Technische und organisatorische Maßnahmen (TOM): Eine Einführung

Home » Magazin » Technische und organisatorische Maßnahmen (TOM): Eine Einführung

Technische und organisatorische Maßnahmen (TOM) sind ein Grundelement von Datenschutz. Sie legen fest, welche Maßnahmen ergriffen werden sollten, um das Niveau an Datensicherheit im Unternehmen zu steigern. Diese Maßnahmen können strategischer, technischer wie auch anderer Natur sein.

Jeder, der sich freiwillig oder unfreiweillig schon einmal mit Datenschutz beschäftigen musste, hat Begriffe wie „Verzeichnis von Verarbeitungstätigkeiten“ und „TOM“ schon einmal gehört. Doch was versteht man genau darunter? TOM ist die Abkürzung für technische und organisatorische Maßnahmen. Letztere legen fest, welche Maßnahmen ein Unternehmen trifft, um die Datensicherheit zu gewährleisten. Dabei entscheidet die Art der Daten, wie umfangreich diese Maßnahmen sein müssen. Es gilt: Je sensibler die Daten, desto umfangreicher müssen sie ausgearbeitet sein. Doch welche Unternehmensbereiche betrifft das konkret?

Keine Zeit zu lesen? Hier mehr Informationen anfordern

Über DataGuard:

DataGuard ist ein Datenschutz- und Legal-Technology-Unternehmen mit Hauptsitz in München. Wir helfen Unternehmen dabei, ihren Datenschutz pragmatisch umzusetzen. Über 100 Mitarbeiter beschäftigen sich leidenschaftlich mit Datenschutz, Compliance und IT-Sicherheit und unterstützen Sie dabei, Ihre Prozesse effizient und möglichst unkompliziert DSGVO-konform zu gestalten. Deutlich über 1.000 Geschäftskunden vertrauen unserer „Privacy-as-a-Service“ Lösung – einem Hybrid aus individueller Kundenberatung und Nutzung unserer eigens entwickelten Software-as-a-Service-Plattform.

Was sind technische und organisatorische Maßnahmen (TOM)?

Die meisten Unternehmen kennen technische und organisatorische Maßnahmen bereits aufgrund der Vorschriften aus §9 Bundesdatenschutzgesetz. Diese technischen und organisatorischen Sicherheitsmaßnahmen wurden mit Einführung der Datenschutz-Grundverordnung in Art. 32 „Sicherheit und Verarbeitung“ übernommen. Mit der DSGVO gewinnen die technischen und organisatorischen Maßnahmen an Bedeutung, denn dieses professionelle Datenmanagement ist das erste Beweisstück einer rechtskonformen Umsetzung der entsprechenden Vorschriften.

Mit den TOMs können Unternehmen nachweisen, was sie für die Datensicherheit getan haben. Insbesondere gegenüber den Aufsichtsbehörden gelten die TOMs als wichtige Dokumentation zum regelkonformen Umgang mit personenbezogenen Daten.

Die durchgeführten Sicherheitsmaßnahmen im Fall eines Verstoßes entscheiden darüber, in welcher Höhe ein Bußgeld verhängt wird (Art. 83 DSGVO). Um ein derartiges Szenario zu vermeiden, ist es sinnvoll, auf anerkannte Standards im IT-Bereich zurückzugreifen, sofern sich diese in Ihrem Unternehmen sinnvoll umsetzen lassen.

Diese Standards können in Form einer Zertifizierung oder eines externen Audits auf freiwilliger Basis angewendet werden. Sinnvoll ist sicherlich die Beratung durch einen Datenschutzbeauftragten. Dieser garantiert die gesetzeskonforme Umsetzung der technischen und organisatorischen Maßnahmen.

Was müssen Sie beachten?

Die Sicherheitsmaßnahmen werden in verschiedene Kontrollkategorien eingeteilt. Wichtig ist, festzustellen, welcher Anwenderkreis Zugriff auf und Zutritt zu den entsprechenden Daten hat. Die Eingabe und Weiterverarbeitung müssen genauso regelmäßig kontrolliert werden, wie die Auftragsdatenverarbeitung. Die zweckmäßige Datenverarbeitung ist jederzeit sicherzustellen. In Sachen Sicherheit müssen die Datenverarbeitungssysteme im hohen Maße belastbar sein. Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust sind zu garantieren. Die Datenverarbeitung hat verschlüsselt und unter Anwendung von Pseudonymen zu erfolgen. Die Integrität der verarbeitenden Stelle und die vertrauliche Behandlung der verarbeiteten personenbezogenen Daten müssen jederzeit gewährleistet sein.

Unternehmen, die ein professionelle TOMs nachweisen können, sind auf der sicheren Seite. Sind die technisch-organisatorischen Maßnahmen mangelhaft oder werden sie im Unternehmen nicht eingehalten, können Bußgelder drohen.

Einteilung der technischen und organisatorischen Maßnahmen:

  • Zutrittskontrolle
    Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.
  • Zugangskontrolle
    Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird.
  • Zugriffskontrolle
    Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
  • Weitergabekontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
  • Eingabekontrolle
    Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind.
  • Auftragskontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.
  • Verfügbarkeitskontrolle
    Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
  • Trennungskontrolle
    Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Wie geht es jetzt weiter?

Wahrscheinlich haben Sie jetzt gemerkt, wie komplex und umfangreich das Thema ist und fragen sich, wie Sie die Vorschriften konkret umsetzen können. Ein externer Berater kann Sie dabei unterstützen, die Punkte zu identifizieren, die nicht konform sind und ihnen konkrete Handlungsempfehlungen geben. Experten können ebenfalls anstehende Projekte mit Ihnen durchdenken, um die nötigen TOM im Vornherein zu identifizieren, bevor es zur konkreten Umsetzung kommt – was Zeit, Kosten und Ressourcen spart.

Sie wollen sich schützen? Jetzt Expertengespräch vereinbaren.

Tags
  • DSGVO
  • Datenschutz
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

close Vereinbaren Sie jetzt ein kostenloses Beratungsgespräch mit einem Experten. Gerne können Sie uns auch einfach anrufen: 089 442 550 - 62649 (wir arbeiten bundesweit)






Ich habe die Datenschutzerklärung, insbesondere Punkt VIII., zur Kenntnis genommen.

































Angebot erhalten
089 442 550 - 62649 bundesweiter Service