In dieser Anlage ist i.S.v. Art. 40 Abs. 8 lit. d DSA zu beschreiben, dass und welche „angemessenen technischen und organisatorischen Maßnahmen“ ergriffen wurden, um die pbD im Verhältnis zu den Risiken des Forschungsvorhabens zu schützen.
Wenn das Forschungsvorhaben innerhalb einer Forschungsorganisation durchgeführt wird, müsste die Forschungsorganisation bereits über eine Dokumentation der TOM für ihre Infrastruktur verfügen. Möglich ist es in diesen Fällen, dem Antrag auf Datenzugang die TOM-Dokumentation der Forschungseinrichtung beizufügen und in dieser Anlage nur die Maßnahmen zu dokumentieren, die zusätzlich für das konkrete Forschungsvorhaben getroffen wurden. Ebenso können die Inhalte der TOM-Dokumentation der Forschungsorganisation in diese Anlage eingefügt werden und auf dieser Basis eine eigene Gesamtdokumentation für das konkrete Forschungsvorhaben erstellt werden. Sollte die Forschungsorganisation ihre TOMs nicht (zentral) verschriftlicht haben, oder die Forscher ihr Vorhaben in einer eigenverantwortlich betriebenen Infrastruktur durchführen (für die es bisher keine TOM gibt), muss in dieser Anlage in jedem Fall eine vollständige Dokumentation aller TOM erfolgen.
Es gibt keine gesetzlichen Vorgaben, wie und wie detailliert die TOM darzustellen sind. Die nachfolgende Darstellung ist vom Aufbau und Tiefgang daher ein Vorschlag, der grds. auch anders gestaltet werden kann (ein sehr detailliertes Muster ist abrufbar z.B. bei der Bayrischen Aufsichtsbehörde,
https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf)
Die im nächsten Schritt gelisteten Beispiele sind Maßnahmen, die im Forschungsbetrieb typischerweise ergriffen werden. Die Beispiele sind nicht als abschließend, vollständig oder allgemeingültig zu verstehen (teilweise handelt es sich um Alternativen) – sie dienen als Orientierung und sind alle darauf zu prüfen, ob sie für das konkret Forschungsvorhaben einschlägig sind. Alle nichtzutreffenden Beispiele sind zu streichen oder passend abzuändern, fehlende Angaben sind zu ergänzen.
Mit Blick auf den Wortlaut von Art. 40 Abs. 8 lit. d DSA liegt der Schwerpunkt der zu ergreifenden Maßnahmen bei der Vertraulichkeit und Sicherheit der Daten („sind in der Lage, die mit jedem Verlangen verbundenen besonderen Anforderungen an die Datensicherheit und die Vertraulichkeit einzuhalten und personenbezogene Daten zu schützen,“). Die weiteren Risikoszenarien (Daten nicht verfügbar, nicht richtig etc) sind aus Perspektive der betroffenen Personen idR nur insoweit relevant, als die Maßnahmen auch die Weitergabe/Übermittlung ihrer Daten betreffen. Darüber hinaus hat es für die betroffenen Personen kaum Bedeutung, wenn ihre Daten für Forschungszwecke nicht zur Verfügung stehen. Für die beteiligten Forschenden selbst sind die Verfügbarkeit und Integrität der Daten jedoch gerade Basis ihrer Tätigkeit. Nicht zuletzt im eigenen Interesse sollten sie daher sicherstellen, dass auch unter 2. und 3. starke Sicherungsmaßnahmen ergriffen werden.
