Wie Risi­ko­be­wer­tun­gen tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) bestimmen

Risi­ko­be­wer­tung und tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men: Anfor­de­run­gen nach dem Urteil des LG Mannheim

Im März 2024 fäll­te das Land­ge­richt Mann­heim (Az. 1 O 99/23) ein weg­wei­sen­des Urteil im Bereich Daten­schutz, das die Bedeu­tung von Risi­ko­be­wer­tun­gen für die Ange­mes­sen­heit tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men (TOM) nach der DSGVO her­vor­hebt. Ins­be­son­de­re stell­te das Gericht klar, dass Unter­neh­men nicht allein durch das Imple­men­tie­ren von TOM ihrer Pflicht nach­kom­men. Viel­mehr ist es ent­schei­dend, dass die­se Maß­nah­men auf einer fun­dier­ten Risi­ko­be­wer­tung basie­ren, die die Ein­tritts­wahr­schein­lich­keit und die Schwe­re poten­zi­el­ler Daten­schutz­vor­fäl­le sys­te­ma­tisch erfasst.

Kern­aus­sa­gen des Urteils

Das Gericht ent­schied, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) nur dann als ange­mes­sen gel­ten kön­nen, wenn sie auf einer gründ­li­chen Ana­ly­se der Daten­schutz­ri­si­ken basie­ren. Die­se Risi­ko­be­wer­tung muss sowohl die Wahr­schein­lich­keit eines Vor­falls als auch des­sen poten­zi­el­le Aus­wir­kun­gen auf die betrof­fe­nen Per­so­nen berücksichtigen.

Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, müs­sen daher sicher­stel­len, dass sie nicht nur Maß­nah­men wie Zugangs­kon­trol­len, Daten­ver­schlüs­se­lung und Back­ups imple­men­tie­ren, son­dern die­se auch an den spe­zi­fi­schen Risi­ken ihrer Daten­ver­ar­bei­tungs­pro­zes­se aus­rich­ten. Ohne eine sol­che Risi­ko­be­wer­tung kön­ne nicht garan­tiert wer­den, dass die Maß­nah­men den Anfor­de­run­gen des Art. 32 DSGVO entsprechen.

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) und ihre Bedeu­tung im Datenschutz

Tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sind ein zen­tra­ler Bestand­teil des Daten­schutz­ma­nage­ments. Die DSGVO ver­pflich­tet Unter­neh­men in Art. 32 dazu, ange­mes­se­ne Sicher­heits­vor­keh­run­gen zu tref­fen, um die Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit von per­so­nen­be­zo­ge­nen Daten zu gewähr­leis­ten. Doch was bedeu­tet das konkret?

TOM umfas­sen eine Viel­zahl von Maß­nah­men, die sowohl auf tech­ni­scher als auch auf orga­ni­sa­to­ri­scher Ebe­ne dafür sor­gen, dass Daten geschützt sind. Dazu gehören:

1. Zutritts­kon­trol­le: Schutz der phy­si­schen Räum­lich­kei­ten, in denen Daten ver­ar­bei­tet oder gespei­chert wer­den, z. B. durch Sicher­heits­per­so­nal oder Zugangskontrollsysteme.
2. Zugangs­kon­trol­le: Sicher­stel­len, dass nur auto­ri­sier­te Per­so­nen auf Sys­te­me und Daten zugrei­fen kön­nen, bei­spiels­wei­se durch Pass­wort­schutz oder Zwei-Faktor-Authentifizierung.
3. Zugriffs­kon­trol­le: Beschrän­kung der Berech­ti­gun­gen inner­halb von IT-Sys­te­men, um sicher­zu­stel­len, dass nur not­wen­di­ge Zugrif­fe mög­lich sind.
4. Wei­ter­ga­be­kon­trol­le: Schutz bei der Über­tra­gung per­so­nen­be­zo­ge­ner Daten, z. B. durch Verschlüsselung.
5. Ver­füg­bar­keits­kon­trol­le: Maß­nah­men zur Sicher­stel­lung, dass Daten auch bei tech­ni­schen Pro­ble­men ver­füg­bar blei­ben, etwa durch Backup-Strategien.

War­um ist die Risi­ko­be­wer­tung so wichtig?

Die DSGVO ver­folgt einen risi­ko­ba­sier­ten Ansatz. Das bedeu­tet, dass die Maß­nah­men, die ein Unter­neh­men ergrei­fen muss, immer von der spe­zi­fi­schen Bedro­hungs­la­ge abhän­gen. Ein Unter­neh­men, das beson­ders sen­si­ble Daten ver­ar­bei­tet, wie Gesund­heits­da­ten, muss stren­ge­re Sicher­heits­vor­keh­run­gen tref­fen als ein Unter­neh­men, das nur all­ge­mei­ne Kon­takt­in­for­ma­tio­nen speichert.

Eine Risi­ko­be­wer­tung hilft dabei, genau die­se Bedro­hun­gen zu iden­ti­fi­zie­ren und ein­zu­schät­zen, wie wahr­schein­lich ein Vor­fall ist und wie schwer die Fol­gen für die betrof­fe­nen Per­so­nen sein könn­ten. Auf Basis die­ser Bewer­tung kön­nen Unter­neh­men dann gezielt Maß­nah­men aus­wäh­len, die den jewei­li­gen Risi­ken ange­mes­sen begegnen.

TOM und Risi­ko­be­wer­tung – der Schlüs­sel zum Datenschutz

Das Urteil des LG Mann­heim ver­deut­licht, dass tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men nur dann wirk­sam sind, wenn sie auf einer fun­dier­ten Risi­ko­be­wer­tung basie­ren. Unter­neh­men soll­ten sicher­stel­len, dass sie die­sen Pro­zess als fes­ten Bestand­teil ihres Daten­schutz­ma­nage­ments imple­men­tie­ren, um sowohl den gesetz­li­chen Anfor­de­run­gen der DSGVO gerecht zu wer­den als auch die Daten ihrer Kun­den und Mit­ar­bei­ter effek­tiv zu schützen.

Durch die regel­mä­ßi­ge Über­prü­fung und Anpas­sung der TOM im Lich­te aktu­el­ler Risi­ken kön­nen Daten­schutz­ver­stö­ße und poten­zi­ell hohe Buß­gel­der ver­mie­den werden.