Eine von der DS-GVO vorgegebene Pflichtdokumentation ist die genaue Erfassung aller technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten vorgehalten werden.
Technische und organisatorische Maßnahmen sind gemäß Art. 32 Abs. 1 DS-GVO sowohl von den Verantwortlichen einer verarbeitenden Stelle als auch von den in ihrem Auftrag tätig werdenden Daten-Verarbeitern vorzuhalten und zu dokumentieren. Das Gesetz nennt im Einzelnen:
- Pseudonymisierung personenbezogener Daten;
- Verschlüsselung personenbezogener Daten;
- Gewährleistung der Vertraulichkeit;
- Gewährleistung der Integrität;
- Gewährleistung der Verfügbarkeit;
- Gewährleistung der Belastbarkeit der Systeme;
- Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
- Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Zur internen Umsetzung der TOMs kommen folgende Maßnahmen in Frage:
- Festlegung interner Verhaltensregeln;
- Erstellen einer Risikoanalyse;
- Anfertigung einer allgemeinen Datensicherheitsbeschreibung;
- Aufstellung eines umfassenden Datensicherheitskonzepts;
- Vorhaltung eines Wiederanlaufkonzepts;
- Erlangung eines Zertifikats einer anerkannten Zertifizierungsstelle.