Datenschutz

Technische und Organisatorische Maßnahmen

Technische_und_organisatorische_massnahmen_TOMS_heyData-min.jpg
252x252-arthur_heydata_882dfef0fd.jpg
Arthur
23.01.2023

TOM für Datenschutz

Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. 

Technische und organisatorische Maßnahmen (TOM) sind ein zentraler Bestandteil der Datenschutzgrundverordnung (DSGVO) und bilden das Rückgrat einer jeden Datenschutzstrategie. Diese Maßnahmen sind entscheidend, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten und die Risiken für die betroffenen Personen zu minimieren. Sie umfassen physische Sicherheitsmaßnahmen, digitale Schutzmaßnahmen und Verfahrensrichtlinien, die allesamt darauf abzielen, ein hohes Maß an Datensicherheit zu gewährleisten.

Doch was genau verbirgt sich hinter diesen Maßnahmen, warum sind sie so wichtig und wie sollten sie dokumentiert und umgesetzt werden? In diesem Artikel beleuchten wir die wesentlichen Aspekte der TOM, erläutern ihre Bedeutung im täglichen Datenschutz und geben einen Überblick darüber, worauf Unternehmen achten müssen, um die gesetzlichen Anforderungen zu erfüllen.

Erfahre mehr darüber, warum es unerlässlich ist, TOM von Anfang an zu dokumentieren, welche Kontrollkategorien zu beachten sind und wie Unternehmen die für ihre Branche geeigneten Maßnahmen umsetzen können.

Inhaltsverzeichnis:

‍Was ist das überhaupt?

Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. TOM sind in verschiedenen Themengebieten vorhanden, zum Beispiel physisch (Alarmanlagen in Gebäuden), digital (Hard- und Software) oder verfahrenstechnisch (Vier-Augen-Prinzip). 

Im Datenschutz sind TOM vor allem im digitalen Umfeld anwesend. Dazu gehören Benutzerkontos, Passwörter, Daten-Backups, Firewalls, Virenscanner und biometrische Benutzeridentifikation. 

Unsere Checkliste für technische und organisatorische Maßnahmen für Ihr Unternehmen

Unsere kostenlose Checkliste für TOMs!

Prüfe alle Aspekte der technischen und organisatorischen Maßnahmen mit unserer kostenlosen Checkliste.

Wieso muss ich das dokumentieren? Wieso brauche ich das?

Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.

Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben  verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten. 

Worauf muss ich bei der Erstellung achten?

Bei der Erstellung von technischen und organisatorischen Maßnahmen ist es wichtig auf die unterschiedlichen Kategorien zu achten. So wird zwischen technischen Maßnahmen und organisatorischen Maßnahmen unterschieden. Zu ersterem zählen physische Schutzmaßnahmen, die der Sicherheit der Datenverarbeitung dienen, wie zum Beispiel Fenster- und Türsicherungen sowie Alarmanlagen. Hingegen beinhalten organisatorische Maßnahmen Handlungsanweisungen und Vorgehens- bzw. Verfahrensweisen für Mitarbeiter (sowie die Umsetzung dieser), wie zum Beispiel Richtlinien für die Besucheranmeldung oder das Vier-Augen-Prinzip. Wichtig ist auch, dass beide Arten von Maßnahmen in den verschiedenen Kontrollkategorien wiederzufinden sind,  welche einzeln dokumentiert werden müssen.

Diese Kontrollkategorien lassen sich in Zugriffskontrolle, Zutrittskontrolle, Zugangskontrolle, Trennungsgebot, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle unterteilen. 

Nach Art. 32 Abs.1 DSGVO muss verschiedenstes berücksichtigt werden bei der Einführung von technischen und organisatorischen Maßnahmen wie z.B. der aktuelle Stand der Technik, Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Hierbei ist es wichtig, dass die zweckmäßige Datenverarbeitung gesichert ist, weswegen die Datenverarbeitungssysteme stark belastbar sein müssen und es Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust gibt. Die Daten müssen immer verschlüsselt und pseudonymisiert verarbeitet werden. 

Auch die verschiedenen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen müssen bei der Einrichtung der technischen und organisatorischen Maßnahmen beachtet werden.

Unsere erfahrenen Anwälte unterstützen dich gerne!

Jetzt kontaktieren!

Weitere Artikel

So vermeidest du teure Datenlecks: Datensicherheit für KMU

So vermeidest du teure Datenlecks: Datensicherheit für KMU

Datenlecks verursachen Unternehmen jedes Jahr Millionen Schäden. Kleine und mittlere Organisationen sind besonders gefährdet. Denn sie nutzen häufig veraltete Sicherheitsstrategien: Software-Updates erfolgen nicht regelmäßig, Backupstrategien und Verschlüsselungen werden nur lückenhaft eingesetzt. Es fehlt an einem umfassenden Sicherheitskonzept, das Mitarbeitenden eine klare Orientierung gibt, wie sie mit Daten umgehen sollen und welche Maßnahmen sie im Schadensfall sofort ergreifen müssen. Es gibt nicht die Technologie, um Datenlecks bestmöglich zu verhindern und einen Schaden im Ernstfall zu minimieren. Vielmehr müssen technische Sicherheitsmaßnahmen, standardisierte Prozesse und datenkompetente Mitarbeitende zusammenwirken

Mehr erfahren
Top 3 Cybersecurity-Prognosen für Unternehmen in 2025

Top 3 Cybersecurity-Prognosen für Unternehmen in 2025

Im Jahr 2024 werden Diskussionen über künstliche Intelligenz (KI) in der Cybersicherheit dominieren, die sowohl Herausforderungen als auch Chancen für Unternehmen und Einzelpersonen mit sich bringen. Während die KI weiter voranschreitet, eröffnet ihre Integration in Cybersicherheitspraktiken neue Wege sowohl für die Cyberabwehr als auch für die Ausnutzung von Schwachstellen. Erfahre, wie Organisationen einen ganzheitlichen Ansatz für die Cybersicherheit verfolgen können, um die Komplexität KI-gesteuerter Bedrohungen effektiv zu bewältigen und die Widerstandsfähigkeit gegenüber neu auftretenden Risiken zu gewährleisten.

Mehr erfahren
5 sichere Alternativen zu Passwörtern für Unternehmenssicherheit

5 sichere Alternativen zu Passwörtern für mehr Unternehmenssicherheit

Da die Zahl der Cyberangriffe im Jahr 2024 um 30 % gestiegen ist, setzen Unternehmen auf passwortlose Authentifizierung, um die Sicherheit zu erhöhen. Herkömmliche passwortbasierte Methoden, die anfällig für den Diebstahl von Anmeldedaten, Phishing und menschliche Fehler sind, reichen zunehmend nicht mehr aus. Im Gegensatz dazu bieten passwortlose Methoden einen besseren Schutz und mehr Komfort.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen