Technische und organisatorische Maßnahmen (TOM): Mindestanforderungen an Auftragsverarbeiter

veröffentlicht am 30. September 2022

Der Verantwortliche hat eine hohe Sorgfaltspflicht, wenn es um die Auswahl des Auftragsverarbeiters geht. Von dieser Sorgfaltspflicht ist auch die Prüfung der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters umfasst. Die Prüfung der TOMs gestaltet sich in der Praxis nicht ganz so einfach, denn die genauen Anforderungen, die mindestens an den Auftragsverarbeiter hinsichtlich der TOMs gestellt werden müssen, werden in der DSGVO nicht konkret genannt.

Geht der Verantwortliche ein Auftragsverhältnis ein, so hat er eine hohe Sorgfaltspflicht bei der Auswahl des Auftragsverarbeiters. Dies beinhaltet unter anderem die Überprüfung der technischen und organisatorischen Maßnahmen (kurz TOM) des Auftragsverarbeiters.

Der Verantwortliche darf insofern nur mit Auftragsverarbeitern zusammenarbeiten „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen [der DSGVO] erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.”¹ Kann ein Auftragsverarbeiter diese Anforderung nicht erfüllen bzw. nicht nachweisen, so darf kein Auftragsverarbeitungsverhältnis mit dem Dienstleister eingegangen werden.

Die Prüfung der TOMs gestaltet sich in der Praxis nicht ganz so einfach, denn die genauen Anforderungen, die mindestens an den Auftragsverarbeiter hinsichtlich der TOMs gestellt werden müssen, werden in der DSGVO lediglich qualitativ umschrieben, aber eben nicht konkret genannt.

Schließlich liegt es damit am Verantwortlichen, zunächst zu bestimmen, welches Niveau bei den technischen und den organisatorischer Maßnahmen er als angemessen ansieht und dieses dann auch beim Dienstleister einzufordern und nachzuhalten. Legt der Verantwortliche dies nicht fest, kann die Prüfung der TOMs auf keinem einheitlichen Niveau durchgeführt werden. Dem Verantwortlichen fehlt damit der wichtige Nachweis, dass er seiner Sorgfaltspflicht bei der Auswahl der Auftragsverarbeiter (Art. 28 Abs. 1 DS-GVO) nachkommt.

Für die Festlegung des Mindestniveaus der TOMs des Auftragsverarbeiters sollte als Ausgangspunkt natürlich das Level herangezogen werden, das der Verantwortliche für sich selbst definiert. Außerdem ist maßgeblich, welche personenbezogenen Daten durch den Auftragsverarbeiter verarbeitet werden und welchem Schutzniveau diese unterliegen. Gerade bei Unternehmen im Gesundheits- und Sozialbereich werden häufig besonders sensible Daten wie beispielsweise Gesundheitsdaten verarbeitet. Hier gilt es die Anforderungen an die TOMs deutlich höher zu stecken, um letztlich ein angemessenes Schutzniveau für die sensiblen Daten zu gewährleisten.

Bei der Durchführung der TOMs Prüfung sollte außerdem darauf geachtet werden, dass der Auftragsverarbeiter Nachweise vorlegen kann, aus denen hervorgeht, welche Maßnahmen dieser konkret trifft, sodass sich der Verantwortliche ein klares Bild machen kann, ob die Maßnahmen für ihn ausreichen. Kann ein Dienstleister keine aussagekräftigen Nachweise vorlegen und ist dadurch eine Beurteilung, ob das definierte Mindestniveau eingehalten wird, nicht möglich, ist von einer Zusammenarbeit abzuraten.