Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen.
Technische und organisatorische Maßnahmen (TOM) sind Richtlinien, die personenbezogene Daten, die verarbeitet, erhoben oder genutzt werden, folgen müssen um die Sicherheits- und Schutzanforderungen der DSGVO zu erfüllen. TOM sind in verschiedenen Themengebieten vorhanden, zum Beispiel physisch (Alarmanlagen in Gebäuden), digital (Hard- und Software) oder verfahrenstechnisch (Vier-Augen-Prinzip).
Im Datenschutz sind TOM vor allem im digitalen Umfeld anwesend. Dazu gehören Benutzerkontos, Passwörter, Daten-Backups, Firewalls, Virenscanner und biometrische Benutzeridentifikation.
Im Falle einer meldepflichtigen Datenpanne oder Datenschutzverstoß können TOM belegen, dass geeignete Maßnahmen zum Schutz der Daten getroffen wurden. Wichtig ist dabei, dass das Unternehmen die TOM frühzeitig dokumentiert bevor die Behörde diese verlangt. Diese Dokumentation erfolgt sobald die personenbezogenen Daten im Verarbeitungsprozess stehen. Der Prozess beginnt, wenn Daten wie zum Beispiel E-Mail-Adressen von Newslettern oder generelle Kundendaten gesammelt werden.
Direkt nach dem Anfang des Sammelns und Dokumentierens der Daten muss man sicherstellen, dass die TOM angemessen für die zutreffende Industrie bereitgestellt werden. Ein gutes Beispiel hierfür wäre eine Arztpraxis, die Patientendaten wie Versicherungsnummer und Krankenakten sammelt, mehr Schutz in der IT-Infrastruktur erfordert, als ein Handwerker, der seine Kundendaten auf einer Plattform wie Excel festhält. Beide Situationen haben verschiedene Erwartungen an den Datenschutz, die unterschiedlich in den TOMs angepasst werden sollten.
Bei der Erstellung von technischen und organisatorischen Maßnahmen ist es wichtig auf die unterschiedlichen Kategorien zu achten. So wird zwischen technischen Maßnahmen und organisatorischen Maßnahmen unterschieden. Zu ersterem zählen physische Schutzmaßnahmen, die der Sicherheit der Datenverarbeitung dienen, wie zum Beispiel Fenster- und Türsicherungen sowie Alarmanlagen. Hingegen beinhalten organisatorische Maßnahmen Handlungsanweisungen und Vorgehens- bzw. Verfahrensweisen für Mitarbeiter (sowie die Umsetzung dieser), wie zum Beispiel Richtlinien für die Besucheranmeldung oder das Vier-Augen-Prinzip. Wichtig ist auch, dass beide Arten von Maßnahmen in den verschiedenen Kontrollkategorien wiederzufinden sind, welche einzeln dokumentiert werden müssen.
Diese Kontrollkategorien lassen sich in Zugriffskontrolle, Zutrittskontrolle, Zugangskontrolle, Trennungsgebot, Eingabekontrolle, Weitergabekontrolle und Verfügbarkeitskontrolle unterteilen.
Nach Art. 32 Abs.1 DSGVO muss verschiedenstes berücksichtigt werden bei der Einführung von technischen und organisatorischen Maßnahmen wie z.B. der aktuelle Stand der Technik, Implementierungskosten sowie die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Hierbei ist es wichtig, dass die zweckmäßige Datenverarbeitung gesichert ist, weswegen die Datenverarbeitungssysteme stark belastbar sein müssen und es Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust gibt. Die Daten müssen immer verschlüsselt und pseudonymisiert verarbeitet werden.
Auch die verschiedenen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten der Betroffenen müssen bei der Einrichtung der technischen und organisatorischen Maßnahmen beachtet werden.
Was ist eine Verschwiegenheitserklärung nach DSGVO und worauf muss ich hierbei achten? Mehr dazu im Artikel
Mehr erfahrenWenn in Deutschland, ja, der gesamten EU, von Datenschutz gesprochen wird, so ist dieses Thema stets mit den USA verbunden. Manchmal stehen die fragwürdigen Praxen der amerikanischen Geheimdienste im Vordergrund, manchmal wie Technologiefirmen wie Google, Amazon oder Microsoft nach Daten gieren. Letzteres zumindest schien durch das Safe Harbour Abkommen und später durch das Privacy Shield Abkommen auf akzeptable Maße eingeschränkt zu sein.
Mehr erfahrenGastbeitrag von heyData - zuerst erschienen auf HR Works zum Thema Datenschutz im Personalwesen
Mehr erfahren