Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Verzeichnis von Verarbeitungstätigkeiten

Copyright,     Einleitung,     Übergangsregelung,     Verantwortlichkeiten,     Zielsetzung,     Unterschiede zum BDSG,     Begriffsbestimmungen,     Anforderungen,     Weitergehende Dokumentation,     TOMs: BDSG vs. DS-GVO,     Literatur,     Beispiel

Mapping der technischen und organisatorischen Maßnahmen (TOM): DS-GVO vs. BDSG

Wesentlich für eine ordnungsgemäße Datenverarbeitung ist, dass die erforderlichen technischen und organisatorischen Schutzmaßnahmen getroffen wurden. Dabei müssen entsprechend Art. 32 DS-GVO diese Schutzmaßnahmen unter Berücksichtigung getroffen werden. D. h. um zu bestimmen, welche spezifischen Schutzmaßnahmen zu treffen sind, ist immer eine Abwägung der Erfordernisse vorzunehmen. Ändern sich die jeweils zu berücksichtigenden Umstände (z.B. eine Änderung der Eintrittswahrscheinlichkeit auf Grund neuer technischer Möglichkeiten), ist eine neue Bewertung und ggfs. die Aktualisierung / Anpassung der Schutzmaßnahmen erforderlich.

Im Nachfolgenden erfolgt zu Visualisierungszwecken eine Gegenüberstellung der von Art. 32 DS-GVO geforderten Maßnahmen mit den Maßnahmen bzw. Kontrollen aus dem Anlage zu § 9 BDSG. Damit soll der Leser in die Lage versetzt werden zu prüfen, wie bzw. wo die von der DS-GVO geforderten Maßnahmen möglicherweise schon heute, im Rahmen der Kontrollen der Anlage zu § 9 BDSG berücksichtigt wurden.

Art. 32 DS-GVO Anlage zu § 9 BDSG
Art. 32 Abs. 1 lit.lit. A
Pseudonymisierung personenbezogener Daten
-/-
Art. 32 Abs. 1 lit.lit. a
Verschlüsselung personenbezogener Daten
-/-
Art. 32 Abs. 1 lit.lit. b:
[...] Vertraulichkeit, … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Auftragskontrolle
Zweckbindung
Art. 32 Abs. 1 lit.lit. b:
[...] Integrität, … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
Eingabekontrolle
Auftragskontrolle
Art. 32 Abs. 1 lit. b:
… Verfügbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
Verfügbarkeitskontrolle
Art. 32 Abs. 1 lit. b:
… Belastbarkeit … im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
-/-
Art. 32 Abs. 1 lit. c:
Beschreibung des Verfahrens zur Gewährleistung den Zugang zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
-/-
Art. 32 Abs. 1 lit. d:
Beschreibung der Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
-/-

Im Whitepaper "Datenschutz-Folgenabschätzung - Ein Werkzeug für einen besseren Datenschutz" werden den u.a. auch in der DS-GVO enthaltenen Schutzzielen entsprechende Maßnahmen zugeordnet. Dies erleichtert die Zuordnung der eigenen Maßnahmen zu den Schutzzielen der DS-GVO, wobei die nachfolgend dargestellte Tabelle aus dem Whitepaper die Zuordnung in Kurzfassung darstellt(1):
Schutzziel Komponente Maßnahmen
Sicherstellung von Verfügbarkeit Daten, Systeme, Prozesse Redundanz, Schutz, Reparaturstrategie
Sicherstellung von Integrität Daten Hash-Wert-Vergleich
Systeme Einschränkung von Schreibrechten, regelmäßige Integritätsprüfungen
Prozesse Festlegung von Referenzwerten (min/max), Steuerung der Regulation
Sicherstellung von Vertraulichkeit Daten, Systeme Verschlüsselung
Prozesse Rechte- und Rollenkonzepte
Sicherstellung von Nichtverkettbarkeit durch Zweckbestimmung Daten Nutzung anonymer Daten, Pseudonymisierung, attributbasierte Credentials
Systeme Trennung (Isolierung) von Datenbeständen, Systemen und Prozessen
Prozesse Identity Management, Anonymitätsinfrastrukturen, Audits
Sicherstellung von Transparenz durch Prüffähigkeit Daten Dokumentation, Protokollierung
Systeme Systemdokumentation, Protokollierung von Konfigurationsänderungen
Prozesse Dokumentation von Verfahren, Protokollierung
Sicherstellung von Intervenierbarkeit durch Ankerpunkte Daten Zugriff auf Daten für den Betroffenen (Auskunft, Berichtigung, Sperrung, Löschung)
Prozesse Helpdesk/einheitlicher Ansprechpartner für Änderungen/Löschungen, Change Management



(1) Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt (2016) White Paper Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. Tabelle 1, S.27,28. Online, zitiert am 2016-07-12