Technische und organisatorische Maßnahmen (TOM)

Was sind Technische und Organisatorische Maßnahmen (TOMs)?

Alles im Überblick
  • Die Abkürzung TOM steht für technische und organisatorische Maßnahmen.
  • TOMs sind Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
  • Laut DSGVO müssen die TOMs umgesetzt und dokumentiert werden.
  • Um geeignete TOMs zu identifizieren wird eine Risikoanalyse durchgeführt.
  • Auch Auftragsverarbeiter müssen entsprechende TOMs nachweisen können.
  • Bei ungeeigneten oder unzureichenden TOMs werden Bußgelder verhängt.
Was sind TOM?

TOM ist die Abkürzung für „Technische und organisatorische Maßnahmen“. Sie umfassen alle Maßnahmen, die ergriffen werden, um den Schutz personenbezogener Daten sicherzustellen und stellen die operative Komponente der Datenschutzstrategie dar (Art. 24 DSGVO) . TOMs dokumentieren, wie die Daten von Kunden, Lieferanten und Mitarbeitern geschützt werden und beziehen sich somit auf den Datenschutz im ganzen Unternehmen.

Die technischen und organisatorischen Maßnahmen gehören zusammen mit dem Verarbeitungsverzeichnis und der Risikoanalyse zu den Pflichtteilen der Dokumentation nach DSGVO. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss diese Dokumente führen und aktuell halten. Kommt es zu einem Datenschutzvorfall oder einer Prüfung durch die Aufsichtsbehörde, so müssen die TOMs vorgelegt werden können.

Laut DSGVO haben diese Maßnahmen dem “Stand der Technik“ zu entsprechen (Art. 32 DSGVO). Diese eher schwammige Formulierung meint, dass die ergriffenen TOMs zeitgemäß sein und damit ein angemessenes Schutzniveau bieten müssen.

Datenschutz und Datensicherheit

Streng genommen unterscheidet man im Datenschutz zwischen Datenschutz und Datensicherheit.
Datenschutz beinhaltet alle rechtlichen Aspekte, die personenbezogene Daten schützen sollen. Hier geht es beispielsweise um die Frage, ob eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht.

In Puncto Datensicherheit geht es darum, mit welchen Maßnahmen der Schutz aller Daten (nicht nur derer mit Personen-Bezug) gewährleistet werden kann. Hierzu gehört beispielsweise auch Brandschutz oder der Schutz vor Hochwasser.

Beispiele für TOMs

Technischen Maßnahmen sind alle Schutzversuche, die sich auf den Zugang zu Grundstücken, Gebäuden, sowie auch zu Hard- und Software beziehen und auch solche, die die Verfügbarkeit der Systeme und Netzwerke sicherstellen. Dazu gehören also die Verschlüsselung von Dateien, eine Firewall oder Passwortschutz genauso wie ein Überwachungs- und Alarmsystem und Zutrittskontrollen.

Organisatorische Maßnahmen sind klar definierte Prozesse und Regularien. Sie betreffen den Ablauf der Datenverarbeitung und die durchführenden Personen. Zu ihnen zählen alle weiteren Maßnahmen die die Datensicherheit erhöhen, so zum Beispiel Handlungsanweisungen, Mitarbeiterschulungen, Geheimhaltungsvereinbarungen, Besuchermanagement etc..

Je nach Unternehmen und Situation sind unterschiedliche TOMs anzuwenden. Ein konkreter Katalog lässt sich daher nicht führen.

Eine Orientierungshilfe bieten folgende Punkte:

  • Die Verschlüsselung und Pseudonymisierung personenbezogener Daten muss gewährleistet sein
  • Verbundene Systeme müssen die Integrität, Vertraulichkeit, Funktionalität, Belastbarkeit und Verfügbarkeit aufweisen, um solche Daten zu schützen.
  • Im Falle eines technischen oder physischen Vorfalls müssen Sie in der Lage sein, Funktionalität, Verfügbarkeit und Zugriff auf Ihre Daten schnell wiederherzustellen.
  • Um die Sicherheit der Datenverarbeitung zu gewährleisten, sind Verfahren erforderlich, um die Wirksamkeit von TOMs regelmäßig zu überprüfen und zu bewerten.
So finden Sie passende TOMs für Ihr Unternehmen
Eine Datenverarbeitung ist in der Regel eine Kombination aus verschiedenen Vorgängen. Daher unterliegt sie unterschiedlichen Risiken, z.B. unberechtigtem Zugriff oder Datenverlust. Die TOM ergeben sich aus der, für die jeweiligen Prozesse durchgeführten, Risikoanalyse. Wichtig ist, dass TOM immer ein Zusammenspiel aus Technischen und Organisatorischen Maßnahmen sind, denn das beste Schloss (technische Maßnahme) nützt nichts, wenn der Schlüssel jedem frei zugänglich ist (organisatorische Maßnahme).
Um herauszufinden welche TOM für Ihren Anwendungsfall geeignet sind, bzw. welche Maßnahmen für Sie ein „angemessenes Schutzniveau“ gewährleisten, ist eine Risikoanalyse aller Verarbeitungsprozesse personenbezogener Daten durchzuführen. In dieser stellen Sie alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen gegenüber. Je größer ein Risiko, desto stärker müssen die Schutzmaßnahmen ausfallen, die getroffen werden.
Schritt für Schritt im Überblick

1.

Verarbeitungstätigkeiten beschreiben

Führen Sie detailliert auf, welche Daten in Ihrem Unternehmen wie und zu welchen
Zweck verarbeitet werden. Schildern Sie wie die Verarbeitung durch wen abläuft. Welche Systeme kommen dabei zum Einsatz?

2.

Rechtliche Grundlagen prüfen

Prüfen Sie ob für jede Verarbeitung eine Rechtsgrundlage vorliegt und ob die Grundsätze der DSGVO eingehalten werden. 

3.

Strukturanalyse durchführen

Identifizieren und beschreiben Sie die zu schützenden Dienste, Systeme, Bereiche und Daten und wie diese miteinander zusammenhängen. Dies umfasst sowohl technische als auch organisatorische Aspekte, insbesondere Gebäude/Räume und Personen. 

4.

Risikoanalyse + Folgen

  • Risiken identifizieren
  • Folgen beurteilen
  • Eintritts-
    wahrscheinlichkeit bestimmen
  • Risikowert ermitteln

5.

Schutzmaßnahmen

Bestimmen Sie geeignete TOM, um die identifizierten Risiken zu minimieren.

6.

Restrisiko

Bewerten Sie das Restrisiko. Falls nötig definieren Sie weitere Maßnahmen, sichern Sie sich gegen das Risiko ab oder ändern Sie den Prozess.

7.

Kontrolle

Überprüfen Sie alle geplanten Maßnahmen auf ihre Praktikabilität und Synergien. Passen Sie die Maßnahmen ggf. an. 

8.

Implementierung

Bestimmen Sie, welche Maßnahmen Priorität haben und wer die Verantwortung trägt. Evaluieren Sie den Erfolg und steuern ergreifen ggf. nötige Maßnahmen.

Im Detail
  1. Risiken identifizieren: Überlegen Sie, welche Gefahren bestehen. Könnte bspw. ein Hochwasser, ein Brand oder technisches Versagen die Sicherheit der Daten gefährden?

  2. Folgen beurteilen: Beurteilen Sie, wie schwerwiegend ein Verlust der jeweiligen Daten wäre und welche Folgen er für die Betroffenen hätte. Handelt es sich beispielsweise um personenbezogene Daten besonderer Kategorie, so sind die Folgen eines Vorfalls wohlmöglich schwerwiegender. 

  3. Eintrittswahrscheinlichkeit bestimmen: Bestimmen Sie nun, wie wahrscheinlich es ist, dass es zu solch einem Vorfall kommt. Idealerweise ziehen Sie hierzu Erfahrungswerte und Prognosen zur Unterstützung in Betracht.  

  4. Risikowert ermitteln: Schauen Sie sich nun die Risiken an, die sowohl einen Hohen Schweregrad als eine hohe Eintrittswahrscheinlichkeit haben. Diese haben ein „sehr hohes Risiko“. Ordnen Sie die Risiken so in „sehr hoch“ „mittel“ und „gering“ ein.

Haben Sie die Risiken analysiert, so müssen noch die geeigneten TOMs gewählt werden.  Fangen Sie mit den sehr hohen Risiken an. Entwickeln Sie nun Maßnahmen, die nach aktuellem Stand der Technik und in angemessenen Umfang, das Risiko verringern würden.
Beispiel: Personenbezogene Daten besonderer Kategorie werden in Papierform erfasst. Das Risiko des Abhandenkommens oder des unbefugten Zugriffs ist hoch.

Geeignete TOMs wären hier z.B.:
– technisch: die Anschaffung eines Aktenvernichters
– organisatorisch: den Prozess umstellen und die Daten digital erfassen, Mitarbeiter sensibilisieren

Risiken lassen sich zwar minimieren, jedoch nie gänzlich ausräumen. Es gilt hier das Restrisiko zu kompensieren, bzw. durch Absichern bspw. Durch eine Versicherung oder Akzeptanz.
Beachten Sie: Sollte ein Risiko trotz TOMs hoch bleiben, so müssen Sie dies an die zuständige Aufsichtsbehörde melden.

Ergänzende Unterlagen
Weitere hilfreiche Informationen finden Sie beispielsweise im BSI IT Grundschutz Kompendium oder in der in der Orientierungshilfe des Bayrischen Landesbeauftragten für den DatenschutzDiese enthalten geeignete Checklisten und weitere Informationen, die Ihnen bei der Erstellung und Implementierung der TOM weiterhelfen können.
Strafen bei unzureichende TOMs

Unzureichend umgesetzte TOMs bringen Konsequenzen, wie beispielsweise Bußgelder mit sich. Achten Sie daher unbedingt auf eine schlüssige Dokumentation, durch die Sie Ihrer Nachweispflicht nachkommen.

Achtung: Auch ihre Auftragsverarbeiter müssen hinreichende TOMs dokumentiert und umgesetzt haben.

Für weitere Informationen schreiben Sie uns eine kurze E-Mail an anfrage@d3-datenschutz.com oder kontaktieren Sie uns über unser Kontaktformular.

Du willst keine Neuigkeiten mehr verpassen?

Dann melde dich zu unserem Newsletter an!

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen