Welche Qualität müssen TOMs haben, um den Anforderungen der DSGVO zu genügen?

Die TOMs, also die technischen und organisatorischen Maßnahmen die geeignet sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, vgl. Art. 32 DS-GVO, müssen nach Art. 28 Abs. 3 lit. c DS-GVO bei der Auftragsverarbeitung ergriffen und dokumentiert werden.

Einerseits müssen die TOMs dem aktuellen Stand der Technik entsprechen. Andererseits muss auch das Verhältnis von Maßnahme zu Aufwand im Rahmen der Verhältnismäßigkeit berücksichtigt werden. Auf Grund des hohen Schutzinteresses der Betroffenen werden wirtschaftliche Erwägungen jedoch eine hintergründige Rolle spielen. Dabei ist der Verantwortliche selbst in der Pflicht geeignete TOMs aufzustellen und deren Einhaltung zu garantieren.

Um die Qualität beurteilen zu können, ist das Kriterium ein angemessenes Schutzniveau und ist demnach ein Auswuchs der Verhältnismäßigkeit. Anhaltspunkte sind dabei Eintrittswahrscheinlichkeit, Schwere des Risikos für die Betroffenen, Kategorien personenbezogener Daten, aber auch die Implementierungskosten.

Dabei soll sich an schon vorhandene bzw. einfach zu handhabende Maßnahmen orientiert werden. Auch wie eine Verarbeitung stattfindet, in welchem Umfang, unter welchen Umständen und zu welchem Zweck ist zu berücksichtigen. Insgesamt muss also eine Schutzbedarfsfeststellung durchgeführt werden.

Um effektiv der entsprechende Nachweis erbringen zu können, ist folgendes zu dokumentieren: das Verfahren und Ergebnis der Schutzbedarfsfeststellung, der Risikobewertung und die entsprechende Ableitung der Sicherheitsmaßnahmen unter Berücksichtigung der Belastbarkeit.

Zusammengefasst müssen die TOMs verständlich alle Maßnahmen darlegen, um den zuvor nachweislich durchgeführten Schutzbedarfsfeststellungen zu genügen.

Für ausführlicher Informationen kann die Best-Practice Checkliste des BayLDA zu den TOMs herangezogen werden. Mehr Details zum Stand der Technik

Stand: 23.11.2022