BayLDA: Checkliste der technischen und organisatorischen Maßnahmen (TOMS) nach Art. 32 DSGVO

Das Bayerische Landesamt für Datenschutzaufsicht (Datenschutz-Aufsichtsbehörde für Unternehmen in Bayern) hat eine lesenswerte Checkliste für kleine und mittlere Unternehmen veröffentlicht, welche technischen und organisatorischen Maßnahmen zur Erfüllung der DSGVO-Vorgaben an die Informationssicherheit (Art. 32 DSGVO – Sicherheit der Verarbeitung) geprüft werden sollten.

Die Datenschutzgrundverordnung fordert von Unternehmen an sich, die eigenen technischen und organisatorischen Maßnahmen im Rahmen eines strukturierten Prozesses laufend auf ihre Tauglichkeit gemessen an der Risiko-Situation zu prüfen und anzupassen. Neben der in der Unternehmenspraxis dazu bei größeren Organisationen weit verbreiteten Norm zur Informationssicherheit (ISO 27001/27002 und der darauf aufbauenden Norm ISO27701 für das Datenschutz-Management) steht kleineren Unternehmen und Kommunen der Zertifizierungs-Standard ISIS12 zur Verfügung. Der öffentliche Bereich im Bund orientiert sich am IT-Grundschutz-Kompendium des BSI (und dem daran methodisch angelehnten Standard-Datenschutzmodell SDM, dessen Ansatz im Gegensatz zur ISO27001/27002 nicht die Risiko-Perspektive des Unternehmens sondern des Betroffenen einnimmt).

Die Checkliste kann also kein strukturiertes Informationssicherheits-Management ersetzen (und will dies explizit auch nicht), gibt aber gerade kleineren (mit der Befassung beim Thema Informationssicherheit fachlich häufig überforderten) Unternehmen eine praxistaugliche Übersicht an die Hand, welche Themen im Bereich Informationssicherheit adressiert bzw. geprüft werden sollten.

Die Checkliste des Bayerischen Landesamts für Datenschutzaufsicht zu den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO können Sie hier einsehen.