Welche technischen und organisatorischen Massnahmen (TOMs) Sie beachten sollten

Durch die EU-DSGVO kommt auch die Umsetzung technischer und organisatorischer Maßnahmen (kurz: TOMs) auf die Unternehmen zu. Das bereits geltende Prinzip der Datensparsamkeit, wird durch die Einführung des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen – besser bekannt als Privacy by Design und Privacy by Default – erweitert. Aufgrund ihrer Wichtigkeit sollten diese Begriffe an dieser Stelle näher erläutert werden:

 

technische und organisatorische Massnahmen

 

Privacy by Design

Unternehmen sind dazu verpflichtet, die Einhaltung des Datenschutzes anhand technischer Massnahmen zu gewährleisten. Das hat bereits Einfluss auf die Entwicklung und die Auswahl der Produkte und Systeme, die für die Datenverarbeitung genutzt werden sollen – bereits hier sollten sich Unternehmen darüber Gedanken machen, ob die entsprechende Technik von Beginn an, einen ausreichenden Datenschutz sicherstellen kann.

 

Privacy by Default

Das bedeutet, dass die Forderungen der EU-DSGVO auch durch datenschutzfreundliche Voreinstellungen von Produkten und Dienstleistungen eingehalten werden müssen. Es dürfen nur die Daten erfasst und verarbeitet werden, die für die Nutzung des Produkts oder der Dienstleistung notwendig sind. Der Nutzer kann – wenn er das möchte – im Nachhinein die Einstellungen ändern und seine Einwilligung für eine erweiterte Datenverarbeitung erteilen.

 

Beispiele für Massnahmen

  • Trennung der Daten nach Verarbeitungszweck
  • Nur erforderliche Daten verarbeiten
  • Zugriffsschutz per Voreinstellung
  • Anonymisierung und Pseudonymisierung der Daten
  • Transparenz durch Dokumentation
  • Verschlüsselte Kommunikation
  • Nutzung von Zertifizierungen

 

Datenschutz-Folgenabschätzung

Mit dem Inkrafttreten der EU-DSGVO wurde die sogenannte Datenschutz-Folgeabschätzung (DSFA) eingeführt, welche die bisher bekannte Vorabkontrolle ablöst. Ziel ist es, die Risiken und die möglichen Folgen für die persönlichen Rechte der Betroffenen zu bewerten. Der Verantwortliche muss eine DSFA in folgenden Fällen durchführen:

  • Wenn neue Technologien eingesetzt werden
  • Wenn ein hohes Risiko für Rechte und Freiheiten von Personen vermutet wird
  • Bei systematischer und umfassender Bewertung persönlicher Aspekte, auch Profiling
  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
  • Bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten

Hierfür muss der Verantwortliche den Rat des Datenschutzbeauftragten einholen.

 

Nutzen Sie unsere Checkliste, um sich auf die neue EU-Datenschutzverordnung vorzubereiten:

Ceckliste EU-DSGVO

 

 

 

Unter CRM und Datenschutz, haben wir für Sie die wichtigsten Informationen zum Thema zusammengestellt: https://crm.cobraag.ch/crm-und-datenschutz 

 

 

 

Haben Sie noch Fragen? Benötigen Sie weitere Informationen?