close

UNVERBINDLICHES ERSTGESPRÄCH VEREINBAREN

Oder buchen Sie hier direkt einen Termin

userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Immer wieder ist von größeren Datenpannen oder Angriffen zu hören, bei denen sich Hacker unrechtmäßigen Zugriff auf große Mengen sensibler personenbezogener Daten verschaffen. Genauso gut können allerdings auch analoge Dokumente in Papierform (wie Akten, Beurteilungen und Korrespondenzen) mit personenbezogenen Daten unbefugt in falsche Hände geraten.
Technische und organisatorische Maßnahmen setzen genau hier an: Unternehmen haben die Pflicht, sich durch geeignete Vorkehrungen auf technischer und organisatorischer Ebene gegen derartige Datenschutzrisiken zu wappnen. Welche Risiken maßgeblich und welche Schutzmaßnahmen angemessen sind, ist dabei jeweils individuell zu ermitteln.

Das Wichtigste in Kürze

  • Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
  • TOM sind laut DS-GVO dokumentationspflichtig.
  • Die Implementierung angemessener TOM stellt eine gesetzliche Anforderung dar.
  • Eine Risikoanalyse bildet die Grundlage bei der Auswahl angemessener Schutzmaßnahmen.
  • Bußgelder werden häufig aufgrund unzureichender TOM verhängt.
  • Gerade bei der Auswahl von Auftragsverarbeitern sollten Sie darauf achten, dass diese hinreichende TOM nachweisen können.

In diesem Beitrag

Wofür steht die Abkürzung TOM nach der DS-GVO? 

TOM ist die Kurzform für das in der Datenschutz-Grundverordnung (DS-GVO) verwendete Konzept der technischen und organisatorischen Maßnahmen. Der recht abstrakt gehaltene Begriff kennzeichnet dabei alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Was sind technische und organisatorische Maßnahmen im Datenschutz? 

Das Datenschutzrecht besteht streng genommen aus zwei Komponenten: Datenschutz und Datensicherheit.

Der Datenschutz regelt die rechtlichen Voraussetzungen bei der Erhebung und Verarbeitung personenbezogener Daten – also allen Informationen, die Rückschlüsse auf eine Person zulassen. Der Schwerpunkt liegt hier auf der informationellen Selbstbestimmung und damit auf der Frage, ob und wofür personenbezogene Daten erfasst und verarbeitet werden dürfen.

Die Datensicherheit befasst sich dagegen mit der Frage, wie und mit welchen Maßnahmen der Schutz von Daten sichergestellt werden kann. Hier kommen die technischen und organisatorischen Maßnahmen ins Spiel.

Gut zu wissen: Beim Thema Datensicherheit geht es nicht nur um personenbezogene Daten, sondern um sämtliche Daten eines Unternehmens – unabhängig davon, ob ein direkter Personenbezug gegeben ist oder nicht.

Beispiele für technische Maßnahmen

Technische Maßnahmen können physisch oder soft- und hardwareseitig umgesetzt werden. Zu den möglichen Schutzmaßnahmen gehören:

Physische Maßnahmen, wie

  • die Installation von Alarmanlagen,
  • die Sicherung von Türen und Fenstern oder auch
  • die Umzäunung des Betriebsgelände

Soft- und Hardwaremaßnahmen, wie

  • der Einsatz einer Firewall,
  • die Protokollierung von Zugriffen auf Datenbanken oder auch
  • die Verschlüsselung von Datenträgern und Datenübermittlungen.

Beispiele für organisatorische Maßnahmen

Organisatorische Maßnahmen werden durch Handlungsanweisungen und klare Prozesse umgesetzt. Hierunter fallen zum Beispiel 

  • Mitarbeiterschulungen zum Thema Datenschutz,
  • eine mit den Mitarbeitern vereinbarte Vertraulichkeitsverpflichtung oder auch
  • eine Anmeldung aller Besucher

Wie finde ich heraus, welche technischen und organisatorischen Maßnahmen für mein Unternehmen angemessen sind?

Artikel 32 der DS-GVO stellt klar, dass die umzusetzenden Maßnahmen ein angemessenes Schutzniveau gewährleisten müssen. Was angemessen ist und was nicht, richtet sich dabei immer nach der Schwere und der Eintrittswahrscheinlichkeit des Risikos, welches die Rechte und Freiheiten der Betroffenen verletzen könnte.

Um die Anforderungen der DS-GVO sinnvoll in praktische Maßnahmen zu übersetzen, eignen sich Praxisleitfäden. Der ZAWAS des niedersächsischen Landesdatenschutzbeauftragten definiert acht konkrete Schritte zur Auswahl und Umsetzung angemessener Sicherungsmaßnahmen, die wir Ihnen in verkürzter Form als Checkliste zur Verfügung stellen:

Schritt 1: Beschreiben Sie Ihre bisherigen Verarbeitungstätigkeiten

Welche Daten werden wann, von wem, zu welchem Zweck verarbeitet? Welche Systeme kommen dabei zum Einsatz?

Schritt 2: Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig? Werden die Daten zweckgebunden erfasst und halten sie sich an die Grundsätze der Datenverarbeitung?

Schritt 3: Ermitteln Sie die abzusichernden Geschäftsprozesse

Welche Dienste, Systeme, Räume und Daten müssen im Unternehmen geschützt werden? In welchem Verhältnis stehen diese zueinander?

Schritt 4: Analysieren Sie potenzielle Risiken

Identifizieren Sie die Risiken: Besteht die Gefahr, dass durch Naturkatastrophen, unklare Zuständigkeiten innerhalb des Unternehmens oder durch technisches Versagen die Sicherheit von personenbezogenen Daten gefährdet ist?

Beurteilen Sie die möglichen Folgen: Wie schwerwiegend wären die Folgen bei einem Vorfall? Wären im schlimmsten Fall sogar besonders schutzwürdige Daten betroffen, wie etwa Gesundheitsdaten oder Informationen aus der Personalakte Ihrer Mitarbeiter?

Beurteilen Sie die Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass es zu einem bestimmten Vorfall kommt? Über welche Erfahrungswerte verfügt Ihr Unternehmen, die eine Einschätzung der Schadensschwere erleichtern? Welche Informationen können Sie hier einfließen lassen?

Ermitteln Sie den Risikowert: Welche Risiken besitzen sowohl einen hohen Schweregrad als auch eine hohe Eintrittswahrscheinlichkeit? Welche Risiken würden weniger Schaden anrichten und sind unwahrscheinlicher?

 

Schritt 5: Wählen Sie technische und organisatorische Maßnahmen aus

Welchen Risiken sollten Sie aufgrund eines hohen Risikowertes zuerst begegnen? Welche konkreten Maßnahmen kommen nach aktuellem Stand der Technik zur Minimierung dieser Risiken in Frage? Welche Maßnahmen lassen sich in angemessenem Umfang (zum Beispiel eher kostengünstig) implementieren?

Ein Beispiel aus der Praxis: Werden in einer Behörde hochsensible personenbezogene Daten zunächst in Papierform erhoben, kann zu Recht von einem erhöhten Risikowert ausgegangen werden. Die ausgefüllten Formulare könnten aufgrund des Publikumsverkehrs in falsche Hände geraten. Denkbare Maßnahmen wären in diesem Fall
    • die Anschaffung eines Aktenvernichters (technische Maßnahme) sowie
    • die Implementierung entsprechender Arbeitsanweisungen (organisatorische Maßnahme).
 

Kombiniert sorgen die genannten Maßnahmen für einen hohen Schutz bei vergleichsweise geringen Kosten.

Schritt 6: Bewerten Sie das Restrisiko

Welche Risiken lassen sich durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen? Wie hoch sind die Restrisiken?

Schritt 7: Konsolidieren Sie Ihre Maßnahmen

Ist eine Kombination verschiedener Maßnahmen erforderlich oder sind einzelne Maßnahmen ausreichend? Sind die Maßnahmen angemessen im Verhältnis zu den individuellen Gegebenheiten in Ihrem Unternehmen?

Schritt 8: Setzen Sie die Maßnahmen um

Welche Maßnahmen werden zuerst umgesetzt? Wer übernimmt die Verantwortung für die Umsetzung? Führt die Umsetzung zu dem gewünschten Ergebnis?

Wo finde ich Checklisten und Mustervorlagen für technische und organisatorische Maßnahmen?

Geeignete TOM-Checklisten oder -Kompendien helfen Ihnen dabei, das Spektrum notwendiger Sicherungsvorkehrungen zu erfassen. Die Fülle im Internet ist jedoch so groß, dass man schnell den Überblick verlieren kann.

Als aufschlussreich erweisen sich in diesem Fall die Gesetze selbst. Ergänzend zur DS-GVO bietet das BDSG Hilfestellung darüber, welchen Zweck die konkreten technisch und organisatorische Maßnahmen erfüllen sollen:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Vergleichen Sie diese Übersicht mit dem dokumentierten Ist-Zustand Ihres Unternehmens. Es ist empfehlenswert, dass Sie TOM in allen Kategorien implementiert haben. Insbesondere im Bereich IT-Sicherheit bietet das jährlich aktualisierte IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine gute Orientierungshilfe. Dieses geht detailliert auf zahlreiche elementare Gefahrenquellen, wie dem Missbrauch personenbezogener Daten, ein und definiert Anforderungen an die Umsetzung entsprechender IT-Sicherheitsmaßnahmen.

Auch DIN-Normen können aufschlussreich sein, um etwa den Stand der Technik zu ermitteln. So definiert die DIN-Norm 66399 die derzeitigen technischen Anforderungen an unterschiedliche Sicherheitsstufen bei der Vernichtung von Datenträgern.

Drohen Bußgelder, wenn technische und organisatorische Maßnahmen unzureichend umgesetzt werden? 

Unzureichend umgesetzte TOM können definitiv Konsequenzen haben. Die Mehrzahl der bereits behördlich verhängten Bußgelder wurden wegen ungenügender technischer und organisatorischer Maßnahmen verhängt – meist aufgrund mangelnder IT-Sicherheit. Die Dokumentation der getroffenen Sicherheitsvorkehrungen stellt daher eine wesentliche rechtliche Absicherung dar.

Ereignet sich eine Datenpanne, stellt die Dokumentation der vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen ein wesentliches Kriterium bei der Festsetzung der Geldbuße dar. Mit einfachen Worten: Der Nachweis, sich durch geeignete Vorkehrungen um eine Einhaltung des Datenschutzes zu bemühen, kann im Ernstfall zu einem milderen Bußgeld führen.

Achten Sie aber nicht nur auf Ihre eigenen TOM, sondern auch auf die Ihrer externen Auftragsverarbeiter. Lassen Sie sich nachweisen, dass auch Ihre Dienstleister hinreichende technische und organisatorische Maßnahmen ergreifen, sonst drohen auch hier Sanktionen.

Wie können Unternehmen von TOM profitieren und ihre Sicherheit erhöhen?

Die gewissenhafte Umsetzung und Dokumentation von TOM schützt Sie nicht nur vor Bußgeldern und Reputationsverlust. Wer die eigenen Prozesse transparent macht und geeignete Sicherheitsvorkehrungen trifft, profitiert in der Regel auch über den Datenschutz hinaus, denn:

  • Geschäftsgeheimnisse und sensible Unternehmensdaten werden geschützt.
  • Effizienzpotenziale hinsichtlich der eigenen Geschäftsprozesse können zu Tage treten.
  • Integrität und Verfügbarkeit des gesamten Datenbestands – über personenbezogene Daten hinaus – werden ebenfalls gestärkt.
  • Die Belastbarkeit der IT-Infrastruktur wird erhöht. Das Risiko eines kostspieligen Systemausfalls sinkt.

Wer kann bei der Umsetzung von technischen und organisatorischen Maßnahmen helfen? 

Der Verantwortliche für den Datenschutz, also die Leitung eines Unternehmens, kann diese Aufgabe an einen internen oder externen Datenschutzbeauftragten delegieren. Je größer die Organisation, umso wichtiger ist die fachübergreifende Zusammenarbeit im Unternehmen. Eine solche Zusammenarbeit kann beispielweise wie folgt aussehen:

  • Der Datenschutzbeauftragte koordiniert die Einhaltung der DS-GVO über alle Abteilungen im Unternehmen hinweg.
  • Er bezieht etwa die IT-Abteilung ein, wenn es um die Umsetzung der technischen Maßnahmen geht.
  • Er kümmert sich in Zusammenarbeit mit der Personalabteilung um die notwendigen Schulungen aller Mitarbeiter.
  • Nicht zuletzt bezieht er die Fachabteilungen mit ein, um sicherzustellen, dass auch bei den abteilungsspezifischen Prozessen auf den Datenschutz geachtet wird.
  • Natürlich sollte auch jeder einzelne Mitarbeitende im Unternehmen aufmerksam sein und sich bei Fragen oder Zweifeln an den Datenschutzbeauftragten wenden. 
Es zeigt sich also: Datenschutz und die Umsetzung von technischen und organisatorischen Maßnahmen sind eine unternehmensweite Aufgabe.

Fazit und Empfehlungen

Die Sicherheit bei der Verarbeitung personenbezogener Daten ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Unternehmen sind verpflichtet mögliche Risiken für Betroffene vorausschauend zu ermitteln, die bei der Verarbeitung entstehen können.

Darauf aufbauend sind dann geeignete Maßnahmen zu treffen, die einen angemessenen Schutz sicherstellen. Vom kleinen Handwerkerbetrieb bis zur Multi-Millionen-Firma profitiert jedes Unternehmen, wenn sie geeignete TOM implementieren und regelmäßig auf ihre Wirksamkeit überprüfen.

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München