Technische und Organisatorische Maßnahmen
TOM für Datenschutz
Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen.
Technische und organisatorische Maßnahmen (TOM) sind ein zentraler Bestandteil der Datenschutzgrundverordnung (DSGVO) und bilden das Rückgrat einer jeden Datenschutzstrategie. Diese Maßnahmen sind entscheidend, um die Sicherheit personenbezogener Daten während ihrer Verarbeitung zu gewährleisten und die Risiken für die betroffenen Personen zu minimieren. Sie umfassen physische Sicherheitsmaßnahmen, digitale Schutzmaßnahmen und Verfahrensrichtlinien, die allesamt darauf abzielen, ein hohes Maß an Datensicherheit zu gewährleisten.
Doch was genau verbirgt sich hinter diesen Maßnahmen, warum sind sie so wichtig und wie sollten sie dokumentiert und umgesetzt werden? In diesem Artikel beleuchten wir die wesentlichen Aspekte der TOM, erläutern ihre Bedeutung im täglichen Datenschutz und geben einen Überblick darüber, worauf Unternehmen achten müssen, um die gesetzlichen Anforderungen zu erfüllen.
Erfahre mehr darüber, warum es unerlässlich ist, TOM von Anfang an zu dokumentieren, welche Kontrollkategorien zu beachten sind und wie Unternehmen die für ihre Branche geeigneten Maßnahmen umsetzen können.
Inhaltsverzeichnis:
Was ist das überhaupt?
Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. TOM sind in verschiedenen Themengebieten vorhanden, zum Beispiel physisch (Alarmanlagen in Gebäuden), digital (Hard- und Software) oder verfahrenstechnisch (Vier-Augen-Prinzip).
Im Datenschutz sind TOM vor allem im digitalen Umfeld anwesend. Dazu gehören Benutzerkontos, Passwörter, Daten-Backups, Firewalls, Virenscanner und biometrische Benutzeridentifikation.
Unsere kostenlose Checkliste für TOMs!
Prüfe alle Aspekte der technischen und organisatorischen Maßnahmen mit unserer kostenlosen Checkliste.
Wieso muss ich das dokumentieren? Wieso brauche ich das?
Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.
Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten.
Worauf muss ich bei der Erstellung achten?
Bei der Erstellung von technischen und organisatorischen Maßnahmen ist es wichtig auf die unterschiedlichen Kategorien zu achten. So wird zwischen technischen Maßnahmen und organisatorischen Maßnahmen unterschieden. Zu ersterem zählen physische Schutzmaßnahmen, die der Sicherheit der Datenverarbeitung dienen, wie zum Beispiel Fenster- und Türsicherungen sowie Alarmanlagen. Hingegen beinhalten organisatorische Maßnahmen Handlungsanweisungen und Vorgehens- bzw. Verfahrensweisen für Mitarbeiter (sowie die Umsetzung dieser), wie zum Beispiel Richtlinien für die Besucheranmeldung oder das Vier-Augen-Prinzip. Wichtig ist auch, dass beide Arten von Maßnahmen in den verschiedenen Kontrollkategorien wiederzufinden sind, welche einzeln dokumentiert werden müssen.
Diese Kontrollkategorien lassen sich in Zugriffskontrolle, Zutrittskontrolle, Zugangskontrolle, Trennungsgebot, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle unterteilen.
Nach Art. 32 Abs.1 DSGVO muss verschiedenstes berücksichtigt werden bei der Einführung von technischen und organisatorischen Maßnahmen wie z.B. der aktuelle Stand der Technik, Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Hierbei ist es wichtig, dass die zweckmäßige Datenverarbeitung gesichert ist, weswegen die Datenverarbeitungssysteme stark belastbar sein müssen und es Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust gibt. Die Daten müssen immer verschlüsselt und pseudonymisiert verarbeitet werden.
Auch die verschiedenen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen müssen bei der Einrichtung der technischen und organisatorischen Maßnahmen beachtet werden.
Unsere erfahrenen Anwälte unterstützen dich gerne!
Jetzt kontaktieren!Compliance-Newsletter
Abonniere jetzt unseren Newsletter und bleibe informiert über die neuesten Entwicklungen zu Datenschutz, DSGVO, Cybersicherheit und weiteren wichtigen Compliance-Regelungen wie revDSG, NIS 2 und ISO 27001. Erhalte wertvolle Tipps, exklusive Ressourcen und regelmäßigen Zugang zu Webinaren. Verpasse keine wichtigen Neuigkeiten mehr!
Weitere Artikel
So vermeidest du teure Datenlecks: Datensicherheit für KMU
Datenlecks verursachen Unternehmen jedes Jahr Millionen Schäden. Kleine und mittlere Organisationen sind besonders gefährdet. Denn sie nutzen häufig veraltete Sicherheitsstrategien: Software-Updates erfolgen nicht regelmäßig, Backupstrategien und Verschlüsselungen werden nur lückenhaft eingesetzt. Es fehlt an einem umfassenden Sicherheitskonzept, das Mitarbeitenden eine klare Orientierung gibt, wie sie mit Daten umgehen sollen und welche Maßnahmen sie im Schadensfall sofort ergreifen müssen. Es gibt nicht die Technologie, um Datenlecks bestmöglich zu verhindern und einen Schaden im Ernstfall zu minimieren. Vielmehr müssen technische Sicherheitsmaßnahmen, standardisierte Prozesse und datenkompetente Mitarbeitende zusammenwirken
Mehr erfahren
Top 3 Cybersecurity-Prognosen für Unternehmen in 2025
Im Jahr 2024 werden Diskussionen über künstliche Intelligenz (KI) in der Cybersicherheit dominieren, die sowohl Herausforderungen als auch Chancen für Unternehmen und Einzelpersonen mit sich bringen. Während die KI weiter voranschreitet, eröffnet ihre Integration in Cybersicherheitspraktiken neue Wege sowohl für die Cyberabwehr als auch für die Ausnutzung von Schwachstellen. Erfahre, wie Organisationen einen ganzheitlichen Ansatz für die Cybersicherheit verfolgen können, um die Komplexität KI-gesteuerter Bedrohungen effektiv zu bewältigen und die Widerstandsfähigkeit gegenüber neu auftretenden Risiken zu gewährleisten.
Mehr erfahren
5 sichere Alternativen zu Passwörtern für mehr Unternehmenssicherheit
Da die Zahl der Cyberangriffe im Jahr 2024 um 30 % gestiegen ist, setzen Unternehmen auf passwortlose Authentifizierung, um die Sicherheit zu erhöhen. Herkömmliche passwortbasierte Methoden, die anfällig für den Diebstahl von Anmeldedaten, Phishing und menschliche Fehler sind, reichen zunehmend nicht mehr aus. Im Gegensatz dazu bieten passwortlose Methoden einen besseren Schutz und mehr Komfort.
Mehr erfahren