TOM im Datenschutz: Alles was Sie zur Umsetzung wissen sollten

Das Wichtigste in Kürze

• Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
• TOM sind laut DSGVO dokumentationspflichtig.
• Die Implementierung angemessener TOM stellt eine gesetzliche Anforderung dar.
• Eine Risikoanalyse bildet die Grundlage bei der Auswahl angemessener Schutzmaßnahmen.
• Bußgelder werden häufig aufgrund unzureichender TOM verhängt.
• Gerade bei der Auswahl von Auftragsverarbeitern sollten Sie darauf achten, dass diese hinreichende TOM nachweisen können.

In diesem Beitrag

• Was sind technische und organisatorische Maßnahmen im Datenschutz?
• Welche technischen und organisatorischen Maßnahmen sind für Ihr Unternehmen angemessen?
• TOM im Datenschutz: Wo finde ich Checklisten und Mustervorlagen?
• Drohen Bußgelder, wenn TOM unzureichend umgesetzt werden? 
• Wie können Unternehmen von TOM profitieren und ihre Sicherheit erhöhen?
  

Wofür steht die Abkürzung TOM gemäß DSGVO? 

TOM ist die Kurzform für das in der Datenschutz-Grundverordnung (DSGVO) verwendete Konzept der technischen und organisatorischen Maßnahmen. Der recht abstrakt gehaltene Begriff kennzeichnet dabei alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Was sind technische und organisatorische Maßnahmen im Datenschutz? 

Das Datenschutzrecht besteht streng genommen aus zwei Komponenten: Datenschutz und Datensicherheit.

Der Datenschutz regelt die rechtlichen Voraussetzungen bei der Erhebung und Verarbeitung personenbezogener Daten – also für alle Informationen, die Rückschlüsse auf eine Person zulassen. Der Schwerpunkt liegt hier auf der informationellen Selbstbestimmung und damit auf der Frage, ob und wofür personenbezogene Daten erfasst und verarbeitet werden dürfen.

Die Datensicherheit befasst sich dagegen mit der Frage, wie und mit welchen Maßnahmen der Schutz von Daten sichergestellt werden kann. Hier kommen die technischen und organisatorischen Maßnahmen ins Spiel.

Gut zu wissen: Beim Thema Datensicherheit geht es nicht nur um personenbezogene Daten, sondern um sämtliche Daten eines Unternehmens – unabhängig davon, ob ein direkter Personenbezug gegeben ist oder nicht.

Welche technischen und organisatorischen Maßnahmen werden üblicherweise umgesetzt?

Die Liste Maßnahmen zum Schutz personenbezogener Daten ist theoretisch unbegrenzt. Bei der Umsetzung wird zwischen technischen und organisatorischen Maßnahmen unterschieden. Technische Maßnahmen sind entweder physischer Natur oder kommen in Form von Soft- und Hardwarelösungen zum Einsatz.

Klassische Beispiele für Soft- und Hardwaremaßnahmen wären zum Beispiel die Installation einer Firewall, die Verschlüsselung von Datenträgern und -transfers sowie eine automatisierte Protokollierung aller Datenbankzugriffe.

Bei den physischen Maßnahmen reicht das Spektrum von einem Schließkonzept für Fenster und Türen über das Engagement eines Wachdienstes für alle Ein- und Ausgänge des Unternehmens bis hin zur Installation eines Alarmsystems.

Komplettiert werden die TOM durch organisatorische Maßnahmen. Diese bestehen in der Regel aus klar definierten Abläufen und Vereinbarungen zwischen verschiedenen Akteuren. Ein Beispiel für letzteres wären Geheimhaltungsverträge, welche ein Unternehmen mit Mitarbeitenden, Partnern und Zulieferern schließt.

In die gleiche Kategorie fällt das Registrieren aller Besucher, die ein Unternehmen betreten. Zu den wichtigsten organisatorischen Maßnahmen gehören zudem regelmäßige Mitarbeiterschulungen. Diese schaffen das nötige Bewusstsein für die Risiken im Datenschutz und müssen dokumentiert werden.

Die folgende Grafik gibt einen guten Überblick über die wichtigsten technischen und organisatorischen Maßnahmen.

Beispiele für technische Maßnahmen:

Technische Maßnahmen können entweder physisch oder in der Soft- und Hardware umgesetzt werden. Mögliche zu schützende Maßnahmen sind: 

Soft- und Hardware-Maßnahmen:

• die Verwendung einer Firewall;
• Die Protokollierung des Zugriffs aus Datenbanken;
• und die Verschlüsselung von Datenträgern und Datenüberträgern.

Physische Maßnahmen:

• Die Installation eines Alarmsystems;

• das Sichern von Türen und Fenstern;

• oder auch das Umzäunen des Firmengeländes.

Beispiele für organisatorische Maßnahmen:

• Mitarbeiterschulungen zum Thema Datenschutz;
• eine mit den Mitarbeitenden vereinbarte Geheimhaltungspflicht;
• oder eine Registrierung aller Besucher.

Übrigens: viele die Maßnahmen lassen sich ganz einfach über die DataGuard Datenschutz-Plattform überwachen und durchführen.

Welche technischen und organisatorischen Maßnahmen sind für Ihr Unternehmen angemessen?

Artikel 32 der DSGVO stellt klar, dass die umzusetzenden Maßnahmen ein angemessenes Schutzniveau gewährleisten müssen. Was angemessen ist und was nicht, richtet sich dabei immer nach der Schwere und der Eintrittswahrscheinlichkeit des Risikos, welches die Rechte und Freiheiten der Betroffenen verletzen könnte.

Um die Anforderungen der DSGVO sinnvoll in praktische Maßnahmen zu übersetzen, eignen sich Praxisleitfäden. Der ZAWAS des niedersächsischen Landesdatenschutzbeauftragten definiert acht konkrete Schritte zur Auswahl und Umsetzung angemessener Sicherungsmaßnahmen, die wir Ihnen in verkürzter Form als Checkliste zur Verfügung stellen:

Schritt 1: Beschreiben Sie Ihre bisherigen Verarbeitungstätigkeiten

Welche Daten werden wann, von wem, zu welchem Zweck verarbeitet? Welche Systeme kommen dabei zum Einsatz?

Schritt 2: Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig? Werden die Daten zweckgebunden erfasst und entsprechen sie den Grundsätzen der Datenverarbeitung?

Schritt 3: Ermitteln Sie die abzusichernden Geschäftsprozesse

Welche Dienste, Systeme, Räume und Daten müssen im Unternehmen geschützt werden? In welchem Verhältnis stehen diese zueinander?

Schritt 4: Analysieren Sie potenzielle Risiken

Identifizieren Sie die Risiken: Besteht die Gefahr, dass durch Naturkatastrophen, unklare Zuständigkeiten innerhalb des Unternehmens oder durch technisches Versagen die Sicherheit von personenbezogenen Daten gefährdet ist?

Beurteilen Sie die möglichen Folgen: Wie schwerwiegend wären die Folgen bei einem Vorfall? Wären im schlimmsten Fall sogar besonders schutzwürdige Daten betroffen, wie etwa Gesundheitsdaten oder Informationen aus der Personalakte Ihrer Mitarbeiter?

Beurteilen Sie die Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass es zu einem bestimmten Vorfall kommt? Über welche Erfahrungswerte verfügt Ihr Unternehmen, die eine Einschätzung der Schadensschwere erleichtern? Welche Informationen können Sie hier einfließen lassen?

Ermitteln Sie den Risikowert: Welche Risiken besitzen sowohl einen hohen Schweregrad als auch eine hohe Eintrittswahrscheinlichkeit? Welche Risiken würden weniger Schaden anrichten und sind unwahrscheinlicher?

Schritt 5: Wählen Sie technische und organisatorische Maßnahmen aus

Welchen Risiken sollten Sie aufgrund eines hohen Risikowertes zuerst begegnen? Welche konkreten Maßnahmen kommen nach aktuellem Stand der Technik zur Minimierung dieser Risiken in Frage? Welche Maßnahmen lassen sich in angemessenem Umfang (zum Beispiel eher kostengünstig) implementieren?

Ein Beispiel aus der Praxis: Werden in einer Behörde hochsensible personenbezogene Daten zunächst in Papierform erhoben, kann zu Recht von einem erhöhten Risikowert ausgegangen werden. Die ausgefüllten Formulare könnten aufgrund des Publikumsverkehrs in falsche Hände geraten. Denkbare Maßnahmen wären in diesem Fall 

• die Anschaffung eines Aktenvernichters (technische Maßnahme) sowie
• die Implementierung entsprechender Arbeitsanweisungen (organisatorische Maßnahme).

Kombiniert sorgen die genannten Maßnahmen für einen hohen Schutz bei vergleichsweise geringen Kosten.

Schritt 6: Bewerten Sie das Restrisiko

Welche Risiken lassen sich durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen? Wie hoch sind die Restrisiken?

Schritt 7: Konsolidieren Sie Ihre Maßnahmen

Ist eine Kombination verschiedener Maßnahmen erforderlich oder sind einzelne Maßnahmen ausreichend? Sind die Maßnahmen angemessen im Verhältnis zu den individuellen Gegebenheiten in Ihrem Unternehmen?

Schritt 8: Setzen Sie die Maßnahmen um

Welche Maßnahmen werden zuerst umgesetzt? Wer übernimmt die Verantwortung für die Umsetzung? Führt die Umsetzung zum gewünschten Ergebnis?

Weitere Fragen zur Umsetzung?

Finden Sie außerdem heraus, wie Ihnen ein externer Datenschutzbeauftragter bei der Umsetzung helfen kann. 

Um das gewünschte Video abspielen zu können, erklären Sie sich damit einverstanden, dass eine Verbindung zu den Servern von YouTube, LLC, 901 Cherry Ave., San Bruno, CA 94066, USA hergestellt wird. Damit werden personenbezogene Daten (Geräte- und Browserinformationen, inbesondere die IP-Adresse und das Betriebssystem) an den Betreiber des Portals zur Nutzungsanalyse übermittelt. 

Weitere Informationen über den Umgang mit Ihren personenbezogenen Daten finden Sie in unserer Datenschutzerklärung. 

Video abspielen

YouTube immer entsperren

Wo finde ich Checklisten und Mustervorlagen für technische und organisatorische Maßnahmen?

Geeignete TOM-Checklisten oder -Kompendien helfen Ihnen dabei, das Spektrum notwendiger Sicherungsvorkehrungen zu erfassen. Die Fülle im Internet ist jedoch so groß, dass man schnell den Überblick verlieren kann.

Als aufschlussreich erweisen sich in diesem Fall die Gesetze selbst. Ergänzend zur DSGVO bietet das Bundesdatenschutzgesetz (BDSG) Hilfestellung in der Frage, welchen Zweck die konkreten technischen und organisatorische Maßnahmen erfüllen sollen:

• Zugangskontrolle
• Datenträgerkontrolle
• Speicherkontrolle
• Benutzerkontrolle
• Zugriffskontrolle
• Übertragungskontrolle
• Eingabekontrolle
• Transportkontrolle
• Wiederherstellbarkeit
• Zuverlässigkeit
• Datenintegrität
• Auftragskontrolle
• Verfügbarkeitskontrolle
• Trennbarkeit

Vergleichen Sie diese Übersicht mit dem dokumentierten Ist-Zustand Ihres Unternehmens. Es ist empfehlenswert, dass Sie TOM in allen Kategorien implementiert haben. Insbesondere im Bereich IT-Sicherheit bietet das jährlich aktualisierte IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine gute Orientierungshilfe. Dieses geht detailliert auf zahlreiche elementare Gefahrenquellen, zum Beispiel auf den Missbrauch personenbezogener Daten, ein und definiert Anforderungen an die Umsetzung entsprechender IT-Sicherheitsmaßnahmen.

Auch DIN-Normen können aufschlussreich sein, um etwa den Stand der Technik zu ermitteln. So definiert die DIN-Norm 66399 die derzeitigen technischen Anforderungen an unterschiedliche Sicherheitsstufen bei der Vernichtung von Datenträgern.

Drohen Bußgelder, wenn technische und organisatorische Maßnahmen unzureichend umgesetzt werden? 

Unzureichend umgesetzte TOM können definitiv Konsequenzen haben. Die Mehrzahl der bereits behördlich verhängten Bußgelder wurden wegen ungenügender technischer und organisatorischer Maßnahmen verhängt – meist aufgrund mangelnder IT-Sicherheit. Die Dokumentation der getroffenen Sicherheitsvorkehrungen stellt daher eine wesentliche rechtliche Absicherung dar.

Ereignet sich eine Datenpanne, stellt die Dokumentation der vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen ein wesentliches Kriterium bei der Festsetzung der Geldbuße dar. Mit einfachen Worten: Der Nachweis, sich durch geeignete Vorkehrungen um eine Einhaltung des Datenschutzes zu bemühen, kann im Ernstfall zu einem milderen Bußgeld führen.

Achten Sie aber nicht nur auf Ihre eigenen TOM, sondern auch auf die Ihrer externen Auftragsverarbeiter. Lassen Sie sich nachweisen, dass auch Ihre Dienstleister hinreichende technische und organisatorische Maßnahmen ergreifen, sonst drohen auch hier Sanktionen.

Wie können Unternehmen von TOM profitieren und ihre Sicherheit erhöhen?

Die gewissenhafte Umsetzung und Dokumentation von TOM schützt Sie nicht nur vor Bußgeldern und Reputationsverlust. Wer die eigenen Prozesse transparent macht und geeignete Sicherheitsvorkehrungen trifft, profitiert in der Regel auch über den Datenschutz hinaus, denn:

• Geschäftsgeheimnisse und sensible Unternehmensdaten werden geschützt.
• Effizienzpotenziale hinsichtlich der eigenen Geschäftsprozesse können zu Tage treten.
• Integrität und Verfügbarkeit des gesamten Datenbestands – über personenbezogene Daten hinaus – werden ebenfalls gestärkt.
• Die Belastbarkeit der IT-Infrastruktur wird erhöht. Das Risiko eines kostspieligen Systemausfalls sinkt.

Wer kann bei der Umsetzung von technischen und organisatorischen Maßnahmen helfen? 

Der Verantwortliche für den Datenschutz, also die Leitung eines Unternehmens, kann diese Aufgabe an einen internen oder externen Datenschutzbeauftragten delegieren. Je größer die Organisation, umso wichtiger ist die fachübergreifende Zusammenarbeit im Unternehmen. Eine solche Zusammenarbeit kann beispielweise wie folgt aussehen:

• Der Datenschutzbeauftragte koordiniert die Einhaltung der DSGVO über alle Abteilungen im Unternehmen hinweg.
• Er bezieht etwa die IT-Abteilung ein, wenn es um die Umsetzung der technischen Maßnahmen geht.
• Er kümmert sich in Zusammenarbeit mit der Personalabteilung um die notwendigen Schulungen aller Mitarbeiter.
• Nicht zuletzt bezieht er die Fachabteilungen mit ein, um sicherzustellen, dass auch bei den abteilungsspezifischen Prozessen auf den Datenschutz geachtet wird.
• Natürlich sollte auch jeder einzelne Mitarbeitende im Unternehmen aufmerksam sein und sich bei Fragen oder Zweifeln an den Datenschutzbeauftragten wenden. 

Es zeigt sich also: Datenschutz und die Umsetzung von technischen und organisatorischen Maßnahmen sind eine unternehmensweite Aufgabe.

Fazit und Empfehlungen

Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Unternehmen sind verpflichtet mögliche Risiken für Betroffene vorausschauend zu ermitteln, die bei der Verarbeitung entstehen können.

Darauf aufbauend sind dann geeignete Maßnahmen zu treffen, die einen angemessenen Schutz sicherstellen. Vom kleinen Handwerkerbetrieb bis zur Multi-Millionen-Firma profitiert jedes Unternehmen, wenn es geeignete TOM implementiert und diese regelmäßig auf ihre Wirksamkeit überprüft.

Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr Beratungsgespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: