TOM im Datenschutz: Alles was Sie zur Umsetzung wissen sollten

 

Immer wieder hört man von größeren Datenpannen oder Angriffen, bei denen Hacker unrechtmäßigen Zugriff auf große Mengen sensibler personenbezogener Daten erlangen. Doch auch analoge Dokumente in Papierform, wie Akten, Beurteilungen und Korrespondenzen, können genauso leicht in falsche Hände geraten.

Hier setzen technische und organisatorische Maßnahmen an: Unternehmen haben die Pflicht, sich durch geeignete Vorkehrungen auf technischer und organisatorischer Ebene gegen solche Datenschutzrisiken zu schützen. Die Bestimmung der maßgeblichen Risiken und angemessenen Schutzmaßnahmen ist dabei individuell zu ermitteln.

Das Wichtigste in Kürze

  • Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
  • TOM sind laut DSGVO dokumentationspflichtig.
  • Die Implementierung angemessener TOM stellt eine gesetzliche Anforderung dar.
  • Eine Risikoanalyse bildet die Grundlage bei der Auswahl angemessener Schutzmaßnahmen.
  • Bußgelder werden häufig aufgrund unzureichender TOM verhängt.
  • Gerade bei der Auswahl von Auftragsverarbeitern sollten Sie darauf achten, dass diese hinreichende TOM nachweisen können.

 

In diesem Beitrag

 

Wofür steht die Abkürzung TOM gemäß DSGVO? 

TOM ist die Kurzform für das in der Datenschutz-Grundverordnung (DSGVO) verwendete Konzept der technischen und organisatorischen Maßnahmen. Der recht abstrakt gehaltene Begriff kennzeichnet dabei alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

 

Was sind technische und organisatorische Maßnahmen im Datenschutz? 

Das Datenschutzrecht besteht streng genommen aus zwei Komponenten: Datenschutz und Datensicherheit.

Der Datenschutz regelt die rechtlichen Voraussetzungen bei der Erhebung und Verarbeitung personenbezogener Daten – also für alle Informationen, die Rückschlüsse auf eine Person zulassen. Der Schwerpunkt liegt hier auf der informationellen Selbstbestimmung und damit auf der Frage, ob und wofür personenbezogene Daten erfasst und verarbeitet werden dürfen.

Die Datensicherheit befasst sich dagegen mit der Frage, wie und mit welchen Maßnahmen der Schutz von Daten sichergestellt werden kann. Hier kommen die technischen und organisatorischen Maßnahmen ins Spiel.

Gut zu wissen: Beim Thema Datensicherheit geht es nicht nur um personenbezogene Daten, sondern um sämtliche Daten eines Unternehmens – unabhängig davon, ob ein direkter Personenbezug gegeben ist oder nicht.

 

Welche technischen und organisatorischen Maßnahmen werden üblicherweise umgesetzt?

Die Liste Maßnahmen zum Schutz personenbezogener Daten ist theoretisch unbegrenzt. Bei der Umsetzung wird zwischen technischen und organisatorischen Maßnahmen unterschieden. Technische Maßnahmen sind entweder physischer Natur oder kommen in Form von Soft- und Hardwarelösungen zum Einsatz.

Klassische Beispiele für Soft- und Hardwaremaßnahmen wären zum Beispiel die Installation einer Firewall, die Verschlüsselung von Datenträgern und -transfers sowie eine automatisierte Protokollierung aller Datenbankzugriffe.

Bei den physischen Maßnahmen reicht das Spektrum von einem Schließkonzept für Fenster und Türen über das Engagement eines Wachdienstes für alle Ein- und Ausgänge des Unternehmens bis hin zur Installation eines Alarmsystems.

Komplettiert werden die TOM durch organisatorische Maßnahmen. Diese bestehen in der Regel aus klar definierten Abläufen und Vereinbarungen zwischen verschiedenen Akteuren. Ein Beispiel für letzteres wären Geheimhaltungsverträge, welche ein Unternehmen mit Mitarbeitenden, Partnern und Zulieferern schließt.

In die gleiche Kategorie fällt das Registrieren aller Besucher, die ein Unternehmen betreten. Zu den wichtigsten organisatorischen Maßnahmen gehören zudem regelmäßige Mitarbeiterschulungen. Diese schaffen das nötige Bewusstsein für die Risiken im Datenschutz und müssen dokumentiert werden.

Die folgende Grafik gibt einen guten Überblick über die wichtigsten technischen und organisatorischen Maßnahmen.

Beispiele für technische Maßnahmen:

Technische Maßnahmen können entweder physisch oder in der Soft- und Hardware umgesetzt werden. Mögliche zu schützende Maßnahmen sind: 

Soft- und Hardware-Maßnahmen:

  • die Verwendung einer Firewall;
  • Die Protokollierung des Zugriffs aus Datenbanken;
  • und die Verschlüsselung von Datenträgern und Datenüberträgern.

Physische Maßnahmen:

  • Die Installation eines Alarmsystems;

  • das Sichern von Türen und Fenstern;

  • oder auch das Umzäunen des Firmengeländes.

Beispiele für organisatorische Maßnahmen:

  • Mitarbeiterschulungen zum Thema Datenschutz;
  • eine mit den Mitarbeitenden vereinbarte Geheimhaltungspflicht;
  • oder eine Registrierung aller Besucher.

Übrigens: viele die Maßnahmen lassen sich ganz einfach über die DataGuard Datenschutz-Plattform überwachen und durchführen.

 

Technische und organisatorische Maßnahmen umsetzen

Welche technischen und organisatorischen Maßnahmen sind für Ihr Unternehmen angemessen?

Artikel 32 der DSGVO stellt klar, dass die umzusetzenden Maßnahmen ein angemessenes Schutzniveau gewährleisten müssen. Was angemessen ist und was nicht, richtet sich dabei immer nach der Schwere und der Eintrittswahrscheinlichkeit des Risikos, welches die Rechte und Freiheiten der Betroffenen verletzen könnte.

Um die Anforderungen der DSGVO sinnvoll in praktische Maßnahmen zu übersetzen, eignen sich Praxisleitfäden. Der ZAWAS des niedersächsischen Landesdatenschutzbeauftragten definiert acht konkrete Schritte zur Auswahl und Umsetzung angemessener Sicherungsmaßnahmen, die wir Ihnen in verkürzter Form als Checkliste zur Verfügung stellen:

Schritt 1: Beschreiben Sie Ihre bisherigen Verarbeitungstätigkeiten

Welche Daten werden wann, von wem, zu welchem Zweck verarbeitet? Welche Systeme kommen dabei zum Einsatz?

Schritt 2: Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig? Werden die Daten zweckgebunden erfasst und entsprechen sie den Grundsätzen der Datenverarbeitung?

Schritt 3: Ermitteln Sie die abzusichernden Geschäftsprozesse

Welche Dienste, Systeme, Räume und Daten müssen im Unternehmen geschützt werden? In welchem Verhältnis stehen diese zueinander?

Schritt 4: Analysieren Sie potenzielle Risiken

Identifizieren Sie die Risiken: Besteht die Gefahr, dass durch Naturkatastrophen, unklare Zuständigkeiten innerhalb des Unternehmens oder durch technisches Versagen die Sicherheit von personenbezogenen Daten gefährdet ist?

Beurteilen Sie die möglichen Folgen: Wie schwerwiegend wären die Folgen bei einem Vorfall? Wären im schlimmsten Fall sogar besonders schutzwürdige Daten betroffen, wie etwa Gesundheitsdaten oder Informationen aus der Personalakte Ihrer Mitarbeiter?

Beurteilen Sie die Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass es zu einem bestimmten Vorfall kommt? Über welche Erfahrungswerte verfügt Ihr Unternehmen, die eine Einschätzung der Schadensschwere erleichtern? Welche Informationen können Sie hier einfließen lassen?

Ermitteln Sie den Risikowert: Welche Risiken besitzen sowohl einen hohen Schweregrad als auch eine hohe Eintrittswahrscheinlichkeit? Welche Risiken würden weniger Schaden anrichten und sind unwahrscheinlicher?

Schritt 5: Wählen Sie technische und organisatorische Maßnahmen aus

Welchen Risiken sollten Sie aufgrund eines hohen Risikowertes zuerst begegnen? Welche konkreten Maßnahmen kommen nach aktuellem Stand der Technik zur Minimierung dieser Risiken in Frage? Welche Maßnahmen lassen sich in angemessenem Umfang (zum Beispiel eher kostengünstig) implementieren?

Ein Beispiel aus der Praxis: Werden in einer Behörde hochsensible personenbezogene Daten zunächst in Papierform erhoben, kann zu Recht von einem erhöhten Risikowert ausgegangen werden. Die ausgefüllten Formulare könnten aufgrund des Publikumsverkehrs in falsche Hände geraten. Denkbare Maßnahmen wären in diesem Fall 

  • die Anschaffung eines Aktenvernichters (technische Maßnahme) sowie
  • die Implementierung entsprechender Arbeitsanweisungen (organisatorische Maßnahme).

Kombiniert sorgen die genannten Maßnahmen für einen hohen Schutz bei vergleichsweise geringen Kosten.

Technische und organisatorische Maßnahmen umsetzen Technische und organisatorische Maßnahmen umsetzen

Top 6 der häufigsten Fehler im Datenschutz

Nicht nur aus der fehlerhaften Umsetzung von TOM können teure Bußgelder resultieren.

Checkliste kostenlos herunterladen

Schritt 6: Bewerten Sie das Restrisiko

Welche Risiken lassen sich durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen? Wie hoch sind die Restrisiken?

Schritt 7: Konsolidieren Sie Ihre Maßnahmen

Ist eine Kombination verschiedener Maßnahmen erforderlich oder sind einzelne Maßnahmen ausreichend? Sind die Maßnahmen angemessen im Verhältnis zu den individuellen Gegebenheiten in Ihrem Unternehmen?

Schritt 8: Setzen Sie die Maßnahmen um

Welche Maßnahmen werden zuerst umgesetzt? Wer übernimmt die Verantwortung für die Umsetzung? Führt die Umsetzung zum gewünschten Ergebnis?

Weitere Fragen zur Umsetzung?

Finden Sie außerdem heraus, wie Ihnen ein externer Datenschutzbeauftragter bei der Umsetzung helfen kann. 

 

Was sind technische und organisatorische Maßnahmen

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen, inbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt. 

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung

 

Wo finde ich Checklisten und Mustervorlagen für technische und organisatorische Maßnahmen?

Geeignete TOM-Checklisten oder -Kompendien helfen Ihnen dabei, das Spektrum notwendiger Sicherungsvorkehrungen zu erfassen. Die Fülle im Internet ist jedoch so groß, dass man schnell den Überblick verlieren kann.

Als aufschlussreich erweisen sich in diesem Fall die Gesetze selbst. Ergänzend zur DSGVO bietet das Bundesdatenschutzgesetz (BDSG) Hilfestellung in der Frage, welchen Zweck die konkreten technischen und organisatorische Maßnahmen erfüllen sollen:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Vergleichen Sie diese Übersicht mit dem dokumentierten Ist-Zustand Ihres Unternehmens. Es ist empfehlenswert, dass Sie TOM in allen Kategorien implementiert haben. Insbesondere im Bereich IT-Sicherheit bietet das jährlich aktualisierte IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine gute Orientierungshilfe. Dieses geht detailliert auf zahlreiche elementare Gefahrenquellen, zum Beispiel auf den Missbrauch personenbezogener Daten, ein und definiert Anforderungen an die Umsetzung entsprechender IT-Sicherheitsmaßnahmen.

Auch DIN-Normen können aufschlussreich sein, um etwa den Stand der Technik zu ermitteln. So definiert die DIN-Norm 66399 die derzeitigen technischen Anforderungen an unterschiedliche Sicherheitsstufen bei der Vernichtung von Datenträgern.

 

Drohen Bußgelder, wenn technische und organisatorische Maßnahmen unzureichend umgesetzt werden? 

Unzureichend umgesetzte TOM können definitiv Konsequenzen haben. Die Mehrzahl der bereits behördlich verhängten Bußgelder wurden wegen ungenügender technischer und organisatorischer Maßnahmen verhängt – meist aufgrund mangelnder IT-Sicherheit. Die Dokumentation der getroffenen Sicherheitsvorkehrungen stellt daher eine wesentliche rechtliche Absicherung dar.

Ereignet sich eine Datenpanne, stellt die Dokumentation der vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen ein wesentliches Kriterium bei der Festsetzung der Geldbuße dar. Mit einfachen Worten: Der Nachweis, sich durch geeignete Vorkehrungen um eine Einhaltung des Datenschutzes zu bemühen, kann im Ernstfall zu einem milderen Bußgeld führen.

Achten Sie aber nicht nur auf Ihre eigenen TOM, sondern auch auf die Ihrer externen Auftragsverarbeiter. Lassen Sie sich nachweisen, dass auch Ihre Dienstleister hinreichende technische und organisatorische Maßnahmen ergreifen, sonst drohen auch hier Sanktionen.

 

Wie können Unternehmen von TOM profitieren und ihre Sicherheit erhöhen?

Die gewissenhafte Umsetzung und Dokumentation von TOM schützt Sie nicht nur vor Bußgeldern und Reputationsverlust. Wer die eigenen Prozesse transparent macht und geeignete Sicherheitsvorkehrungen trifft, profitiert in der Regel auch über den Datenschutz hinaus, denn:

  • Geschäftsgeheimnisse und sensible Unternehmensdaten werden geschützt.
  • Effizienzpotenziale hinsichtlich der eigenen Geschäftsprozesse können zu Tage treten.
  • Integrität und Verfügbarkeit des gesamten Datenbestands – über personenbezogene Daten hinaus – werden ebenfalls gestärkt.
  • Die Belastbarkeit der IT-Infrastruktur wird erhöht. Das Risiko eines kostspieligen Systemausfalls sinkt.

 

Wer kann bei der Umsetzung von technischen und organisatorischen Maßnahmen helfen? 

Der Verantwortliche für den Datenschutz, also die Leitung eines Unternehmens, kann diese Aufgabe an einen internen oder externen Datenschutzbeauftragten delegieren. Je größer die Organisation, umso wichtiger ist die fachübergreifende Zusammenarbeit im Unternehmen. Eine solche Zusammenarbeit kann beispielweise wie folgt aussehen:

  • Der Datenschutzbeauftragte koordiniert die Einhaltung der DSGVO über alle Abteilungen im Unternehmen hinweg.
  • Er bezieht etwa die IT-Abteilung ein, wenn es um die Umsetzung der technischen Maßnahmen geht.
  • Er kümmert sich in Zusammenarbeit mit der Personalabteilung um die notwendigen Schulungen aller Mitarbeiter.
  • Nicht zuletzt bezieht er die Fachabteilungen mit ein, um sicherzustellen, dass auch bei den abteilungsspezifischen Prozessen auf den Datenschutz geachtet wird.
  • Natürlich sollte auch jeder einzelne Mitarbeitende im Unternehmen aufmerksam sein und sich bei Fragen oder Zweifeln an den Datenschutzbeauftragten wenden. 

Es zeigt sich also: Datenschutz und die Umsetzung von technischen und organisatorischen Maßnahmen sind eine unternehmensweite Aufgabe.

 

Fazit und Empfehlungen

Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Unternehmen sind verpflichtet mögliche Risiken für Betroffene vorausschauend zu ermitteln, die bei der Verarbeitung entstehen können.

Darauf aufbauend sind dann geeignete Maßnahmen zu treffen, die einen angemessenen Schutz sicherstellen. Vom kleinen Handwerkerbetrieb bis zur Multi-Millionen-Firma profitiert jedes Unternehmen, wenn es geeignete TOM implementiert und diese regelmäßig auf ihre Wirksamkeit überprüft.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr Beratungsgespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren