Technische und organisatorische Maßnahmen – eine Einführung (inkl. Checkliste)

Das Wichtigste in Kürze

  • Technische und organisatorische Maßnahmen (TOM) umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
  • TOM sind laut DS-GVO dokumentationspflichtig.
  • Sie stellen eine wesentliche rechtliche Absicherung dar.
  • Eine Risikoanalyse bildet die Grundlage bei der Auswahl angemessener Schutzmaßnahmen.
  • Bußgelder werden häufig aufgrund unzureichender TOM verhängt.
  • Achten Sie insbesondere auf das Verhältnis zu externen Auftragsverarbeitern. Sie sind verpflichtet, sich hinreichende TOM nachweisen zu lassen. 

In diesem Beitrag

Immer wieder ist von größeren Datenpannen oder Angriffen zu hören, bei denen sich Hacker unrechtmäßigen Zugriff auf große Mengen sensibler Kundendaten verschaffen. Ebenso können sorglos abgelegte Papierformulare mit personenbezogenen Daten schnell in falsche Hände geraten.

Technische und organisatorische Maßnahmen setzen genau hier an: Unternehmen haben die Pflicht, sich durch geeignete Vorkehrungen auf technischer und organisatorischer Ebene gegen derartige Datenschutzrisiken zu wappnen. Welche Risiken maßgeblich und welche Schutzmaßnahmen angemessen sind, ist dabei jeweils individuell zu ermitteln.

Wofür steht die Abkürzung TOM laut DS-GVO? 

TOM ist die Kurzform für das in der Datenschutz-Grundverordnung (DS-GVO) verwendete Konzept der technischen und organisatorischen Maßnahmen. Der recht abstrakt gehaltene Begriff kennzeichnet dabei alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Was sind technische und organisatorische Maßnahmen im Datenschutz? 

Das Datenschutzrecht besteht streng genommen aus zwei Komponenten: Datenschutz und Datensicherheit.

Der Datenschutz regelt die rechtlichen Voraussetzungen bei der Erhebung und Verarbeitung personenbezogener Daten – also allen Informationen, die Rückschlüsse auf eine Person zulassen. Der Schwerpunkt liegt hier auf der informationellen Selbstbestimmung und damit auf der Frage, ob und wofür personenbezogene Daten erfasst und verarbeitet werden dürfen.

Die Datensicherheit befasst sich dagegen mit der Frage, wie und mit welchen Maßnahmen der Schutz von Daten sichergestellt werden kann. Hier kommen die technischen und organisatorischen Maßnahmen ins Spiel.

Gut zu wissen: Beim Thema Datensicherheit geht es nicht nur um personenbezogene Daten, sondern um sämtliche Daten eines Unternehmens – unabhängig davon, ob ein direkter Personenbezug gegeben ist oder nicht.

Beispiele für technische Maßnahmen

Technische Maßnahmen sind all jene Schutzversuche, die entweder durch bauliche Maßnahmen oder soft- und hardwareseitig umgesetzt werden können. Dazu zählen etwa:

Bauliche Maßnahmen, wie

  • die Installation von Alarmanlagen,
  • die Sicherung von Türen und Fenstern oder auch
  • die Umzäunung des Betriebsgeländes

Soft- und Hardwaremaßnahmen, wie

  • der Einsatz einer Firewall,
  • die Protokollierung von Zugriffen auf Datenbanken oder auch
  • die Verschlüsselung von Datenträgern und Datenübermittlungen.

Beispiele für organisatorische Maßnahmen

Organisatorische Maßnahmen sind solche, die durch Handlungsanweisungen und klare Prozesse umgesetzt werden. Hierunter fallen zum Beispiel 

  • Mitarbeiterschulungen zum Thema Datenschutz,
  • eine mit den Mitarbeitern vereinbarte Vertraulichkeitsverpflichtung oder auch
  • eine Anmeldung aller Besucher.

Wie finde ich heraus, welche technischen und organisatorischen Maßnahmen für mein Unternehmen angemessen sind?

Artikel 32 der DS-GVO stellt klar, dass die umzusetzenden Maßnahmen ein angemessenes Schutzniveau gewährleisten müssen. Was angemessen ist und was nicht, richtet sich dabei immer nach der Schwere und der Eintrittswahrscheinlichkeit des Risikos, welches die Rechte und Freiheiten der Betroffenen verletzt werden könnte.

Um die Anforderungen der DS-GVO sinnvoll in praktische Maßnahmen zu übersetzen, eignen sich Praxisleitfäden. Der ZAWAS des niedersächsischen Landesdatenschutzbeauftragten etwa definiert acht konkrete Schritte zur Auswahl und Umsetzung angemessener Sicherungsmaßnahmen, die wir Ihnen hier in verkürzter Form als Checkliste zur Verfügung stellen:

Schritt 1: Beschreiben Sie Ihre bisherigen Verarbeitungstätigkeiten

Welche Daten werden wann, von wem, zu welchem Zweck verarbeitet? Welche Systeme kommen dabei zum Einsatz?

Schritt 2: Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig? Werden die Daten zweckgebunden erfasst und halten Sie sich an die Grundsätze der Datenverarbeitung?

Schritt 3: Ermitteln Sie die abzusichernden Geschäftsprozesse

Welche Dienste, Systeme, Räume und Daten müssen gemäß DSGVO geschützt werden? In welchem Verhältnis stehen diese zueinander?

Schritt 4: Analysieren Sie potenzielle Risiken

Identifizieren Sie die Risiken: Besteht die Gefahr, dass durch Naturkatastrophen, unklare Zuständigkeiten innerhalb des Unternehmens oder durch technisches Versagen die Sicherheit von personenbezogenen Daten gefährdet ist?

Beurteilen Sie die möglichen Folgen: Wie schwerwiegend wären die Folgen bei einem Vorfall? Wären im schlimmsten Fall sogar besonders schutzwürdige Daten betroffen, wie etwa Gesundheitsdaten oder Informationen aus dem Führungszeugnis Ihrer Mitarbeiter?

Beurteilen Sie die Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass es zu einem bestimmten Vorfall kommt? Über welche Erfahrungswerte verfügt Ihr Unternehmen, die eine Einschätzung erleichtern? Welche Studien können Sie hier einfließen lassen?

Ermitteln Sie den Risikowert: Welche Risiken haben sowohl einen hohen Schweregrad als auch eine hohe Eintrittswahrscheinlichkeit? Welche Risiken würden weniger Schaden anrichten und sind zudem eher unwahrscheinlich?

Schritt 5: Wählen Sie technische und organisatorische Maßnahmen aus

Welchen Risiken sollten Sie aufgrund eines hohen Risikowertes zuerst begegnen? Welche konkreten Maßnahmen kommen nach aktuellem Stand der Technik zur Vorbeugung dieser Risiken infrage? Welche Maßnahmen lassen sich kostengünstig implementieren?

Ein Beispiel aus der Praxis: Werden in einer Behörde hochsensible personenbezogene Daten zunächst in Papierform erhoben, kann mit Recht von einem erhöhten Risikowert ausgegangen werden, da die ausgefüllten Formulare aufgrund des Publikumsverkehrs in falsche Hände geraten könnten. Denkbare Maßnahmen wären in diesem Fall

  • die Anschaffung eines Aktenvernichters (technische Maßnahme) sowie
  • die Implementierung entsprechender Arbeitsanweisungen (organisatorische Maßnahme).

Gemeinsam schaffen die genannten Maßnahmen bei vergleichsweise geringen Kosten einen hohen Schutz.

Schritt 6: Bewerten Sie das Restrisiko

Welche Risiken bleiben und lassen sich durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen? Welche TOM hatten Sie in Erwägung gezogen, aber nicht umgesetzt – und warum nicht? Wie hoch ist das Restrisiko und steht es im Ernstfall im Widerspruch zu einer Datenerhebung bzw. -verarbeitung?

Schritt 7: Konsolidieren Sie Ihre Maßnahmen

Benötigt es alle festgelegten technischen und organisatorischen Maßnahmen oder werden einzelne Maßnahmen durch andere überflüssig? Passen die geplanten Maßnahmen bereits ausreichend zu den individuellen Gegebenheiten in Ihrem Unternehmen?

Schritt 8: Setzen Sie die Maßnahmen um

Welche Maßnahmen werden zuerst umgesetzt? Wer übernimmt die Verantwortung für die Umsetzung? Bringt die Umsetzung auch das gewünschte Ergebnis?

Wo finde ich Checklisten und Mustervorlagen für technische und organisatorische Maßnahmen?

Geeignete TOM-Checklisten oder -Kompendien helfen Ihnen dabei, das Spektrum notwendiger Sicherungsvorkehrungen besser zu erfassen. Die Fülle im Internet ist jedoch so groß, dass man schnell den Überblick verlieren kann.

Als beste Checkliste erweisen sich in diesem Fall die Gesetze selbst. Das aktuelle Bundesdatenschutzgesetz, welches die DS-GVO ergänzt, listet in Paragraf 64 etwa mögliche Gefahren bei der Datenverarbeitung und die dazugehörigen TOM auf:

  • Zugangskontrolle
  • Datenträgerkontrolle
  • Speicherkontrolle
  • Benutzerkontrolle
  • Zugriffskontrolle
  • Übertragungskontrolle
  • Eingabekontrolle
  • Transportkontrolle
  • Wiederherstellbarkeit
  • Zuverlässigkeit
  • Datenintegrität
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennbarkeit

Gleichen Sie diese Übersicht mit dem dokumentierten Ist-Zustand für Ihr Unternehmen ab, um die notwendigen TOM vorab zu planen und zu priorisieren.

Speziell im Bereich IT-Sicherheit bietet das jährlich aktualisierte IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine gute Orientierungshilfe. Dieses geht detailliert auf zahlreiche elementare Gefahrenquellen, einschließlich des Missbrauchs personenbezogener Daten, ein und definiert Anforderungen an die Umsetzung entsprechender IT-Sicherheitsmaßnahmen.

Auch DIN-Normen können zu Rate gezogen werden, etwa um den Stand der Technik zu ermitteln. So definiert die DIN-Norm 66399 die derzeitigen technischen Anforderungen an unterschiedliche Sicherheitsstufen bei der Vernichtung von Datenträgern.

Drohen Bußgelder, wenn technische und organisatorische Maßnahmen unzureichend umgesetzt werden? 

Unzureichend umgesetzte TOM können definitiv Konsequenzen haben. Die Mehrzahl der bereits behördlich verhängten Bußgelder wurden wegen ungenügender technischer und organisatorischer Maßnahmen verhängt – meist aufgrund mangelnder IT-Sicherheit. Die Dokumentation der getroffenen Sicherheitsvorkehrungen stellt daher eine wesentliche rechtliche Absicherung dar.

Ereignet sich eine Datenpanne, stellen die von Ihnen getroffenen technischen und organisatorischen Maßnahmen – die sich durch ihre Dokumentation nachweisen lassen – ein wesentliches Kriterium bei der Festsetzung der Geldbuße dar. Mit einfachen Worten: Der Nachweis, sich durch geeignete Vorkehrungen um eine Einhaltung des Datenschutzes zu bemühen, kann im Ernstfall zu einem milderen Bußgeld führen.

Achten Sie aber nicht nur auf Ihre eigene TOM, sondern auch auf die Ihrer externen Auftragsverarbeiter. Lassen Sie sich nachweisen, dass auch Ihre Dienstleister hinreichende technische und organisatorische Maßnahmen ergreifen, sonst drohen auch hier empfindliche Sanktionen.

Wie können Unternehmen von TOM profitieren und ihre Sicherheit erhöhen?

Die gewissenhafte Umsetzung und Dokumentation von TOM schützt Sie nicht nur vor Bußgeldern und Reputationsverlust. Wer die eigenen Prozesse transparent macht und geeignete Sicherheitsvorkehrungen trifft, trägt in der Regel auch zusätzliche Früchte davon:

  • Geschäftsgeheimnisse und sensible Unternehmensdaten bleiben besser geschützt.
  • Effizienzpotenziale hinsichtlich der eigenen Geschäftsprozesse können zu Tage treten.
  • Integrität und Verfügbarkeit des gesamten Datenbestands – über personenbezogene Daten hinaus – werden ebenfalls gestärkt.
  • Die Belastbarkeit der IT-Infrastruktur wird erhöht. Das Risiko eines kostspieligen Systemausfalls sinkt.

Wer kann bei der Umsetzung von technischen und organisatorischen Maßnahmen helfen?

Je größer die Organisation, desto mehr gilt: Datenschutz bedarf fachübergreifender Zusammenarbeit. Der Verantwortliche für den Datenschutz, also in der Regel der Geschäftsführer eines Unternehmens, kann diese Aufgabe an einen internen oder externen Datenschutzbeauftragten delegieren. Dieser Datenschutzbeauftragte koordiniert dann zwischen den beteiligten Abteilungen, was sich etwa folgendermaßen darstellt:

  • Die IT-Abteilung wird insbesondere vor dem Hintergrund der zunehmenden Digitalisierung einbezogen. Bei der praktischen Umsetzung technischer und organisatorischer Maßnahmen ist sie wichtigster Ansprechpartner.
  • Die Personalabteilung bezieht der Datenschutzbeauftragte für regelmäßige Mitarbeiterschulungen ein, die ebenfalls eine entscheidende Grundlage für die erfolgreiche Umsetzung konkreter technischer und organischer Maßnahmen ist.
  • Schließloch bezieht der Datenschutzbeauftragte auch Fachabteilungen ein. Sie gewährleisten die Umsetzung von TOM in Bezug auf abteilungsspezifische Prozesse und Verarbeitungen.

Es zeigt sich also: Datenschutz und die Umsetzung von technischen und organisatorischen Maßnahmen sind eine unternehmensweite Aufgabe. Die Komplexität und der Zeitaufwand dieser Aufgabe sprechen in der Praxis meist dafür, sie einem externen Datenschutzbeauftragten anzuvertrauen.

Auch interne Datenschutzbeauftragte können die nötigen fachlichen Qualifikationen mitbringen, um die Umsetzung technischer und organisatorischer Maßnahmen zu koordinieren. Was allerdings oft gegen die interne Lösung spricht, ist die Tatsache, dass verfügbare Mitarbeiter den Datenschutz nur „nebenbei erledigen würden.

Ein externer Datenschutzbeauftragter steht dem Unternehmen demgegenüber zeitlich uneingeschränkt zur Verfügung. Von außen kann er einen unvoreingenommenen Blick auf das Unternehmen werfen und seine Expertise mindert darüber hinaus Ihr Haftungsrisiko erheblich.

Fazit und Empfehlungen

Datensicherheit ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes. Sie sind verpflichtet, mögliche Risiken für Betroffene vorausschauend zu ermitteln, die bei der Verarbeitung personenbezogener Daten entstehen können, um darauf aufbauend durch geeignete Maßnahmen einen angemessenen Risikoschutz sicherzustellen. Vom kleinen Handwerker bis zum Multi-Millionen-Unternehmen profitiert Ihr Betrieb, wenn Sie bei dem Thema Datensicherheit aktiv werden.

Über den Autor

Anne Hillmer

Mit Datenschutz beschäftigte sich Anne Hillmer zum ersten Mal in einem Beratungsunternehmen für Datenschutz und Compliance. Schon bald entdeckte sie für sich die hohe politische und gesellschaftliche Brisanz des Themas. Während ihrer Tätigkeit für das Bundesamt für Sicherheit in der Informationstechnik (BSI) lernte sie dann die technische Seite und die Sicherheitsanforderungen der Datenverarbeitung kennen. Bei ihrer Arbeit verfolgt sie ein klares Ziel: „Datenschutz bedeutet für mich Privatsphäre. Ich möchte dazu beitragen, dass Privatsphäre als Menschenrecht respektiert wird – besonders in Zeiten, in denen sich Technologie oft schneller entwickelt als die Gesetzgebung und sich somit nicht nur Chancen, sondern auch viele Herausforderungen ergeben.“ Zum Abschalten nach getaner Arbeit setzt Anne auf eine bewährte Kombi: Sport und frische Luft.

Weitere Beiträge von Anne Hillmer

Über den Autor

Marine Serebrjakova

Wie hochbrisant das Thema Datenschutz ist, wurde der Rechtsanwältin Marine Serebrjakova schon früh in ihrer beruflichen Laufbahn bewusst. Mit wachsender Skepsis beobachtete sie, wie Verbraucher und Unternehmen sorglos ihre sensiblen Daten über soziale Medien teilen. Deshalb beschloss Marine, sich voll und ganz dem Datenschutz zu verschreiben. Bei DataGuard entwickelt sie pragmatische Datenschutzlösungen für ihre Kunden und leistet gleichzeitig Aufklärungsarbeit. Denn: „Aktuell werden im Zuge der DSGVO die Weichen dafür gelegt, wie zukünftige Generationen und somit Recht, Politik und Gesellschaft mit dem Datenschutz umgehen werden.“ Dieser Leitsatz bestimmt auch ihren Arbeitsalltag und ihr Handeln. Mit einer klitzekleinen Ausnahme: „Für DataGuard habe ich mit meinem Kodex gebrochen und mich zu einem Fun-Post in Social Media hinreißen lassen.“

Weitere Beiträge von Marine Serebrjakova

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service