Technische und Organisatorische Maßnahmen
TOM für Datenschutz
Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen.
Technische und organisatorische Maßnahmen (TOM) sind ein zentraler Bestandteil der Datenschutzgrundverordnung (DSGVO) und bilden das Rückgrat einer jeden Datenschutzstrategie. Diese Maßnahmen sind entscheidend, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten und die Risiken für die betroffenen Personen zu minimieren. Sie umfassen physische Sicherheitsmaßnahmen, digitale Schutzmaßnahmen und Verfahrensrichtlinien, die allesamt darauf abzielen, ein hohes Maß an Datensicherheit zu gewährleisten.
Doch was genau verbirgt sich hinter diesen Maßnahmen, warum sind sie so wichtig und wie sollten sie dokumentiert und umgesetzt werden? In diesem Artikel beleuchten wir die wesentlichen Aspekte der TOM, erläutern ihre Bedeutung im täglichen Datenschutz und geben einen Überblick darüber, worauf Unternehmen achten müssen, um die gesetzlichen Anforderungen zu erfüllen.
Erfahre mehr darüber, warum es unerlässlich ist, TOM von Anfang an zu dokumentieren, welche Kontrollkategorien zu beachten sind und wie Unternehmen die für ihre Branche geeigneten Maßnahmen umsetzen können.
Inhaltsverzeichnis:
Was ist das überhaupt?
Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. TOM sind in verschiedenen Themengebieten vorhanden, zum Beispiel physisch (Alarmanlagen in Gebäuden), digital (Hard- und Software) oder verfahrenstechnisch (Vier-Augen-Prinzip).
Im Datenschutz sind TOM vor allem im digitalen Umfeld anwesend. Dazu gehören Benutzerkontos, Passwörter, Daten-Backups, Firewalls, Virenscanner und biometrische Benutzeridentifikation.
Unsere kostenlose Checkliste für TOMs!
Prüfe alle Aspekte der technischen und organisatorischen Maßnahmen mit unserer kostenlosen Checkliste.
Wieso muss ich das dokumentieren? Wieso brauche ich das?
Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.
Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten.
Worauf muss ich bei der Erstellung achten?
Bei der Erstellung von technischen und organisatorischen Maßnahmen ist es wichtig auf die unterschiedlichen Kategorien zu achten. So wird zwischen technischen Maßnahmen und organisatorischen Maßnahmen unterschieden. Zu ersterem zählen physische Schutzmaßnahmen, die der Sicherheit der Datenverarbeitung dienen, wie zum Beispiel Fenster- und Türsicherungen sowie Alarmanlagen. Hingegen beinhalten organisatorische Maßnahmen Handlungsanweisungen und Vorgehens- bzw. Verfahrensweisen für Mitarbeiter (sowie die Umsetzung dieser), wie zum Beispiel Richtlinien für die Besucheranmeldung oder das Vier-Augen-Prinzip. Wichtig ist auch, dass beide Arten von Maßnahmen in den verschiedenen Kontrollkategorien wiederzufinden sind, welche einzeln dokumentiert werden müssen.
Diese Kontrollkategorien lassen sich in Zugriffskontrolle, Zutrittskontrolle, Zugangskontrolle, Trennungsgebot, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle unterteilen.
Nach Art. 32 Abs.1 DSGVO muss verschiedenstes berücksichtigt werden bei der Einführung von technischen und organisatorischen Maßnahmen wie z.B. der aktuelle Stand der Technik, Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Hierbei ist es wichtig, dass die zweckmäßige Datenverarbeitung gesichert ist, weswegen die Datenverarbeitungssysteme stark belastbar sein müssen und es Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust gibt. Die Daten müssen immer verschlüsselt und pseudonymisiert verarbeitet werden.
Auch die verschiedenen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen müssen bei der Einrichtung der technischen und organisatorischen Maßnahmen beachtet werden.
