Tipps zur Auswahl von TOMs

Die vermeintlich einfachen Kontrollpflichten der Anlage des § 9 Bundesdatenschutzgesetz (BDSG) verführen bisher dazu, sie als rein formale Punkte zu verstehen.

In generische Checklisten umgesetzt, ermöglicht das zwar eine einfache Anwendung für „jedermann“. Es führt aber dazu, dass die technischen und organisatorischen Maßnahmen (TOMs) mitunter zwei wichtige Anforderungen nicht erfüllen:

1. Wirksamkeit

Die technischen und organisatorischen Maßnahmen müssen, umgangssprachlich gesagt, auch etwas „bringen“, d.h. sie sollen dazu beitragen, die datenschutzrechtlichen Anforderungen umzusetzen. Negativbeispiele sind etwa

• die schlichte Nennung von Firewalls zum Schutz gegen externe Angreifer (bringen bei Web-Hacking-Angriffen nichts),
• Hashverfahren als vermeintlich geeignete Anonymisierungsverfahren (sind sie meist nicht) oder
• die pauschale Nennung von Rollen-Rechte-Konzepten (erst die korrekte Umsetzung bringt den Schutz).

Auch hängen die TOMs vom Anwendungsszenario ab. Eine Aktenvernichtung benötigt andere Maßnahmen als der Betrieb eines Cloud-Service oder einer smarten Anwendung wie Pay-as-you-drive-Tarife von Versicherungen.

Wirksame technische Konzepte

Die Grundverordnung nennt ausdrücklich zwei technische Konzepte, die zu den wirksamsten des Datenschutzes gehören – sofern sie richtig eingesetzt werden:

Pseudonymisierung

Unter Pseudonymisierung versteht man das Ersetzen eines identifizierenden personenbezogenen Datums (z.B. Name, E-Mail-Adresse,  Versichertennummer) mit einem neuen Wert (dem Pseudonym), sodass nur bestimmte Stellen/Personen des Verant…