1. Home
  2. Knowledge Base
  3. Datenschutzmanagement für Unternehmen
  4. Technische und organisatorische Maßnahmen (TOM) nach DSGVO: Ein umfassender Leitfaden
  1. Home
  2. Knowledge Base
  3. Implementierung technischer und organisatorischer Maßnahmen (TOMs)
  4. Technische und organisatorische Maßnahmen (TOM) nach DSGVO: Ein umfassender Leitfaden

Technische und organisatorische Maßnahmen (TOM) nach DSGVO: Ein umfassender Leitfaden

Technische und organisatorische Maßnahmen (TOM) nach DSGVO: Ein umfassender Leitfaden

Technische und organisatorische Maßnahmen (TOM) sind entscheidend für die Sicherheit personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung (DSGVO). Dieser Artikel erläutert, was TOM sind, welche technischen und organisatorischen Maßnahmen es gibt, wie ein risikobasierter Ansatz nach Art. 32 DSGVO aussieht, was der „Stand der Technik“ bedeutet und welche besonderen Anforderungen an Auftragsverarbeiter gestellt werden.

Was sind technische und organisatorische Maßnahmen (TOM)?

TOM sind Maßnahmen, die Unternehmen und Organisationen gemäß Art. 32 DSGVO ergreifen müssen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Sie dienen dem Schutz vor unbefugtem Zugriff, Verlust oder Manipulation und helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen.

Technische Maßnahmen

Technische Maßnahmen betreffen die IT-Sicherheit sowie den physischen Schutz von Datenverarbeitungssystemen:

  • Datenverschlüsselung & Pseudonymisierung: z. B. SSL/TLS für Websites
  • Firewalls & Zugriffsbeschränkungen: Schutz vor Hackerangriffen
  • Protokollierung (Logging): Um Datenverarbeitung nachvollziehbar zu machen
  • Sichere Passwortrichtlinien & Multi-Faktor-Authentifizierung
  • Gebäudesicherheit: z. B. Alarmanlagen, Zutrittskontrollen

Organisatorische Maßnahmen

Organisatorische Maßnahmen betreffen den Datenschutz in betrieblichen Abläufen und im Verhalten der Mitarbeitenden:

  • Mitarbeiterschulungen zu Datenschutz & IT-Sicherheit
  • Vertraulichkeitsverpflichtungen für Mitarbeitende
  • Vier-Augen-Prinzip zur Absicherung sensibler Prozesse
  • Berechtigungskonzepte zur Zugriffsbeschränkung auf Daten
  • Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen Verarbeitungen

Risikobasierter Ansatz nach Art. 32 DSGVO

TOM müssen immer an das jeweilige Risiko angepasst sein. Je sensibler die Daten, desto strikter die Schutzmaßnahmen. Das Risiko ergibt sich aus der Schwere des möglichen Schadens (z. B. Identitätsdiebstahl, Rufschädigung) und der Wahrscheinlichkeit eines Vorfalls (z. B. Hackerangriff, Datenleck).

TOM im Verhältnis zum „Stand der Technik“

Unternehmen müssen Maßnahmen nach dem „Stand der Technik“ ergreifen. Dabei gilt: Nicht jede Maßnahme muss maximal aufwendig sein – sie muss aber dem Risiko angemessen sein. Wirtschaftliche Erwägungen dürfen berücksichtigt werden, aber Datenschutz geht vor.

TOM bei Auftragsverarbeitern

Bei der Einbindung von Dienstleistern (z. B. Cloud-Anbieter) gilt:

  • Art. 28 DSGVO: Nur mit Auftragsverarbeitern zusammenarbeiten, die TOM umsetzen.
  • Vertragliche Verpflichtung: Im Auftragsverarbeitungsvertrag (AVV) müssen TOM festgelegt sein.

TOM nach BDSG (§ 64 BDSG) – Wichtige Kontrollmaßnahmen

Nach § 64 BDSG gibt es eine strukturierte Liste von Kontrollmaßnahmen, darunter:

  • Zugangskontrolle: Unbefugten den Zugang zu IT-Systemen verwehren.
  • Datenträgerkontrolle: Schutz vor unbefugtem Lesen/Kopieren.
  • Speicherkontrolle: Zugriff auf gespeicherte Daten einschränken.
  • Übertragungskontrolle: Schutz beim Datentransfer (z. B. durch Verschlüsselung).
  • Verfügbarkeitskontrolle: Schutz vor Datenverlust (Backups, Notfallpläne).
  • Auftragskontrolle: Sicherstellen, dass Daten nur nach Weisung des Auftraggebers verarbeitet werden.

Tipps für die Praxis

  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für den Umgang mit personenbezogenen Daten und die Bedeutung des Datenschutzes. Regelmäßige Schulungen können helfen, das Bewusstsein für die rechtlichen Anforderungen zu schärfen.
  • Interne Richtlinien: Entwickeln Sie klare Richtlinien für den Umgang mit personenbezogenen Daten. Diese Richtlinien sollten die rechtlichen Anforderungen abdecken und sicherstellen, dass alle Mitarbeiter die notwendigen Kenntnisse und Fähigkeiten besitzen.
  • Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Maßnahmen und Richtlinien zum Datenschutz und passen Sie diese bei Bedarf an. Dies stellt sicher, dass Ihr Unternehmen den aktuellen Anforderungen entspricht und effektiv auf neue Entwicklungen reagieren kann.

Fazit

TOM sind essenziell für die DSGVO-Compliance und müssen an das Risiko der Datenverarbeitung angepasst werden. Während technische Maßnahmen die IT-Sicherheit betreffen, regeln organisatorische Maßnahmen den Datenschutz im Arbeitsalltag. Unternehmen sollten regelmäßig prüfen, ob ihre TOM dem aktuellen Stand der Technik entsprechen und notwendige Anpassungen vornehmen.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Was sind technische und organisatorische Maßnahmen (TOM)?
  2. Welche technischen Maßnahmen gibt es?
  3. Welche organisatorischen Maßnahmen gibt es?
  4. Was bedeutet ein risikobasierter Ansatz nach Art. 32 DSGVO?
  5. Was bedeutet „Stand der Technik“ im Zusammenhang mit TOM?

Tags

  • Datenschutz-Compliance
  • TOM
  • DSGVO
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen