Technisch und organisatorische Maßnahmen (TOM)

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Die Datenschutzgrundverordnung (DSGVO) schreibt Unternehmen vor, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um personenbezogene Daten sicher zu verarbeiten. TOM umfassen Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Art. 25 verpflichtet Verantwortlliche außerdem zur Datenschutz-Dokumentation. Erfahren Sie, was im Zusammenhang mit TOM noch zu beachten ist.
Technisch und organisatorische Maßnahmen (TOM)
Die wichtigsten Erkenntnisse
  • TOM gewährleisten Sicherheit personenbezogener Daten gemäß DSGVO.
  • Maßnahmen umfassen Pseudonymisierung, Verschlüsselung, Zugangskontrollen.
  • Professionelle Dokumentation und Risikoanalyse sind verpflichtend.
  • Bußgelder bis zu 10 Millionen Euro bei Verstößen.
  • Proliance 360 unterstützt bei der Umsetzung und Dokumentation von TOM.

Was sind technisch organisatorische Maßnahmen laut DSGVO?

Wenn Unternehmen personenbezogene Daten erheben und verarbeiten, müssen sie den Schutz dieser Daten sicherstellen – zum Beispiel mit geeigneten TOM. Im Datenschutz versteht man unter technisch organisatorischen Maßnahmen Schutzvorkehrungen, die Verantwortliche im Unternehmen treffen müssen.

Durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default) können Unternehmen die Grundsätze des Datenschutzes einhalten – Art. 32 Abs. 1 DSGVO schreibt dafür unter anderem folgende Maßnahmen vor:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
  • Verfügbarkeit der personenbezogenen Daten
  • Wiederherstellung des Zugangs zu den Daten bei einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Welche Zwecke erfüllen technisch organisatorische Maßnahmen?

Die in der DSGVO beschriebenen Maßnahmen sollen sicherstellen, dass personenbezogene Daten dem neusten Stand der Technik nach ausreichend geschützt sind. Damit alle im Unternehmen gespeicherten und verarbeiteten personenbezogenen Daten hinsichtlich bestehender Risiken ausreichend geschützt werden, müssen Unternehmen ihre TOM nach einer Risikoanalyse aufstellen.

Was das konkret bedeutet, zeigt das folgende Beispiel: Die Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein. Arbeiten Sie mit Festplatten, muss es von allen Daten auf diesen Festplatten ein Backup geben. Nur so ist sichergestellt, dass die Daten im Falle einer irreparabel beschädigten Festplatte nicht verloren sind. Diese Risikoanalyse ist unverzichtbar.

Was bedeuten TOM für Unternehmen?

Die DSGVO erweitert die Anforderungen im Bereich Sicherheit der Verarbeitung personenbezogener Daten und erlegt Unternehmen und betrieblichen Datenschutzbeauftragten erweiterte Dokumentations- und Nachweispflichten auf. Sie müssen alle ergriffenen Maßnahmen dokumentieren, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen vorweisen zu können.

Das ist insbesondere wichtig, um sich vor Bußgeldern zu schützen. Diese drohen, sollte es im Rahmen der technisch organisatorisch Maßnahmen zu Versäumnissen und Verstößen kommen. Relevant ist in diesem Fall neben der Dokumentation der erfolgten Maßnahmen eine gegebenenfalls notwendige Folgenabschätzung.

Welche Strafen drohen bei TOM-Verstößen?

Während Unternehmen bei anderen Verstößen mit maximal 300.000 Euro Bußgeld rechnen müssen, sind es bei den TOM bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes. Um sich davor zu schützen ist Expertise gefragt. Denn unbestimmte und auslegungsbedürftige Rechtsbegriffe, die die Verordnung als Maßstab verlangt, erschweren oft ihre korrekte Umsetzung. Dazu gehört beispielsweise das generelle Erfordernis den „Stand der Technik“ umzusetzen. Ein Datenschutzexperte weiß genau, wie Sie diese Anforderung erfüllen können.

Was bedeutet das für Unternehmen und wie setzt man TOM am besten DSGVO-konform um?

Da die DSGVO bei der konkreten Definition der TOM für den Datenschutz eher vage bleibt, hilft ein Blick ins Bundesdatenschutzgesetz (BDSG). § 64 BDSG definiert technisch-organisatorische Maßnahmen und benennt konkret folgende Bereiche:

Unternehmen müssen:

  • sicherstellen, dass Unbefugten der Zugang zu Verarbeitungsanlagen verwehrt wird (Zugangskontrolle)
  • unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindern (Datenträgerkontrolle)
  • unbefugte Eingaben, Kenntnisnahme, Veränderungen oder Löschungen von personenbezogenen Daten verhindern (Speicherkontrolle)
  • die unbefugte Nutzung von automatisierten Verarbeitungssystemen durch Datenübertragungseinrichtungen verhindern (Benutzerkontrolle)
  • gewährleisten, dass Berechtigte ausschließlich auf die Daten zugreifen, für die sie autorisiert sind (Zugriffskontrolle)
  • nachvollziehbar machen, wohin personenbezogene Daten übermittelt oder zur Verfügung gestellt wurden (Übertragungskontrolle)
  • sicherstellen, dass überprüft werden kann, wer wann welche Daten eingegeben oder verändert hat (Eingabekontrolle)
  • die Vertraulichkeit und Integrität von Daten bei der Übermittlung und dem Transport schützen (Transportkontrolle)
  • gewährleisten, dass Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
  • sicherstellen, dass alle Systemfunktionen verfügbar sind und Fehlfunktionen gemeldet werden (Zuverlässigkeit)
  • gewährleisten, dass personenbezogene Daten vor Beschädigung durch Systemfehler geschützt sind (Datenintegrität)
  • sicherstellen, dass personenbezogene Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden (Auftragskontrolle)
  • sicherstellen, dass personenbezogene Daten vor Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
  • gewährleisten, dass personenbezogene Daten zu unterschiedlichen Zwecken getrennt verarbeitet werden (Trennbarkeit)

Es ist nicht notwendig, alle Maßnahmen umzusetzen. Allerdings müssen Sie mittels Risikoanalyse klären, ob bestimmte Maßnahmen für Ihr Unternehmen relevant sind.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
datenschutz-Muster

Kostenlose Materialien zum Thema

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!