Technische und organisatorische Maßnahmen (TOM)

Seit Einführung der Datenschutz-Grundverordnung am 25. Mai 2018 bestehen für Unternehmen erhöhte Anforderungen bezüglich der Verarbeitung personenbezogener Daten. Zwei Begriffe, die in diesem Zusammenhang wiederholt auftauchen sind das Verzeichnis von Verarbeitungstätigkeiten und TOM. TOM ist die Abkürzung für technische und organisatorische Maßnahmen, die ein professionelles Datenmanagement ermöglichen und im Falle eines Datenlecks und/oder eines Datenschutzverstoß nachweisen, welcher Schutz der Daten vorliegt. Unter der Prämisse: je sensibler die Daten, desto umfangreicher müssen die Maßnahmen ausgearbeitet sein.

Was sind technische und organisatorische Maßnahmen (TOM)?

Die meisten Unternehmen kennen technische und organisatorische Maßnahmen bereits aufgrund der Vorschriften aus § 9 Bundesdatenschutzgesetz. Diese technischen und organisatorischen Sicherheitsmaßnahmen wurden mit Einführung der Datenschutz-Grundverordnung in Art. 32 „Sicherheit und Verarbeitung“ übernommen. Mit der DSGVO gewinnen die technischen und organisatorischen Maßnahmen an Bedeutung, denn dieses professionelle Datenmanagement ist das erste Beweisstück einer rechtskonformen Umsetzung der entsprechenden Vorschriften.

TOM: Der erste Beweis für eine rechtskonforme Umsetzung der DSGVO

Unternehmen, die technische und organisatorische Maßnahmen professionell ausarbeiten, können jederzeit den Beweis einer rechtskonformen Anwendung der Vorschriften entsprechend Datenschutz-Grundverordnung erbringen. Jedes Unternehmen kann sich damit konfrontiert sehen, dass Mitarbeiter, Lieferanten, Kunden, Aufsichtsbehörden oder die Presse den ordnungsgemäßen Umgang mit personenbezogenen Daten infrage stellen. Auch die Sicherheit bei der Datenverarbeitung ist ein wichtiges Thema, wie man im Hinblick auf aktuelle Ereignisse, wie das Facebook Datenleck, sehen kann. 

Seit der Einführung der Datenschutz-Grundverordnung haben die betroffenen Personen die Hoheit über die Verwendung ihrer Daten und befinden sich in einer verbesserten Ausgangssituation.

Inhaltlich gibt es große Schnittmengen zum Bundesdatenschutzgesetz. Unternehmen, die in technischer und organisatorischer Hinsicht bisher gut aufgestellt waren, müssen daher eher überschaubare Anpassungen bzgl. der Vorschriften der DSGVO vornehmen. 

Die Zugangs- und Zutrittskontrolle spielt eine große Rolle, wenn es darum geht, den sicheren und vertraulichen Umgang mit personenbezogenen Daten nachzuweisen. Denn die durchgeführten Sicherheitsmaßnahmen im Fall eines Verstoßes entscheiden darüber, in welcher Höhe ein Bußgeld verhängt wird (Art. 83 DSGVO). Um ein derartiges Szenario zu vermeiden, ist es sinnvoll, auf anerkannte Standards im IT-Bereich zurückzugreifen, sofern sich diese in Ihrem Unternehmen sinnvoll umsetzen lassen.

Diese Standards können in Form einer Zertifizierung oder eines externen Audits auf freiwilliger Basis angewendet werden. Sinnvoll ist sicherlich die Beratung durch einen Datenschutzbeauftragten. Dieser garantiert die gesetzeskonforme Umsetzung der technischen und organisatorischen Maßnahmen.

Kontrollkategorien

Die Sicherheitsmaßnahmen werden in verschiedene Kontrollkategorien eingeteilt. Wichtig ist, festzustellen, welcher Anwenderkreis Zugriff auf und Zutritt zu den entsprechenden Daten hat. Die Eingabe und Weiterverarbeitung müssen genauso regelmäßig kontrolliert werden, wie die Auftragsdatenverarbeitung. Die zweckmäßige Datenverarbeitung ist jederzeit sicherzustellen. In Sachen Sicherheit müssen die Datenverarbeitungssysteme im hohen Maße belastbar sein. Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust sind zu garantieren. Die Datenverarbeitung hat verschlüsselt und unter Anwendung von Pseudonymen zu erfolgen. Die Integrität der verarbeitenden Stelle und die vertrauliche Behandlung der verarbeiteten personenbezogenen Daten müssen jederzeit gewährleistet sein.

Unternehmen, die ein professionelles TOM-Datenschutz-Niveau nachweisen können, sind auf der sicheren Seite. Verstöße gegen die TOM-Vorschriften sind bußgeldbewehrt. Im Raum stehen Bußgelder in Höhe von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Allerdings sind sich die verantwortlichen Behörden bewusst, dass die Umsetzung noch einige Zeit in Anspruch nehmen wird. Daher besteht derzeit noch eine Übergangsphase, in der bei Verstößen nicht umgehend ein Bußgeld ausgesprochen wird. Zu erwarten ist, dass die zuständige Behörde im Falle eines Verstoßes eine Frist zur Nachbesserung gewährt, um den TOM-Datenschutz entsprechend umzusetzen.

Einteilung der technischen und organisatorischen Maßnahmen:

Zutrittskontrolle

Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.Zugangskontrolle

Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird.Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind.Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Hier ist auch eine Analogie zum IT-Sicherheitskonzept zu erkennen, welches die TOM-Bestandteile, die digitaler Natur sind, in einer Richtlinie bündelt und deren Unversehrtheit im Notfall garantiert.

Kontaktieren Sie DataGuard für weitere Informationen!

Erhalten Sie umgehend ein Angebot. Gerne beraten wir Sie auch telefonisch.






Ich habe die Datenschutzerklärung, insbesondere Punkt VII., zur Kenntnis genommen.

























Angebot erhalten
089 442 550 - 62649