Technische & organisatorische Maßnahmen (TOM): Datenschutz nach DSGVO

• Technische und organisatorische Maßnahmen (TOM) sind gemäß Art. 32 DSGVO verpflichtend, um personenbezogene Daten sicher zu verarbeiten und Datenschutzverletzungen zu vermeiden.
• TOMs müssen individuell auf die Unternehmensgröße und -art sowie auf den Umfang der verarbeiteten Daten abgestimmt sein, wobei technische Maßnahmen physischen und digitalen Schutz umfassen und organisatorische Maßnahmen Richtlinien und Verfahren beinhalten.
  
• Beispiele für TOMs sind Pseudonymisierung, Verschlüsselung, sichere VPNs, Datenträgervernichtung sowie Schulungen und Zutrittskontrollen, die die Einhaltung der Datenschutzprinzipien unterstützen.
  
• Die Implementierung technischer und organisatorischer Maßnahmen erfordert eine sorgfältige Analyse der Verarbeitungstätigkeiten, die Beachtung der Rechtsgrundlage sowie eine Risikobewertung, um ein angemessenes Schutzniveau zu garantieren und Bußgelder zu vermeiden.
  
• In diesem Artikel erfahren Sie, wie Sie TOMs effektiv in Ihrem Unternehmen umsetzen können, um den Datenschutz zu stärken und die Einhaltung der DSGVO zu gewährleisten.
  

TOM: Datenschutz nach der DSGVO

Obwohl die Datenschutzgrundverordnung (DSGVO/DS-GVO) seit 2018 in Kraft ist, gibt es noch kaum Standards für die Umsetzung der einzelnen Anforderungen. Die meisten für die Datenverarbeitung verantwortlichen Personen (Datenschutzbeauftragte) wissen deshalb nicht genau, wie sie den Datenschutz einhalten oder umsetzen können.

Die Europäische Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz (BDSG) beschreiben allerdings in der Tat eine ganze Reihe von Maßnahmen, mit denen die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleistet werden soll. Diese technisch organisatorischen Maßnahmen (TOM) sind in Art. 32 DSGVO definiert.

Hier treffen jedoch zahlreiche Anforderungen aus den Bereichen Datenschutz und Datensicherheit sowie aus der DSGVO und dem BDSG zusammen. Dies ist für viele Datenschutzbeauftragte und Verantwortliche eher undurchsichtig und erschwert die Einhaltung der Datensicherheit bei der Verabeitung personenbezogener Daten.

Aus diesem Grund geben wir Ihnen in diesem Artikel einen detaillierten Überblick über das Thema für Ihr Unternehmen und zeigen Ihnen, wie Verantwortliche mit Hilfe von technischen und organisatorischen Maßnahmen die Sicherheit der Verarbeitung personenbezogener Daten und den Datenschutz für ihre Kunden gewährleisten können.

Welche Maßnahmen zum Schutz von Daten gibt es? - Bewährte Praktiken zur Sicherstellung des Datenschutzes

Die Ausarbeitung von Datenschutz-Richtlinien kann durchaus eine Herausforderung sein. Die folgenden Best Practices können Ihnen dabei helfen, sicherzustellen, dass die von Ihnen erstellten organisatorischen Maßnahmen und Lösungen im Bereich IT-Sicherheit/Informationssicherheit so effektiv wie möglich sind:

• Praktizieren Sie minimale Datenerfassung

Stellen Sie sicher, dass nur notwendige Daten erhoben werden. Wenn Sie mehr Daten als nötig speichern, erhöhen Sie Ihre Haftung. Wenn Sie Ihre Datenerfassung auf ein Minimum beschränken, können Sie beispielsweise auch Speicherplatz sparen. Eine Möglichkeit, dies zu erreichen, ist die Verwendung von “Verify not Store”-Frameworks. Diese Systeme verwenden die Daten Dritter, um Benutzer zu verifizieren, und machen es überflüssig, Benutzerdaten zu speichern oder an Ihre Systeme zu übermitteln.

• Beziehen Sie Ihre Nutzer mit ein

Viele Nutzer sind sich der Datenschutzbedenken bewusst und schätzen Transparenz, wenn es darum geht, wie Sie Daten verwenden und speichern. Aus diesem Grund hat die Datenschutzgrundverordnung die Zustimmung der Nutzer zu einem zentralen Aspekt der Datennutzung und -erfassung gemacht. So sollten Sie beispielsweise eindeutige Benutzerbenachrichtigungen bereitstellen, aus denen hervorgeht, wann und warum Daten gesammelt werden. Außerdem sollten Sie den Nutzern die Möglichkeit geben, die Datenerfassung zu ändern oder abzulehnen.

• Inventarisieren Sie Ihre Daten

Zur Gewährleistung des Datenschutzes gehört auch, dass Sie wissen, welche Daten Sie haben, wie sie behandelt werden und wo sie gespeichert sind. In Ihren Richtlinien sollte festgelegt werden, wie diese Informationen gesammelt und verarbeitet werden. Sie müssen zum Beispiel angeben, wie oft nach Daten gesucht wird und wie sie klassifiziert werden, sobald sie gefunden sind. Die Richtlinien sollten auch Verfahren zur regelmäßigen Überprüfung der Datenschutz-Maßnahmen enthalten, um sicherzustellen, dass sämtliche Lösungen korrekt angewendet werden.

Was versteht man unter technische und organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen sind Funktionen, Prozesse, Systeme und Verfahren, die Unternehmen umsetzen können, um die sichere Verarbeitung und Speicherung personenbezogener Daten zu fördern, Datenschutz-Verletzungen zu verhindern und die Einhaltung der einschlägigen Datenschutz-Verpflichtungen zu erleichtern. (Art. 32 DSGVO)

Die von einem Unternehmen ergriffenen und umgesetzten Maßnahmen (“TOMs”) stehen in direktem Zusammenhang mit seiner Größe, seinem Tätigkeitsbereich und seinen Aktivitäten und müssen natürlich der Art und dem Umfang der verarbeiteten personenbezogenen Daten Rechnung tragen.

Der Umfang und die Bandbreite der technischen und organisatorischen Maßnahmen in der Datenschutz-Grundverordnung sind breit gefächert und reichen von Bewertungskontrollen wie Schwachstellen-Scans und Risikomanagement bis hin zu Firewalls, der Durchsetzung starker Passwörter und der Sorgfaltspflicht gegenüber Dritten.

Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?

• Zu den technischen Maßnahmen gehört jeder Schutz der Datenverarbeitung, der durch physische Maßnahmen oder in Soft- und Hardware realisiert werden kann.
• Organisatorische Maßnahmen umfassen Vorkehrungen, die die Umsetzung von Handlungsanweisungen sowie Richtlinien und Verfahren für Mitarbeiter beinhalten, um die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten. (Art. 32 DSGVO)

Was sind Beispiele für technische und organisatorische Maßnahmen?

Technische Maßnahmen:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Nutzung einer Firewall zur Minimierung des Risikos
• Installation von Alarmanlagen

Organisatorische Maßnahmen:

• Mitarbeiterschulung zum Thema Datenschutz durch Experten
• Zutrittskontrolle und Registrierung von Besuchern durch geschulte Verantwortliche
• Datenschutz-konforme Entsorgung von Dokumenten mit personenbezogenen Daten

Zudem gibt es bei den organisatorischen Maßnahmen beispielsweise das sogenannte “Vier-Augen-Prinzip” für bestimmte Prozesse, Aufgaben oder Entscheidungen. In gewissen Bereichen dürfen diese (z. B. wenn es um bestimmte Schutzmaßnahmen geht) nur von mindestens zwei verantwortlichen Experten getroffen werden.

Der Begriff “technisch organisatorische Maßnahmen” kann in bestimmten Rechtsordnungen zudem mit spezifischen Verpflichtungen verbunden sein. Die Allgemeine Datenschutzverordnung (DSGVO) verlangt beispielsweise von den für die Verarbeitung Verantwortlichen, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Einhaltung der Grundsätze (Art. 25 DSGVO) und eines Sicherheitsniveaus zu gewährleisten, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen ist.

Unter Berücksichtigung der folgenden Punkte:

• Dem Stand der Technik
• Den Kosten für die Durchführung der Maßnahmen
• Art, Umfang, Kontext und Zweck der Verarbeitung (Art. 32 DSGVO)

Wann braucht man geeignete technische und organisatorische Maßnahmen?

Wenn Sie als Unternehmen besonders sensible und personenbezogene Daten verarbeiten, erheben oder speichern, sind Sie verpflichtet, technisch organisatorische Maßnahmen (TOM) zu treffen.

Alle Datenschutzmaßnahmen müssen genau dokumentiert werden, damit im Falle eines Schadens die getroffenen Vorkehrungen eindeutig nachgewiesen werden können. Wenn die Maßnahmen sorgfältig dokumentiert und umgesetzt werden, schützt dies Ihr Unternehmen unter anderem vor Bußgeldern und Imageverlusten. Darüber hinaus werden sensible Unternehmensdaten, Informationen und Geschäftsgeheimnisse gewahrt.

Kommt es zu Versäumnissen und Verstößen im Rahmen technischer und organisatorischer Maßnahmen, kann dies zu empfindlichen Bußgeldern führen. In diesem Bereich können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Allerdings erschweren einige unbestimmte Rechtsbegriffe, die die Verordnung als Maßstab vorgibt, die Umsetzung, wie zum Beispiel die allgemeine Forderung, den “Stand der Technik” einzuhalten.

Wie können technisch organisatorische Maßnahmen DSGVO-konform umgesetzt werden?

In nur wenigen Schritten können Sie als Unternehmen mit Hilfe von TOM ein hohes Schutzniveau im Bereich der IT-Sicherheit gewährleisten:

1. Zutrittskontrolle

Der physische Zugang zu Datenverarbeitungsanlagen, wie z. B. einem Serverraum, muss durch eine Zutrittskontrolle verhindert werden. Darunter versteht man alle Maßnahmen, die verhindern, dass sich Unbefugte Zugang zu Räumlichkeiten verschaffen, in denen sich Datenverarbeitungssysteme befinden.

Beispiele für technische Maßnahmen:

• Sicherheitsverglasung
• Bewegungsmelder und Lichtschranken
• Sicherheitsschlösser
• Schließanlagen mit Codeschlössern
• Datenschutzkonforme Videoüberwachung
• Kein unbefugter Zutritt zu Datenverarbeitungsanlagen

Organisatorische Maßnahmen:

• Besucherregistrierung
• Ausweispflicht für Mitarbeiter und Gäste
• Empfangspersonal zur Personenkontrolle

2. Zugangskontrolle

Auch der digitale Zugriff Dritter auf Datenverarbeitungsanlagen muss verhindert werden. Ziel ist es, die unbefugte Nutzung von Datenverarbeitungsanlagen (z. B. Computersystemen) zu verhindern.

Beispiele für technische Maßnahmen:

• Sichere VPN-Verbindung
• Verschlüsselung von Datenträgern und mobilen Geräten
• Chipkarten
• Anti-Viren-Software
• Authentifizierung über Passworteingabe/biometrische Scans

Beispiele für organisatorische Maßnahmen:

• Schlüsselregeln
• Vorgaben zur Passwortkomplexität
• Erstellung von Benutzerprofilen
  
  

3. Zugriffskontrolle

Strenge Berechtigungskonzepte stellen sicher, dass unbefugte Dritte keinen Schreib- oder Lesezugriff auf sensible Daten haben. Es muss auch ausgeschlossen sein, dass Daten unbefugt kopiert oder gelöscht werden können. Die Zugriffskontrolle soll also verhindern, dass jemand unbefugt personenbezogene Daten kopiert, liest, verändert oder entfernt.

Beispiele für technische Maßnahmen:

• Datenschutzkonforme Vernichtung von Datenträgern (z. B. Dateien)
• Verschlüsselung von Datenträgern und mobilen Geräten

Beispiele für organisatorische Maßnahmen:

• Anpassung der Anzahl der Administratoren, die Zugriffsberechtigung haben
• Datenvernichtung bei Dienstleistern
• Datenschutzkonforme Passwortregeln

4. Weitergabekontrolle

Unter Weitergabekontrolle versteht man Maßnahmen, die die Sicherheit personenbezogener Daten während einer Datenübermittlung gewährleisten. Datenübermittlung ist die elektronische Übermittlung, der Transport und die Speicherung von personenbezogenen Daten. In diesem Zusammenhang ist es auch wichtig, genau überprüfen zu können, wann und an welcher Stelle eine Übermittlung von personenbezogenen Daten stattgefunden hat oder geplant ist.

Beispiele für technische Maßnahmen:

• Sichere Transportbehälter
• Sichere VPN-Technologie
• E-Mail-Verschlüsselung

Beispiele für organisatorische Maßnahmen:

• Einsatz von vertrauenswürdigem Transportpersonal
• Regelmäßige Überprüfung der Abruf- und Übermittlungsprozesse
• Kontrolle der Datenempfänger und entsprechende Dokumentation dieser Empfänger

5. Eingabekontrolle

Hier geht es um die Nachvollziehbarkeit der Datenverarbeitung. Maßnahmen in diesem Bereich sollen die Kontrolle von Dateneingaben, Datenänderungen und Datenlöschungen sicherstellen. Es kann also genau überprüft werden, wer welche personenbezogenen Daten innerhalb der Datenverarbeitungssysteme eingegeben, verändert oder gelöscht hat.

Beispiele für technische Maßnahmen:

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Ein digitales Berechtigungskonzept

Beispiele für organisatorische Maßnahmen:

• Einrichtung und Verwendung von individuellen Benutzernamen
• Zuweisung von Zugriffsberechtigungen

6. Auftragskontrolle

Die Auftragskontrolle ist immer dann relevant, wenn eine Auftragsabwicklung stattfindet. Es muss sichergestellt werden, dass die Abwicklung nach den Vorgaben des Auftraggebers erfolgt. Hier sind die Maßnahmen meist auf der organisatorischen Ebene angesiedelt.

Beispiele:

• Sorgfältige Auswahl des Auftragnehmers
• Schriftliche Anweisungen an den Auftragnehmer
• Kontrolle des Auftragnehmers

7. Verfügbarkeitskontrolle

Bei der Verfügbarkeitskontrolle geht es darum, personenbezogene Daten vor Zerstörung oder Verlust zu schützen, damit sie im Falle einer Störung wiederhergestellt werden können.

Beispiele für technische Maßnahmen:

• Backups
• Anti-Diebstahl-Vorrichtungen
• Klimatisierung des Serverraums
• Unterbrechungsfreie Stromversorgung
• Brand- und Rauchdetektoren

Beispiele für organisatorische Maßnahmen:

• Alarmanlagen
• Absicherung des Serverraums gegen Risiken, z. B. durch Brände oder gefährlich platzierte sanitäre Anlagen
• Optimierter Backup-Erstellungszyklus

8. Trennungsgebot

Durch die Nutzung getrennter Systeme soll sichergestellt werden, dass die für unterschiedliche Zwecke erhobenen Daten nur für den Zweck verwendet werden, für den sie erhoben wurden.

Beispiele für technische Maßnahmen:

• Verschlüsselung von Datensätzen, die für denselben Zweck verarbeitet werden
• Eindeutige Trennung von Daten, die zu unterschiedlichen Zwecken gespeichert werden

Beispiele für organisatorische Maßnahmen:

• Mandantentrennung
• Berechtigungskonzepte

Wie ist die neue Struktur der technischen und organisatorischen Maßnahmen?

Neben der oben erwähnten klassischen Ausgestaltung der TOM (laut § 9 BDSG) gibt es auch einen neueren Ansatz zur Umsetzung, Sicherung und Einhaltung der Datenschutzgrundsätze:

1. Vertraulichkeit

• Maßnahmen der Zutrittskontrolle
• Maßnahmen der Zugangskontrolle
• Maßnahmen der Zugriffskontrolle
• Maßnahmen der Trennungskontrolle
• Maßnahmen der Pseudonymisierung

2. Integrität

• Maßnahmen der Weitergabekontrolle
• Maßnahmen der Eingabekontrolle

3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

• Datenschutz-Management
• Incident-Response-Management
• Auftragskontrolle

4. Verfügbarkeit und Belastbarkeit

• Verfügbarkeitskontrolle

5. Datenschutzfreundliche Voreinstellungen

• Privacy by design / Privacy by default

Was ist ein angemessenes Schutzniveau für mein Unternehmen?

Unternehmen haben einen gewissen Spielraum bei der Auswahl und Zusammenstellung von Maßnahmen zum Datenschutz. Doch wie schaffen Sie es, die für Sie persönlich richtigen Maßnahmen zusammenzustellen, um die notwendige Datensicherheit bei der Verarbeitung personenbezogener Daten herzustellen?

Zum Beispiel verlangt Art. 32 DSGVO , dass die auszuwählenden Maßnahmen ein “dem Risiko angemessenes Schutz-Niveau” gewährleisten müssen. Dementsprechend müssen Unternehmen mit den Maßnahmen ein Schutzniveau für die personenbezogenen Daten schaffen, das die Risiken der für die betroffene Person durchgeführten Datenverarbeitungen abmildert.

Zu diesem Zweck muss eine Risikoanalyse durchgeführt werden. Bei der Analyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der möglichen Schwere des Schadens für die Rechte und Freiheiten der betroffenen Person berücksichtigen:

Technische und organisatorische Maßnahmen: Tipps zu Umsetzung

Für jedes Unternehmen gibt es geeignete und konkrete Schritte zur Auswahl und Umsetzung geeigneter Sicherheitsmaßnahmen und zur Minimierung des Risikos:

• Stellen Sie Ihre bisherigen Verarbeitungstätigkeiten dar: Welche Daten werden wann, von wem, zu welchem Zweck verarbeitet? Welche Systeme werden dabei eingesetzt?
• Überprüfen Sie die Rechtsgrundlage: Sind die Erhebung und Verarbeitung der Daten rechtmäßig? Werden die Daten für einen bestimmten Zweck erhoben und stehen sie im Einklang mit den Grundsätzen der Datenverarbeitung?
• Bestimmen Sie die zu sichernden Unternehmensprozesse: Welche Dienste, Systeme, Räume und Daten müssen geschützt werden? Wie stehen diese in Beziehung zueinander?
• Analysieren Sie die potenziellen Risiken: Besteht die Gefahr, dass unklare Zuständigkeiten innerhalb des Unternehmens oder technisches Versagen die Sicherheit personenbezogener Daten gefährden?
• Wählen Sie technische und organisatorische Maßnahmen: Welche Risiken sollten Sie zuerst angehen? Welche konkreten Maßnahmen kommen nach dem aktuellen Stand der Technik in Frage, um diese Risiken zu minimieren?
• Bündeln Sie Ihre Maßnahmen: Ist eine Kombination verschiedener Maßnahmen notwendig oder reichen einzelne aus? Sind die Maßnahmen im Verhältnis zu den individuellen Gegebenheiten in Ihrem Unternehmen angemessen?
• Setzen Sie die entsprechenden Maßnahmen um: Wer übernimmt den Auftrag und die Verantwortung für die Umsetzung? Führt die Implementierung im Unternehmen zu dem gewünschten Ergebnis in Bezug auf den Datenschutz? 

Häufige Fragen über technische und organisatorische Maßnahmen  (TOM)

Was sind technisch organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen (TOM) sind eine Reihe von Vorschriften, um den Schutz und die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Eine professionelle Datenschutz-Dokumentation ist für den für die Datenverarbeitung Verantwortlichen verpflichtend.

Welche technischen und organisatorischen Maßnahmen sind im Art. 32 der DS-GVO beschrieben?

• Pseudonymisierung und Verschlüsselung von personenbezogenen Daten müssen vorhanden sein.
• Die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten im Zusammenhang mit der Verarbeitung muss ständig gewährleistet sein.
• Die Verfügbarkeit von und der Zugang zu personenbezogenen Daten im Falle von einem physischen oder technischen Zwischenfall muss schnell wiederhergestellt werden können.
• Es muss ein Verfahren vorhanden sein, um die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig einer Überprüfung, Bewertung und Evaluierung zu unterziehen.

Sind technische und organisatorische Maßnahmen für Unternehmen verpflichtend?

Datenschutz hat höchste Priorität: Technisch organisatorische Maßnahmen (TOM oder TOMs) müssen von allen Unternehmen angewendet werden, die personenbezogene Daten erheben, verarbeiten oder speichern. Die Größe oder Branche des Unternehmens ist dabei unerheblich.