Das EuGH hat mit dem Urteil Az. C-340/21 vom 14.12.2023 klargestellt, dass unzureichende Technisch-Organisatorische Maßnahmen (TOMs) zu Schadenersatzforderungen führen können. Dies bedeutet, dass
bei Datenschutzverletzungen ein Gericht die Effektivität der TOMs prüfen wird, und im Falle von Mängeln besteht die Verpflichtung, den entstandenen Schaden zu ersetzen. In diesem Beitrag betrachten wir, die fünf Schlüsselpunkte im Umgang mit TOMs und wie Schadenersatzforderungen vermieden werden können.
1. Abteilungen und Betriebsteile identifizieren
Der erste Schritt ist, sich mit den verschiedenen Abteilungen und Betriebsteilen auseinanderzusetzen. Hier können TOM-Domänen identifiziert und deren Bedrohungen, Risiken und Maßnahmen behandelt werden. Dies dient als Grundlage für die weiteren Schritte und ermöglicht ein besseres Verständnis der individuellen Anforderungen.
2. Informations-Sicherheits-Managementsystem (ISMS) gestalten
Ein effektives ISMS ist zeitaufwändig, aber unverzichtbar. Hier werden organisationsübergreifend Bedrohungen, Risiken und Maßnahmen behandelt. Die Ergebnisse der TOM-Domänen können in diesem Stadium genutzt werden, um den Arbeitsaufwand zu reduzieren und gleichzeitig sicherzustellen, dass die Sicherheitsziele der Organisation abgestimmt sind.
3. TOMs der (Daten-) Verarbeitungen beschreiben
Nachdem die Grundlagen geschaffen wurden, geht es nun in die Details aller Verarbeitungen. Durch die vorangegangenen Schritte wird dieser Prozess erleichtert, und es bleibt weniger Arbeit übrig. Schwerpunktmäßig werden hier Bedrohungen und Risiken behandelt, die durch menschliche Fehler im Berufsalltag entstehen könnten.
4. Compliance-Nachweis erbringen
Nachdem alle relevanten TOMs beschrieben wurden, ist es an der Zeit für den Compliance-Nachweis. Hier können weitere technisch-organisatorische Maßnahmen aufgeführt werden, die ergriffen wurden, um die Ziele der Datenschutz-Grundverordnung (DS-GVO) zu gewährleisten. Die zuvor erarbeiteten Ergebnisse erleichtern die Erstellung dieses Nachweises erheblich.
5. TOMs für neue Auftragsverarbeitungen
Für neue Auftragsverarbeitungen oder Dienstleistungen im Auftrag, sollte der Fokus auf die entsprechenden Bedrohungen, Risiken und Maßnahmen gelegt werden. Dieser Schritt erfolgt anlassbezogen und rundet den Gesamtprozess ab.
Fazit
Die Frage, wann über technisch-organisatorische Maßnahmen nachzudenken ist, mag komplex erscheinen. Doch dieser Beitrag zeigt, dass ein strukturierter Fahrplan helfen kann. Von der Identifikation von TOM-Domänen bis hin zur Implementierung von Maßnahmen für neue Auftragsverarbeitungen bildet dieser Prozess eine umfassende Strategie für den Umgang mit TOMs und der Vermeidung von Schadenersatzforderungen nach den Vorgaben des EuGH.
