Tag Archives: TOM

Checkliste TOM Auftragsverarbeitung nach Art. 28 DSGVO – technische und organisatorische Maßnahmen

By | 18. März 2018

Einfache Dokumentation und Prüfung der TOM (Technische und organisatorische Maßnahmen)

Art. 28 DSGVO Auf­trags­ver­ar­bei­ter schreibt die Über­prü­fung exter­ner Dienst­leis­ter vor, ob aus­rei­chend Garan­ti­en (TOM – tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men) für die siche­re Ver­ar­bei­tung im Sin­ne der DSGVO vor­lie­gen. Da wir für unse­re Kun­den zahl­rei­che Dienst­leis­ter im Rah­men der bis­he­ri­gen Auf­trags­da­ten­ver­ar­bei­tung und zukünf­ti­gen Auf­trags­ver­ar­bei­tung prü­fen, schla­gen hier nicht sel­ten ord­ner­wei­se Doku­men­ta­tio­nen über ein vor­han­de­nes oder ver­meint­li­ches Schutz­kon­zept beim Dienst­leis­ter auf. Nach dem Mot­to “Weni­ger ist oft­mals mehr” haben wir eine frü­he­re Check­lis­te für tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) vom Daten­schutz-Guru RA Ste­phan Han­sen-Oest ergänzt und im Hin­blick auf die Sor­tie­rung der DSGVO über­ar­bei­tet. Da Ste­phan wei­te Tei­le sei­ner genia­len Vor­la­gen und Mus­ter kos­ten­frei zur Nut­zung zur Ver­fü­gung stellt und auch beim The­ma Daten­schutz gilt “Gemein­sam sind wir stark”, wol­len wir da nicht hin­ten­an­ste­hen.

Mit­tels der anhän­gen­den Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men, kurz TOM, als aus­füll­ba­res Word-For­mu­lar kann jeder Dienst­leis­ter ohne all­zu gro­ßen Zeit­auf­wand die bei ihm getrof­fe­nen Schutz­maß­nah­men doku­men­tie­ren (click & dir­ty). Die­se Anga­ben über­prüft der Auf­trag­ge­ber, kann bei Bedarf nach­fra­gen oder Punk­te im Detail klä­ren. Mit der Ergeb­nis­pro­to­kol­lie­rung am Ende soll­te auch der Doku­men­ta­ti­ons- und Rechen­schafts­pflicht zu dem Punkt Genü­ge getan sein. Ein Auf­trag­ge­ber kann sei­nem Dienst­leis­ter die­se Check­lis­te auch … Weiterlesen

Melkkuh Auftragsdatenverarbeitung

By | 25. Juli 2012

Warnung, Stopp, Rote LampeDer Gesetz­ge­ber schreibt für das Out­sour­cing von Dienst­leis­tun­gen mit per­so­nen­be­zo­ge­nen Daten oder Zugriffs­mög­lich­keit auf die­se eine Rege­lung zur soge­nann­ten “Auf­trags­da­ten­ver­ar­bei­tung” nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG) vor.  So wird z.B. eine Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) nach der Anla­ge zu § 9 BDSG erwar­tet zusam­men mit einer ver­trag­li­chen Rege­lung (meist in Form einer Zusatz­ver­ein­ba­rung), die den Umgang mit per­so­nen­be­zo­ge­nen Daten sehr detail­liert kon­kre­ti­siert und die Rech­te und Pflich­ten der Par­tei­en defi­niert. Auch die­se zu regeln­den Inhal­te sind durch den Gesetz­ge­ber in § 11 BDSG fest­ge­schrie­ben.

Was liegt also nun näher, als sich als kun­den- und ser­vice­ori­en­tier­ter Dienst­leis­ter her­vor­zu­tun und sei­nem poten­ti­el­len Auf­trag­ge­ber die not­wen­di­ge For­mu­lie­rung samt Anla­ge der TOM gleich mit dem Haupt­ver­trag mit­zu­lie­fern? Schließ­lich ist das teil­wei­se noch ein kla­rer Wett­be­werbs­vor­teil und zusätz­lich zeigt man sei­nem Kun­den gleich, wie wich­tig man ihn und sein Anlie­gen nimmt. Neben­bei erspart man sich das Prü­fen und Frei­ge­ben zahl­rei­cher durch Kun­den selbst for­mu­lier­ter Rege­lun­gen zur Auf­trags­da­ten­ver­ar­bei­tung. Und die Anla­ge mit den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) muss intern so oder so in Ver­bin­dung mit dem Ver­fah­rens­ver­zeich­nis (auch dies ist gesetz­li­che Pflicht) geführt wer­den.

Kurio­ser­wei­se zeich­net sich in der letz­ten Zeit eine Ent­wick­lung ab, die ich für sehr unglück­lich und kurz­fris­tig gedacht hal­te. … Weiterlesen