Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Datentrennungskontrolle
In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.
Eingabekontrolle
Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.
Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.
Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?
Auftragskontrolle
Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?
Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.
ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉
Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.
Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.
Unsere Praxistipps
- Kontrollieren Sie sofort, wer Ihre Auftragsverarbeiter sind. Am einfachsten geht das über Ihre Kreditorenliste – welche jener Unternehmen, die Ihnen Rechnungen schicken, verarbeiten für Sie personenbezogene Daten? Prüfen Sie, ob Sie schon mit allen Auftragsverarbeiter Verträge abgeschlossen haben. In einem weiteren Beitrag widmen wir uns dem Thema Inhalt des AV-Vertrages und weitere Kontrollen des Auftragsverarbeiters.
- Die TOMs scheinen in der Praxis für viele Unternehmen eine Herausforderung zu sein. Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz sind wir Ihre idealen Partner.
- Lesen Sie im 1. Teil unserer TOMs Serie über die Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.
Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.