Privacy Program - Technische & Organisatorische Kontrollen

Art.

32 DSGVO nennt konkret die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Darüber hinaus umfasst ein vollständiges Privacy-Programm: Zugriffskontrollen und Berechtigungsmanagement, Firewalls und Intrusion-Detection-Systeme, automatische Protokollierung aller Datenzugriffe, sichere Datenübertragung (TLS/SSL), Backup- und Wiederherstellungsverfahren sowie regelmäßige Schwachstellenscans. Die Auswahl richtet sich nach dem Stand der Technik, den Implementierungskosten und dem Risiko der jeweiligen Verarbeitung.

Organisatorische Maßnahmen sorgen dafür, dass technische Schutzmaßnahmen im Alltag greifen. Dazu gehören: Datenschutzrichtlinien und Verarbeitungsanweisungen, Berechtigungskonzepte nach dem Need-to-know-Prinzip, regelmäßige Mitarbeiterschulungen zum Datenschutz, Verpflichtung auf Vertraulichkeit, Incident-Response- und Meldeprozesse, Verfahren zur Auftragsverarbeitung nach Art.

28 DSGVO sowie regelmäßige Wirksamkeitsprüfungen. ADVISORI unterstützt bei der Erstellung und Implementierung dieser Dokumente und Prozesse.

Ein TOM-Maßnahmenkatalog wird in vier Schritten erstellt: Erstens eine Bestandsaufnahme aller Verarbeitungstätigkeiten und bestehenden Schutzmaßnahmen. Zweitens eine Risikoanalyse, die Eintrittswahrscheinlichkeit und Schwere möglicher Datenschutzverletzungen bewertet. Drittens die Auswahl konkreter Maßnahmen unter Berücksichtigung von Stand der Technik und Implementierungskosten. Viertens die Dokumentation im Verarbeitungsverzeichnis nach Art.

30 DSGVO. Der Katalog muss regelmäßig überprüft und aktualisiert werden.

TOM nach Art.

32 DSGVO sind Schutzmaßnahmen für bestehende Verarbeitungen — sie sichern laufende Prozesse ab. Privacy by Design nach Art.

25 DSGVO verlangt, dass Datenschutz bereits bei der Entwicklung neuer Systeme, Produkte und Prozesse eingebaut wird. In der Praxis ergänzen sich beide: TOM setzen den aktuellen Schutz um, Privacy by Design stellt sicher, dass neue Vorhaben von Beginn an datenschutzkonform konzipiert werden. Ein gutes Privacy-Programm verknüpft beide Ansätze.

Verstöße gegen Art.

32 DSGVO können mit Bußgeldern von bis zu

10 Millionen Euro oder

2 Prozent des weltweiten Jahresumsatzes geahndet werden. Aufsichtsbehörden prüfen dabei nicht nur, ob Maßnahmen existieren, sondern ob sie dem Stand der Technik entsprechen und regelmäßig auf Wirksamkeit getestet werden. Fehlende Dokumentation verschärft das Risiko. Beispiel: Die österreichische Datenschutzbehörde verhängte

2023 ein Bußgeld wegen unzureichender Verschlüsselung und fehlender Zugriffsprotokollierung.

ADVISORI folgt einem praxiserprobten Ansatz: Zunächst analysieren wir bestehende Sicherheitsmaßnahmen und identifizieren Lücken gegenüber Art.

32 DSGVO. Dann entwickeln wir einen Maßnahmenplan, der auf vorhandene IT-Infrastruktur und Compliance-Frameworks aufbaut — etwa ISO 27001, BSI-Grundschutz oder branchenspezifische Vorgaben. Die Implementierung erfolgt schrittweise und priorisiert nach Risiko. Wir erstellen die erforderliche Dokumentation und schulen Ihre Mitarbeiter in den neuen Prozessen.

Verschlüsselung ist die einzige technische Maßnahme, die Art.

32 DSGVO ausdrücklich nennt. Sie schützt Daten at rest (auf Datenträgern), in transit (bei der Übertragung) und in use (bei der Verarbeitung). Besonders relevant: Bei einer Datenpanne mit verschlüsselten Daten entfällt unter bestimmten Voraussetzungen die Meldepflicht an Betroffene nach Art.

34 DSGVO, da das Risiko für die Betroffenen gering ist. ADVISORI empfiehlt mindestens AES‑256 für Data at Rest und TLS 1.3 für Data in Transit.