Maßnahmenprüfung: technische und organisatorische Maßnahmen (TOMs)
Der Auftragnehmer muss bei der Auftragsverarbeitung "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen [ergreifen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten".
Diese Maßnahmen müssen im Vertrag zur Auftragsverarbeitung definiert werden. Letztendlich muss der Auftraggeber beurteilen - schließlich ist er der Verantwortliche - ob die getroffenen Maßnahmen genügen.
Für den typischen Auftraggeber ist das sicherlich schwierig. Schließlich bedient sich der Auftraggeber ja eines Dienstleisters, weil das Thema der konkreten Dienstleistung nicht seine eigene Kernkompetenz darstellt.
Auf Grund meiner jahrzehntelangen fachlichen Tätigkeit in der IT kann ich Sie hier unterstützen:
- für Auftraggeber biete ich an,
- zu beurteilen, ob die in einem Vertrag aufgeführten TOMs für den konkreten Fall den Anforderungen der DS-GVO genügen oder
- TOMs zu definieren, die Sie Ihren Auftragnehmern vorgeben sollten.
- für Auftragnehmer biete ich an,
- TOMs zu definieren, die für die konkrete Dienstleistung nach der DS-GVO angemessen sind.
Leider kann ich diese Dienstleistung nicht zu einem allgemeingültigen Pauschalpreis anbieten, zu unterschiedlich sind die verschiedenen Dienstleistungen, die geeigneten Maßnahmen. Ich werde daher individuell für Sie kalkulieren.
Erfahrungsgemäß werden sich die Kosten in der Größenordnung zwischen 400 € und 3.000 € (jeweils zzgl. MwSt.) bewegen.
Nehmen Sie bei Interesse mit mir Kontakt auf. Teilen Sie mir hierzu bitte folgendes mit:
- Um welche Dienstleistung / Auftragsverarbeitung geht es?
- Senden Sie mir, falls schon vorhanden, den zugehörigen Vertrag zur Auftragsverarbeitung bzw. das Vertragsmuster zu.
- Welche Daten sind betroffen?
- Welche technischen und organisatorischen Maßnahmen (TOMs) haben Sie geplant bzw. schon umgesetzt?
- Welche Risiken sehen Sie in der Datenverarbeitung?
Sie erhalten von mir ein Gutachten,
- in welchem die Datenverarbeitung und die Risiken bewertet werden,
- das die Wirksamkeit der von Ihnen genannten Maßnahmen bewertet,
- Vorschläge für alternative bzw. ergänzende Maßnahmen macht und diese auch bewertet.