Technische und Organisatorische Maßnahmen: Was sie sind und warum sie unter der DSGVO wichtig sind
TOMs erklärt: Praktischer Datenschutz für moderne Unternehmen
Technische und organisatorische Maßnahmen (TOMs) sind die Grundlage für die Einhaltung der DSGVO und vereinen Technologie, Richtlinien und Praxis, um personenbezogene Daten zu schützen. In diesem Artikel wird erläutert, was TOMs beinhalten, wie sie sich von Branche zu Branche unterscheiden und warum eine ordnungsgemäße Dokumentation vom ersten Tag an wichtig ist. Entdecke praktische Beispiele, rechtliche Anforderungen und Expertentipps, um die TOMs in der heutigen Cloud-first- und KI-getriebenen Welt auf dein Unternehmen zuzuschneiden.
Technische und organisatorische Maßnahmen (TOMs) sind nach der Datenschutz-Grundverordnung (DSGVO) gesetzlich vorgeschrieben und die Grundlage für jede wirksame Datenschutzstrategie. Diese technischen und verfahrenstechnischen Sicherheitsvorkehrungen sollen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch während der Verarbeitung schützen.
TOMs umfassen alles von Verschlüsselungs- und Zugangskontrollsystemen bis hin zu Mitarbeiterschulungen und Notfallplänen. Ihr Zweck ist klar: Sie sollen die Risiken für die betroffenen Personen verringern und einen hohen Standard an Sicherheit, Verantwortlichkeit und Compliance in deinem Unternehmen gewährleisten.
In diesem Artikel erklären wir, was TOMs im Zusammenhang mit der DSGVO sind, warum sie für die Einhaltung des Datenschutzes wichtig sind und wie Unternehmen sie effektiv umsetzen und dokumentieren können. Du wirst außerdem erfahren:
- Welche Arten von TOMs dein Unternehmen braucht
- Warum du TOMs dokumentieren musst, um die Anforderungen von Artikel 32 DSGVO zu erfüllen
- Warum branchenspezifische Risiken und Technologien bei der Auswahl geeigneter Maßnahmen wichtig sind
- Wie TOMs zur DSGVO-Rechenschaftspflicht und Auditbereitschaft beitragen
Egal, ob du Datenverantwortlicher, Datenverarbeiter oder Compliance-Beauftragter bist, die richtigen TOMs zu verstehen und anzuwenden ist entscheidend für den Schutz personenbezogener Daten und die Vermeidung von Strafen.
Inhaltsverzeichnis:
Was sind technische und organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen (TOM) sind die praktischen Maßnahmen, die du zum Schutz deiner Daten ergreifst. Das sind nicht nur IT-Einstellungen oder Compliance-Häkchen. Es sind Verhaltensweisen, die dein Unternehmen durch Technologie, Richtlinien und Kultur entwickelt, um verantwortungsvoll mit Daten umzugehen.
- Technische Maßnahmen umfassen die Tools und Technologien wie z.B. Verschlüsselung, sichere Server und Multi-Faktor-Authentifizierung.
- Organisatorische Maßnahmen umfassen z.B. interne Richtlinien, Mitarbeiterschulungen, Zugangsprotokolle und klar definierte Verantwortlichkeiten.
Zusammen bilden sie das Fundament deiner Strategie zur Einhaltung der DSGVO. Und was noch wichtiger ist: Sie verringern das Risiko von Datenschutzverletzungen und Verstößen gegen den Datenschutz.
TOMs sind nicht für alle gleich gut geeignet
Die DSGVO stellt eines klar: Die Sicherheitsmaßnahmen müssen im Verhältnis zum Risiko stehen. Das bedeutet, dass deine TOMs widerspiegeln müssen, wie sensibel die Daten sind, was du mit ihnen machst und was falsch laufen könnte, wenn etwas schiefgeht.
Also ja - jedes Unternehmen braucht TOMs. Aber der spezifische Kombination von Maßnahmen wird sehr unterschiedlich aussehen für:
- eine Zahnarztpraxis, die Patientendaten verwaltet
- ein SaaS-Unternehmen, das Benutzerdaten speichert
- eine Marketingagentur, die Newsletter-Anmeldungen sammelt
Wieso muss ich das dokumentieren?
Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.
Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten.
Ein genauerer Blick auf die wichtigsten TOM-Kategorien der DSGVO
Artikel 32 der DSGVO beschreibt mehrere Bereiche, in denen technische und organisatorische Maßnahmen angewendet werden sollten. Hier erfährst du, was sie in der Praxis für dein Unternehmen bedeuten:
Zugangskontrolle
Stelle sicher, dass nur die richtigen Personen auf die richtigen Daten zugreifen können.
- Verwende rollenbasierte Berechtigungen
- Richte sichere Logins mit MFA ein
- Entferne den Zugang schnell, wenn Mitarbeiter gehen
Übertragungskontrolle
Sorge dafür, dass die Daten sicher sind, wenn sie gesendet oder empfangen werden.
- Verschlüssele Daten während der Übertragung (HTTPS, SFTP)
- Verwende sichere Cloud-Speicher oder VPNs
- Versende keine persönlichen Daten über unverschlüsselte E-Mails
Eingabekontrolle
Verfolge, wer was wann ändert.
- Aktiviere eine detaillierte Protokollierung
- Verlangt individuelle Benutzerkonten (keine gemeinsamen Logins)
- Verwende Prüfpfade, insbesondere für sensible Daten
Trennungskontrolle
Vermeide die Vermischung von Daten, die nicht zusammen verarbeitet werden sollten.
- Trenne Personaldaten von Marketingdaten
- Schränke den internen Zugriff je nach Zweck ein
- Kläre die Datennutzung in deinen Aufzeichnungen über die Verarbeitung
Verfügbarkeitskontrolle
Sorge dafür, dass deine Systeme und Daten auch dann noch funktionieren, wenn etwas schief läuft.
- Sichert eure Daten regelmäßig (und testet eure Wiederherstellungen)
- Erstelle einen Disaster-Recovery-Plan
- Richte bei Bedarf eine redundante Infrastruktur ein
Pseudonymisierung und Verschlüsselung
Sorge dafür, dass die Daten für Angreifer weniger nützlich sind - selbst wenn sie sie in die Hände bekommen.
- Verschlüssele Dateien, Datenbanken und Backups
- Verwende pseudonymisierte Identifikatoren anstelle von Namen
- Bewahre Verschlüsselungsschlüssel sicher und separat auf
TOMs in der heutigen Tech-Landschaft: Cloud, KI und Remote-Arbeit
TOMs sind nicht in der Zeit eingefroren - sie entwickeln sich mit deinem Tech-Stack weiter. Finde heraus, was das im Jahr 2025 bedeutet.
Cloud-Dienste
Die meisten Unternehmen nutzen Cloud-Plattformen, aber wenn du deine Daten jemand anderem anvertraust, entbindet dich das nicht von deiner DSGVO-Verantwortung.
- Verstehe das Modell der geteilten Verantwortung
- Arbeite mit Anbietern, die klare Sicherheitszusagen machen
- Überprüfe ihre Zertifizierungen (ISO 27001)
- Verschlüssele sensible Daten vor dem Hochladen
KI und automatisierte Entscheidungsfindung
Wenn du Modelle mit personenbezogenen Daten trainierst oder KI zur Erstellung von Nutzerprofilen verwendest, sind TOMs wichtiger denn je.
- Verwende pseudonymisierte Datensätze beim Modelltraining
- Dokumentiere, wie Entscheidungen getroffen und überprüft werden
- Schränke den Zugang zu den Modellergebnissen ein, vor allem wenn sie die Rechte von Personen betreffen.
Fern- und Hybridarbeit
Sicherheit bezieht sich nicht mehr nur auf Büronetzwerke.
- Verlangt VPNs für den Zugang zu externen Standorten
- Verschlüsselte Laptops und mobile Geräte
- Fortlaufende Mitarbeiterschulungen, um Datenlecks im Home-Office zu verhindern
- Verwende Mobile Device Management (MDM), um Sicherheitsstandards aus der Ferne durchzusetzen