
DS-GVO Geburtstag 1 Jahr Ein Jahr DS-GVO – Ein Rück- und ein Ausblick

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Ersatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen Link to: Ersatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen Ersatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungenschadenersatz betroffenenrechte auskunftsrecht löschrecht Link to: Auskunftsanfragen von Polizei und anderen Behörden Link to: Auskunftsanfragen von Polizei und anderen Behörden bußgeld ermittlungen staatsanwaltschaft herausgabeAuskunftsanfragen von Polizei und anderen Behörden
Nach oben scrollen Nach oben scrollen Nach oben scrollen