Technische und organisatorische Maßnahmen (TOM) dank digitaler Datenschutz-Plattform zentral verwalten
Technische und organisatorische Maßnahmen (kurz TOM genannt) sind durch die DSGVO vorgeschriebene Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. TOM umfassen ein Bündel bestimmter Instrumente, mit denen Unternehmen den Datenschutz gewährleisten müssen. Eine professionelle Datenschutz-Dokumentation ist dabei für den Verantwortlichen verpflichtend. Der Kern dieser Verpflichtung findet sich in Art. 25 Datenschutzgrundverordnung (DSGVO).
Wenn Unternehmen personenbezogene Daten verarbeiten, müssen sie sicherstellen, dass diese Daten geschützt werden. Dies geschieht insbesondere im Wege der Umsetzung geeigneter technisch organisatorischer Maßnahmen (TOM). TOM im Datenschutz sind unterschiedliche Vorkehrungen, die von Verantwortlichen im Unternehmen getroffen werden müssen, um die Sicherheit der erhobenen und verarbeiteten personenbezogenen Daten zu gewährleisten.
Um den Grundsätzen des Datenschutzes durch Technik und datenschutzfreundlichen Voreinstellungen (Privacy by Design und Privacy by Default) Genüge zu tun, sollten gem. Art. 32 Abs. 1 DSGVO unter anderem folgende Maßnahmen ergriffen werden:
Pseudonymisierung und Verschlüsselung personenbezogener Daten
dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
Verfügbarkeit der personenbezogenen Daten
Wiederherstellung des Zugangs zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
All diese Maßnahmen sollen sicherstellen, dass personenbezogene Daten dem neusten Stand der Technik nach ausreichend geschützt sind. TOM sind nach einer Risikoanalyse aufzustellen, damit alle im Unternehmen gespeicherten und verarbeiteten personenbezogenen Daten auch hinsichtlich bestehender Risiken ausreichend geschützt werden. Konkret bedeutet das an einem Beispiel: Die Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein. Geht also eine Festplatte kaputt und ist nicht reparierbar, muss sichergestellt werden, dass es von allen Daten auf der Festplatte ein Backup gibt. Diese Risikoanalyse ist also unumgehbar.
Die DSGVO erweitert die Anforderungen im Bereich Sicherheit der Verarbeitung personenbezogener Daten. Für Unternehmen und betriebliche Datenschutzbeauftragte beinhaltet dies erweiterte Dokumentations- und Nachweispflichten. Das bedeutet, dass alle ergriffenen Maßnahmen dokumentiert werden müssen, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.
Sollte es im Rahmen der technischen und organisatorischen Maßnahmen zu Versäumnissen und Verstößen kommen, kann das Bußgelder nach sich ziehen. Vor allem einer gegebenenfalls notwendigen Folgenabschätzung und insbesondere der Dokumentation der erfolgten Maßnahmen kommt dabei höchste Bedeutung zu. Bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes drohen speziell in diesem Bereich als Bußgeld, neben den maximal 300.000 Euro Bußgeld bei anderen Verstößen. Dabei erschweren unbestimmte und auslegungsbedürftige Rechtsbegriffe, die die Verordnung als Maßstab verlangt, die Umsetzung. Dazu gehört beispielsweise das generelle Erfordernis den "Stand der Technik" umzusetzen.
Da die DSGVO bei der konkreten Definition der TOM für den Datenschutz eher vage bleibt, hilft ein Blick ins Bundesdatenschutzgesetz (BDSG). § 9 BDSG (alte Fassung) definiert technisch-organisatorische Maßnahmen und benennt konkret folgende Bereiche:
Zutrittskontrolle: Der physische Zutritt zu Datenverarbeitungsanlagen wie einem Serverraum muss durch Zutrittskontrolle verhindert werden. Mögliche Mittel sind elektronische Zugangssysteme oder Pförtner.
Zugangskontrolle: Dritte dürfen auch keinen digitalen Zugriff auf Datenverarbeitungsanlagen erhalten. Dies kann durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strenge Passwortverfahren erfolgen.
Zugriffskontrolle: Durch strenge Berechtigungskonzepte wird sichergestellt, dass unbefugte Dritte keinen Schreib- oder Lesezugang zu sensiblen Daten erhalten. Auch die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen darf nicht gegeben sein.
Weitergabekontrolle: Durch ausreichende Verschlüsselungen wird verhindert, dass sensible Daten unbefugten Dritten auch dann nicht offengelegt werden, wenn diese zum Beispiel gerade übertragen werden. Hier dürfen unberechtigte Dritte ebenfalls weder die Möglichkeit zum Lesen, Verändern, Kopieren oder zum Löschen der Daten erhalten.
Eingabekontrolle: Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen jede Änderung oder Löschung nachzuvollziehen.
Auftragskontrolle: AV-Verträge (Auftragsverarbeitungsverträge) regeln die Datenverarbeitung durch auf diese Weise befugte Dritte. Diese entsprechen den Regelungen des Auftraggebers.
Verfügbarkeitskontrolle: Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen. Zudem muss gewährleistet werden, dass die Daten im Verlustfall wiederhergestellt werden können.
Trennungsgebot: Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.
Natürlich müssen nicht alle Maßnahmen von allen Unternehmen umgesetzt werden. Allerdings ist wichtig, dass mittels Risikoanalyse abgeklärt wird, für welche Unternehmen bestimmte Maßnahmen relevant sind.
Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.
Technisch organisatorische Maßnahmen (TOM) dank Software einfach umsetzen!
Die Einhaltung des Aufgabenkatalogs der DSGVO ist mit Dokumentations- und Nachweispflichten verbunden. Auch die technische Ausgestaltung entsprechender Maßnahmen in der Sicherheit der Verarbeitung ist anspruchsvoller als noch bei der Geltung des alten Bundesdatenschutzgesetzes. Wir unterstützen Sie bei all diesen Aufgaben. Vor allem prüfen wir, inwieweit Sie die technischen und organisatorischen Maßnahmen (TOM nach DSGVO) in Ihrem Unternehmen umsetzen.
In unserer digitalen Datenschutzmanagement-Software Proliance 360 finden Sie hilfreiche Mustervorlagen und Checklisten, die Ihnen bei der Dokumentation der technischen und organisatorischen Maßnahmen helfen. Im Rahmen unserer Datenschutz-Beratung als externer Datenschutzbeauftragter beraten und unterstützen wir Sie gerne bei Fragen zur Dokumentation der technischen und organisatorischen Maßnahmen.
Was sind technisch organisatorische Maßnahmen nach DSGVO?
Technische und organisatorische Maßnahmen (TOM) sollen helfen, den Schutz personenbezogener Daten sicherzustellen. Es handelt sich dabei um Schutzvorrichtungen für verschiedene Unternehmensbereiche, die mit sensiblen Daten arbeiten. Ein Beispiel für TOM sind Zutrittskontrollen zum Serverraum oder der Einsatz von Firewalls und Backups.
Sind technische und organisatorische Maßnahmen (TOM) Pflicht für Unternehmen?
TOM müssen von Unternehmen, die personenbezogene Daten erheben, verarbeiten oder speichern, angewandt werden. Die Größe des Unternehmens spielt dabei keine Rolle.
Was ist das Ziel von technisch organisatorischen Maßnahmen?
Technische und organisatorische Maßnahmen (TOM) sollen personenbezogene Daten, die von Unternehmen erhoben, verarbeitet und gespeichert werden, auf bestmögliche Weise schützen. Vor allem der Zugriff unberechtigter Dritter, die Änderung der Daten sowie deren Schutz vor unbefugter Kopie oder Löschung sind dabei zentrale Punkte.
Was sind Beispiele für technisch organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen umfassen z.B. Zugriffs- und Zugangskontrollen sowie Weitergabe- und Eingabekontrollen. All diese Maßnahmen zielen darauf ab, dass unbefugte Dritte keinen Zugang zu Datenverarbeitungsanlagen wie einem Serverraum erlangen können. Weitere TOM sind darüber hinaus die Verwendung von Dateiverschlüsselungen, Firewalls, Virenschutzprogrammen oder Backups. All diese Maßnahmen müssen immer nach dem neusten Stand der Technik umgesetzt werden.
Was bedeuted 'TOM' im Datenschutz?
TOM sind durch die DSGVO vorgeschriebene Maßnahmen für die Sicherheit von personenbezogenen Daten, wie z.B. Zugangskontrollen zu einem Gebäude oder Auftragskontrollen wie AV-Verträge.
Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!
Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
