Willkommen zu einem weiteren spannenden Artikel! Heute geht es um das Thema der Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen (TOM). Du fragst dich vielleicht, warum das so wichtig ist? Nun, wir haben hier zwei interessante Entscheidungen von Aufsichtsbehörden, die uns zeigen, wie ernst es ist, diesem Thema die gebührende Aufmerksamkeit zu schenken. Lass uns eintauchen und mehr darüber erfahren!
Entscheidung der französischen Aufsichtsbehörde CNIL
Die französische Aufsichtsbehörde CNIL hat in einem Bußgeldverfahren gegen einen Verantwortlichen und seinen Auftragsverarbeiter Bußgelder in Höhe von 150.000 EUR bzw. 75.000 EUR verhängt. Der Grund für die Bußgelder waren Verstöße gegen die DSGVO, genauer gesagt gegen Artikel 32. Die CNIL war der Meinung, dass die technischen und organisatorischen Maßnahmen im Zusammenhang mit der Verarbeitung der personenbezogenen Daten nicht ausreichend waren.
Konkret warfen sie dem Verantwortlichen und dem Auftragsverarbeiter vor, dass sie nicht schnell genug gehandelt haben, um Angriffe auf die IT-Infrastruktur effektiv zu bekämpfen. Dadurch hatten unberechtigte Dritte Zugriff auf die Daten von etwa 40.000 Kunden der Online-Verkaufsplattform. Die CNIL betonte, dass der Auftragsverarbeiter die bestmöglichen technischen und organisatorischen Maßnahmen finden und dem Verantwortlichen vorschlagen muss, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Es wurde also klar, dass der Auftragsverarbeiter seiner Verpflichtung, die getroffenen Maßnahmen regelmäßig zu überprüfen, zu bewerten und zu evaluieren, nicht ausreichend nachgekommen ist.
Entscheidung der polnischen Aufsichtsbehörde UODO
Auch die polnische Aufsichtsbehörde UODO hat ein ähnliches Bußgeld in Höhe von umgerechnet 460.000 EUR verhängt. Das betroffene Unternehmen hatte es versäumt, regelmäßige und umfassende Tests, Messungen und Bewertungen der Wirksamkeit der TOM durchzuführen. Diese Aktivitäten wurden nur bei konkretem Verdacht auf Schwachstellen oder im Zusammenhang mit organisatorischen Änderungen durchgeführt. Es gab auch keine Tests, um die Sicherheitsvorkehrungen im Zusammenhang mit der Datenübertragung zwischen Anwendungen zu überprüfen. Unbefugte konnten diese Schwachstelle ausnutzen und Zugriff auf Kundendaten erhalten. Die UODO war der Ansicht, dass die Aktivitäten des Unternehmens weder regelmäßig noch umfassend waren und nicht alle Systeme abgedeckt haben.
Fazit
Diese beiden Entscheidungen zeigen deutlich, dass es nicht ausreicht, einfach nur Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Es ist entscheidend, diese Maßnahmen regelmäßig und systematisch zu überprüfen. Außerdem müssen diese Überprüfungen nachweisbar sein. Leider erfüllen viele Unternehmen diese Anforderungen derzeit nicht. Oft ist die Überprüfung der TOM lediglich eine Formalität in Verträgen, ohne dass sie tatsächlich in der Praxis umgesetzt wird. Nur wenige Unternehmen haben ein echtes Konzept, das auch aktiv gelebt wird.
Es wird immer offensichtlicher, dass diese Einstellung schwerwiegende Folgen haben kann. Deshalb appellieren wir sowohl an die Verantwortlichen als auch an die Auftragsverarbeiter: Überprüft, bewertet und evaluiert eure TOM regelmäßig. Und tut dies nicht nur auf dem Papier, sondern auch im echten Leben. Führt regelmäßige Tests durch und dokumentiert sie. Wenn solche Tests zeigen, dass zusätzliche Maßnahmen erforderlich sind, geht aktiv auf eure Auftraggeber zu, um das Bußgeldrisiko zu verringern.
Übrigens haben wir dieses Thema auch in unserem Podcast “Nichts zu verbergen – Das Datenschutz-Kaffeekränzchen” ausführlich besprochen. Habt ihr Interesse? Dann hört gerne auf einer Plattform eurer Wahl rein!
Braucht ihr Unterstützung bei der Umsetzung der technischen und organisatorischen Maßnahmen? Ruft uns an, wir helfen euch gerne!
Dieser Artikel wurde nach besten Kräften erstellt, erhebt jedoch keinen Anspruch auf Vollständigkeit oder Richtigkeit.
