Technical and Organizational Measures (TOM) for Companies

Schütze dein Unternehmen vor Datenschutzverletzungen

Technisch organisatorische Maßnahmen (TOM)

Die DSGVO schreibt technische und organisatorische Maßnahmen vor, kurz TOM genannt, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Unternehmen müssen über spezifische Maßnahmen und Verfahren verfügen, um die Datenschutzvorgaben zu erfüllen. Die entsprechenden Vorschriften sind in Artikel 25 der Allgemeinen Datenschutzverordnung (DSGVO) zu finden.

Wende dich an einen Experten!

Inhaltsverzeichnis

Technisch organisatorische Maßnahmen beziehen sich auf die Sicherheitsstrategien und -verfahren, die Unternehmen implementieren müssen, um die Anforderungen der DSGVO zu erfüllen. Diese Maßnahmen sollten auf einer gründlichen Risikoanalyse basieren und sowohl präventive als auch reaktive Elemente umfassen, um potenzielle Datenschutzrisiken effektiv zu managen.

Technische und organisatorische Maßnahmen: Das Wichtigste im Überblick

  • TOM dienen dazu, die Sicherheit personenbezogener Daten zu gewährleisten
  • Gemäß der Datenschutz-Grundverordnung (DSGVO) besteht eine Dokumentationspflicht für TOM
  • Die Implementierung angemessener TOM ist eine gesetzliche Anforderung
  • Artikel 32 der DSGVO verpflichtet Unternehmen, angemessene technische (z. B. Verschlüsselung) und organisatorische (z. B. Datenschutzrichtlinien) Maßnahmen zu erfüllen.
  • Eine DSGVO-Risikoanalyse bildet die Grundlage für die Auswahl angemessener TOM
  • Bei unzureichenden TOM können Bußgelder verhängt werden
  • Bei der Auswahl von Auftragsverarbeitern ist es wichtig sicherzustellen, dass diese angemessene TOM nachweisen können

Was sind technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) bilden das eiserne Bollwerk des Datenschutzes. Sie gliedern sich in technische Maßnahmen, die wie eine unverzichtbare Hightech-Rüstung wirken und mit Verschlüsselung, Firewall-Systemen und Zugangskontrollen einen undurchdringlichen Schutzschild errichten. Und die organisatorischen Maßnahmen, die auf der anderen Seite die qualifizierten Drahtzieher sind, die die Datenschutzpraktiken im Einklang mit den gesetzlichen Anforderungen koordinieren. Dazu gehören Richtlinien, Verfahren und Schulungen, die aus Mitarbeitern aufmerksame Wächter des Datenschutzes machen. Zusammen bilden diese Maßnahmen das unsichtbare Netz, das das Vertrauen der Menschen in die digitale Welt stärkt und ihnen die Sicherheit gibt, dass ihre Daten in guten Händen sind.

Wie beeinflussen technische und organisatorische Maßnahmen (TOM) Unternehmen?

Die DSGVO setzt höhere Anforderungen an die Sicherheit bei der Verarbeitung personenbezogener Daten und bringt umfangreiche Dokumentations- und Nachweispflichten für Unternehmen und Datenschutzbeauftragte mit sich. Alle ergriffenen Maßnahmen müssen dokumentiert werden, um im Falle eines Schadens einen Nachweis über die getroffenen Vorkehrungen zu haben.

Gesetzliche Anforderungen: DSGVO Artikel im Fokus

Die DSGVO legt in mehreren Artikeln spezifische Anforderungen an die Sicherheit personenbezogener Daten fest. Artikel 25 fordert zum Beispiel "Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen" (Privacy by Design und Privacy by Default). Artikel 32 hingegen befasst sich mit der Sicherheit der Verarbeitung und enthält ausdrückliche Anforderungen an technische und organisatorische Maßnahmen, einschließlich der Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.

Our checklist for technical and organizational measures for your company

Unsere kostenlose Checkliste für TOMs!

Prüfe alle Aspekte der technischen und organisatorischen Maßnahmen mit unserer kostenlosen Checkliste.

Besteht das Risiko von Geldstrafen, wenn TOM unzureichend umgesetzt wird?

Wenn TOM unzureichend umgesetzt werden und dadurch ein Verstoß gegen die Datenschutzbestimmungen vorliegt, kann dies zu Geldstrafen führen.      
Gemäß der DSGVO können Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist. Diese Geldstrafen werden von den zuständigen Datenschutzbehörden festgelegt und können je nach Art und Schwere des Verstoßes variieren.       
Es ist wichtig zu beachten, dass die Datenschutzbehörden nicht automatisch Geldstrafen verhängen, wenn ein Verstoß festgestellt wird. Sie können zunächst andere Maßnahmen ergreifen, wie beispielsweise die Aufforderung zur Behebung der Verstöße, das Ausstellen von Verwarnungen oder die Anordnung von vorläufigen oder endgültigen Maßnahmen.       

Tipp: Arbeitest du auch mit externen Dienstleistern zusammen? Dann solltest du dir grundsätzlich auch deren technische und organisatorische Maßnahmen aufzeigen und schriftlich bestätigen lassen! Durch die Einführung dieser Maßnahmen wird nicht nur der Datenschutz verbessert, sondern auch ein Mehrwert für die Unternehmen geschaffen: 

  • Sensible Unternehmensdaten werden konsequent und besser geschützt
  • Die Effizienz von Unternehmensprozessen wird aufgezeigt
  • Der Datenbestand bekommt eine neue, schützenswerte Bedeutung
  • Die vorhandene IT wird bewertet und ggf. verbessert. Dies kann die Wertschöpfung erhöhen
  • Die Mitarbeiter sind in die Prozesse eingebunden und fühlen sich mehr geschätzt

Schritte zur Implementierung von TOM

Die richtige Umsetzung technischer und organisatorischer Maßnahmen ist entscheidend, um die DSGVO einzuhalten und hohe Bußgelder zu vermeiden. Hier ist dein Leitfaden, um sicher ans Ziel zu gelangen:

  1. Risikoanalyse durchführen: Identifiziere potenzielle Risiken für personenbezogene Daten.
  2. Maßnahmen auswählen: Entscheide dich für technische und organisatorische Lösungen, die den identifizierten Risiken angemessen sind.
  3. Implementierung planen: Erstelle einen detaillierten Plan für die Umsetzung der ausgewählten Maßnahmen.
  4. Schulung der Mitarbeiter: Stelle sicher, dass alle Mitarbeiter über die relevanten Datenschutzpraktiken informiert und geschult sind.
  5. Überwachung und Überprüfung: Setze regelmäßige Überprüfungen der Maßnahmen an, um ihre Effektivität zu gewährleisten und Anpassungen vorzunehmen.

Unsere erfahrenen Anwälte unterstützen dich gerne!

Kontaktiere uns noch heute!

Beispiele für technische Maßnahmen

  • Verschlüsselung von Daten: Eine der effektivsten Maßnahmen zum Schutz personenbezogener Daten ist die Verschlüsselung. Alle Daten, die übertragen oder gespeichert werden, sollten verschlüsselt sein.
  • Firewall: Stelle sicher, dass die Systeme und Netzwerke durch eine Firewall geschützt sind. Eine Firewall kann den Zugriff auf eure Daten von außen einschränken.
  • Zugriffskontrolle: Es ist wichtig, dass nur autorisierte Personen auf die Daten zugreifen können. Verwende hierfür am besten starke Passwörter und eine Zwei-Faktor-Authentifizierung.
  • Datensicherung: Regelmäßige Backups stellen sicher, dass Daten im Falle eines Datenverlusts wiederhergestellt werden können. Überprüfe die Backup-Strategie regelmäßig und vergewissere dich, dass die Daten sicher gespeichert werden.
  • Patches und Updates: Halte eure Systeme und Software auf dem neuesten Stand, indem ihr regelmäßige Patches und Updates installiert. Dadurch werden bekannte Sicherheitslücken geschlossen.
  • Virenschutz: Installiere einen aktuellen Virenschutz auf allen Endgeräten und aktualisiere ihn regelmäßig. 

Beispiele für organisatorische Maßnahmen

  • Datenschutzschulungen für die Mitarbeiter: Diese Schulungen helfen, die Bedeutung des Datenschutzes zu verstehen und die TOM korrekt anzuwenden.
  • In- und externe Geheimhaltung: Eine Geheimhaltung schützt vor unautorisierten Zugriffen auf personenbezogene Daten.
  • Besucherregistrierung: Eine Besucherregistrierung hilft, den Zugang zu sensiblen Bereichen zu kontrollieren.
  • Datenschutzbeauftragter, intern oder extern: Der Datenschutzbeauftragte muss durch Beratung und Überwachung einen wirksamen Schutz personenbezogener Daten gewährleisten.

Häufige Herausforderungen und Lösungen

Die Umsetzung und Aufrechterhaltung wirksamer TOM kann Herausforderungen mit sich bringen, wie z. B. die ständige Anpassung an neue Technologien oder die Sicherstellung der Mitarbeiterschulung. Zu den Lösungen können die Einbindung externer Datenschutzbeauftragter, der Einsatz spezieller Compliance-Software oder regelmäßige interne Audits und Schulungen gehören.

Wie können wir dich bei der Implementierung von TOM unterstützen?

Möchtest du sicherstellen, dass die technischen und organisatorischen Maßnahmen (TOM) reibungslos implementiert werden? Verlasse dich auf heyData, unsere innovative Plattform, und unser Team erfahrener Rechtsanwält*innen, um dir dabei zu helfen.      
Als externer Datenschutzbeauftragter stehen wir dir zur Seite und nehmen dir die Last der TOM-Implementierung ab. Du kannst dich ganz auf dein Tagesgeschäft konzentrieren, während wir angemessene Schutzmaßnahmen gewährleisten.      
Wir arbeiten eng mit deinem Team zusammen, um die Einhaltung der DSGVO zu koordinieren und zu überwachen. Gemeinsam bewerten wir deine IT-Landschaft und überprüfen deinen IST-Zustand, um sicherzustellen, dass dein Unternehmen den Anforderungen entspricht.

Durch zertifizierte Schulungen und Beratung stellen wir sicher, dass deine Mitarbeiter über die neuesten Best Practices informiert sind. Deine Prozesse werden überprüft und die entsprechenden Maßnahmen werden vorgeschlagen und umgesetzt. 

Nutze unser Expertenwissen und vertraue auf die Fachkenntnisse von heyData.    

Höre es von unseren Kunden

"heyData hat uns mit ihrer digitalen Software-Lösung und Fachkompetenz überzeugt. Wie auch wir ist heyData digitaler Vorreiter in einer eher traditionellen und wenig digitalen Industrie. heyData ist ein starker Partner für die BRZ-Gruppe."

Markus Schobert

Leiter Kundenservice bei BRZ Gruppe

"heyData ist eine große Hilfe für uns und macht das Thema Datenschutz wirklich einfach. Mit dem digitalen Audit, den Online-Trainings und dem Kundensupport sind wir sehr zufrieden."

Leonard von Kleist

CTO und Co-Founder bei Hive Technologies GmbH

"Ich schätze diese Funktion für ihre Fähigkeit, die Bewertung von Lieferantenrisiken zu vereinfachen. Es ist ein unverzichtbares Werkzeug für jeden, der sich mit Datenkonformität in der Europäischen Union und der Schweiz befasst."

Jan Stephan

Head of Legal Affairs bei Learnship

“Als Kunde haben wir nur gute Erfahrungen mit dem Support und der Kommunikation von heyData gemacht. Fragen wurden ausführlich beantwortet, die Antworten kamen immer prompt und auch der persönliche 1-1-Support ist kein Problem.“

Roman Georgi

Director Of Customer Support bei AMBOSS

"Was heyData auszeichnet, ist die Reaktionsfähigkeit und die schnelle Umsetzung."

Sandra Scherzer

Rechtsabteilung bei Bioland

“Wir werden von heyData immer kompetent und zeitnah beraten und konnten bisher zu jeder Fragestellung in Bezug auf die DSGVO bzw. Datenschutz allgemein eine zufriedenstellende Lösung finden.”

Nikolai

CTO bei Instaffo GmbH

Frequently asked questions

Unsere Preise ansehen

Technische und organisatorische Maßnahmen (TOMs) sind im Datenschutz ein wichtiger Bestandteil, um die Sicherheit personenbezogener Daten zu gewährleisten und Datenschutzverletzungen zu vermeiden.

Technische Maßnahmen beziehen sich auf technische Verfahren und Tools, die dazu dienen, personenbezogene Daten zu schützen. Dazu zählen beispielsweise der Einsatz von Firewalls, Verschlüsselung, Zugangskontrollen und Datensicherung. Technische Maßnahmen sollen sicherstellen, dass personenbezogene Daten vor unbefugtem Zugriff, Manipulation, Verlust oder Zerstörung geschützt werden.

Organisatorische Maßnahmen hingegen umfassen Verfahren und Prozesse, die sicherstellen sollen, dass personenbezogene Daten gemäß den Datenschutzgesetzen verarbeitet werden. Hierzu zählen beispielsweise Richtlinien und Verfahrensanweisungen für den Umgang mit personenbezogenen Daten, die Schulung von Mitarbeitern und die Überwachung der Einhaltung von Datenschutzbestimmungen. Organisatorische Maßnahmen sollen sicherstellen, dass personenbezogene Daten in Übereinstimmung mit den geltenden Gesetzen und Verordnungen verarbeitet werden und dass die Einhaltung der Datenschutzrichtlinien von allen beteiligten Parteien gewährleistet wird.

Wenn du technische und organisatorische Maßnahmen in deinem Unternehmen einführen möchtest, gibt es einige Schritte, denen du folgen solltest:

  • Eine Liste von internen Ansprechpartnern erstellen: Wenn du selbst nicht alle technischen Abläufe im Unternehmen kennst, solltest du eine Liste mit Ansprechpartnern erstellen, die dir dabei helfen kann.
     
  • TOMs in einer Liste zusammenfassen: Du kannst eine eigene Liste geeigneter Maßnahmen erstellen, die du verwenden kannst, oder du kannst dich auf Experten wie die aus unserem Team verlassen, die dich bei der korrekten Erstellung dieser Dokumentation unterstützen.
     
  • Prüfung der Liste: Die Liste sollte regelmäßig darauf überprüft werden, welche TOMs bereits umgesetzt wurden und ob sie angemessen sind. Man soll auch analysieren, welche Maßnahmen fehlen und welche hinzugefügt werden müssen.
     
  • Andere Ansprechpartner, intern oder extern, einbeziehen: Wenn du Hilfe brauchst oder unsicher bist, beziehe andere Verantwortliche ein und bespreche die Angemessenheit von Maßnahmen.
     
  • Die Maßnahmen dem für die Verarbeitung Verantwortlichen vorstellen: Wenn du nicht selbst die Verantwortung im Rahmen der DSGVO übernimmst, solltest du die entwickelten Maßnahmen der verantwortlichen Person vorstellen und mit ihr besprechen.
     
  • Regelmäßige Überprüfung der Maßnahmen: Es sollte mindestens einmal im Jahr überprüft werden, ob die Maßnahmen noch angemessen sind. Dann müssen sie gegebenenfalls aktualisiert werden.

Die Erstellung von TOM kann in der Regel von internen Teams durchgeführt werden, wie IT-Abteilungen oder Datenschutzbeauftragten. Alternativ können Verantwortliche und Auftragsverarbeiter auch externe Datenschutzbeauftragte wie heyData hinzuziehen, um bei der Erstellung und Umsetzung geeigneter TOM zu unterstützen.