Technische und organisatorische Maßnahmen (TOM): Eine Einführung

Technische und organisatorische Maßnahmen (TOM) sind ein Grundelement von Datenschutz. Sie legen fest, welche Maßnahmen ergriffen werden sollten, um das Niveau an Datensicherheit im Unternehmen zu steigern. Diese Maßnahmen können strategischer, technischer wie auch anderer Natur sein.

Zwei Begriffe, die im Zusammenhang mit Datenschutz wiederholt auftauchen sind das Verzeichnis von Verarbeitungstätigkeiten und TOM. TOM ist die Abkürzung für technische und organisatorische Maßnahmen. Letztere legen fest, welche Maßnahmen ein Unternehmen trifft, um die Datensicherheit zu gewährleisten. Dabei entscheidet die Art der Daten, wie umfangreich diese Maßnahmen sein müssen. Es gilt: Je sensibler die Daten, desto umfangreicher müssen sie ausgearbeitet sein.

Was sind technische und organisatorische Maßnahmen (TOM)?

Die meisten Unternehmen kennen technische und organisatorische Maßnahmen bereits aufgrund der Vorschriften aus §9 Bundesdatenschutzgesetz. Diese technischen und organisatorischen Sicherheitsmaßnahmen wurden mit Einführung der Datenschutz-Grundverordnung in Art. 32 „Sicherheit und Verarbeitung“ übernommen. Mit der DSGVO gewinnen die technischen und organisatorischen Maßnahmen an Bedeutung, denn dieses professionelle Datenmanagement ist das erste Beweisstück einer rechtskonformen Umsetzung der entsprechenden Vorschriften.

Mit den TOMs können Unternehmen nachweisen, was sie für die Datensicherheit getan haben. Insbesondere gegenüber den Aufsichtsbehörden gelten die TOMs als wichtige Dokumentation zum regelkonformen Umgang mit personenbezogenen Daten.

Die durchgeführten Sicherheitsmaßnahmen im Fall eines Verstoßes entscheiden darüber, in welcher Höhe ein Bußgeld verhängt wird (Art. 83 DSGVO). Um ein derartiges Szenario zu vermeiden, ist es sinnvoll, auf anerkannte Standards im IT-Bereich zurückzugreifen, sofern sich diese in Ihrem Unternehmen sinnvoll umsetzen lassen.

Diese Standards können in Form einer Zertifizierung oder eines externen Audits auf freiwilliger Basis angewendet werden. Sinnvoll ist sicherlich die Beratung durch einen Datenschutzbeauftragten. Dieser garantiert die gesetzeskonforme Umsetzung der technischen und organisatorischen Maßnahmen.

Kontrollkategorien

Die Sicherheitsmaßnahmen werden in verschiedene Kontrollkategorien eingeteilt. Wichtig ist, festzustellen, welcher Anwenderkreis Zugriff auf und Zutritt zu den entsprechenden Daten hat. Die Eingabe und Weiterverarbeitung müssen genauso regelmäßig kontrolliert werden, wie die Auftragsdatenverarbeitung. Die zweckmäßige Datenverarbeitung ist jederzeit sicherzustellen. In Sachen Sicherheit müssen die Datenverarbeitungssysteme im hohen Maße belastbar sein. Verfahren zur Wiederherstellung personenbezogener Daten nach einem Datenverlust sind zu garantieren. Die Datenverarbeitung hat verschlüsselt und unter Anwendung von Pseudonymen zu erfolgen. Die Integrität der verarbeitenden Stelle und die vertrauliche Behandlung der verarbeiteten personenbezogenen Daten müssen jederzeit gewährleistet sein.

Unternehmen, die ein professionelle TOMs nachweisen können, sind auf der sicheren Seite. Sind die technisch-organisatorischen Maßnahmen mangelhaft oder werden sie im Unternehmen nicht eingehalten, können Bußgelder drohen.

Einteilung der technischen und organisatorischen Maßnahmen:

Zutrittskontrolle

Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird.

Zugangskontrolle

Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird.

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind.

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Tags
  • DSGVO
  • Datenschutz
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649