Cortina Consult Logo
Cortina Consult
Technisch Organisatorische Maßnahmen

Technisch organisatorische Maßnahmen (kurz: TOM)

Technische und organisatorische Maßnahmen gewährleisten Datenschutz und Datensicherheit. Sie sind daher Pflicht für jedes verantwortungsvolle Unternehmen und Bestandteil einer professionellen Datenschutzberatung.

Pauschalpakete
Datenschutz
In Kürze

Der Nachweis der technischen und organisatorischen Maßnahmen (TOM) ist ein zentraler Pflichtbestandteil der Dokumentation nach DSGVO.

Gemäß Art. 32 DSGVO dienen technische und organisatorische Maßnahmen dazu, den Schutz personenbezogener Daten bei der Verarbeitung durch einen Verantwortlichen zu gewährleisten und haben zum Ziel, diesen Schutz bestmöglich sicherzustellen.

Inhalt dieser Seite

Was sind technische und organisatorische Maßnahmen (TOM) nach DSGVO?

Play Video about TOM

Technische und organisatorische Maßnahmen (TOM) sind für den Schutz personenbezogener Daten und die Einhaltung der DSGVO unerlässlich. Sie umfassen alle Vorkehrungen, die ein Unternehmen trifft, um die Sicherheit und Vertraulichkeit von Daten zu gewährleisten. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch ein Zeichen verantwortungsvoller Unternehmensführung.

Je nach Verarbeitungsprozess und Automatisierungsgrad sind dabei die Anteile von Technik und Mensch unterschiedlich verteilt, aber alle Verarbeitungsprozesse, die technische Systeme – auch automatisiert – ausführen, gehen auf menschliche Eingaben und Abfragen zurück.

Der Katalog der technischen und organisatorischen Maßnahmen dokumentiert daher beide Aspekte in Kombination. Denn die beste Backupstruktur hilft nicht weiter, wenn die Datensicherungen nur monatlich angestoßen werden, und auch eine preisgekrönte Firewall kann leicht überwunden werden, wenn das Passwort firmenweit bekannt ist.

Artikel 24 DSGVO besagt, dass der Datenschutzverantwortliche für jeden Verarbeitungsprozess festlegen muss, welche Daten für den jeweiligen Verwendungszweck erhoben werden müssen und wie sie durch technische und organisatorische Maßnahmen optimal geschützt werden können.

Dafür muss er „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt“.

TOM

Welche Zwecke erfüllen TOM?

Die ausgewählten technischen und organisatorischen Maßnahmen müssen nach Artikel 32 Absatz 1b DSGVO geeignet sein, die folgenden vier Schutzziele sicherzustellen:

  • Vertraulichkeit: Personenbezogene Daten sind für Unbefugte nicht zugänglich und werden nur Befugten verfügbar gemacht.
  • Integrität: Es werden Maßnahmen zum Schutz vor Verfälschung von Daten ergriffen, wie etwa die Weitergabe- oder Eingabekontrolle.
  • Verfügbarkeit von Systemen: Die Maßnahmen müssen sicherstellen, dass informationstechnische Systeme stets gemäß ihrem Zweck und Funktionsumfang genutzt werden können. Darunter fällt etwa der Schutz der personenbezogenen Daten gegen zufällige Zerstörung oder Verlust durch Virenschutz, unterbrechungsfreie und Notstromversorgung, Brandschutzmaßnahmen oder Datensicherungen, IT-Notfallpläne
  • Belastbarkeit der Systeme und Dienste: Maßnahmen zur Ausfallkontrolle von Systemen bei hoher Nutzlast und der Abwehr von Überlastungsangriffen (DOS, Cyberangriffe) durch skalierende und Schutzsysteme.

Grundlagen der TOM nach DSGVO

Der Artikel 32 der DSGVO legt fest, in welcher Form personenbezogene Daten verarbeitet werden und stellt dabei spezifische Anforderungen an die Sicherheit dieser Verarbeitung. Da die TOM Ihre Gewährleistung der Einhaltung dieser Vorgaben darstellen, sind die folgenden Aspekte bei deren Umsetzung zu beachten:

Art der Datenverarbeitung

Die Maßnahmen sollten sich immer nach den Risiken richten, die bei der Verarbeitung von Daten entstehen können. Dabei ist es wichtig, darauf zu achten, welche Daten verarbeitet werden, welche Prozesse dahinterstecken und welche Technik eingesetzt wird. Wenn zum Beispiel besonders sensible Daten wie Gesundheitsdaten verarbeitet werden, muss man mehr auf Sicherheit achten als bei weniger sensiblen Daten.

Umfang und Zweck der Verarbeitung

Der Umfang der Datenverarbeitung hängt davon ab, wie viele Daten verarbeitet werden und wie viele Personen davon betroffen sind. Auch der Zweck spielt eine Rolle, denn je nachdem, was mit den Daten passiert, sind unterschiedliche Risiken und Schutzmaßnahmen nötig.

Pseudonymisierung & Verschlüsslung

Artikel 32 erwähnt ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten als mögliche technische Maßnahmen. Pseudonymisierung bedeutet, dass Daten so verarbeitet werden, dass sie nicht mehr einer bestimmten Person zugeordnet werden können, auch wenn noch zusätzliche Infos dazu vorliegen. Verschlüsselung heißt, Daten so umzuwandeln, dass man sie nicht mehr lesen kann. Nur mit einem speziellen Schlüssel können sie wieder lesbar gemacht werden.

Vertraulichkeit, Integrität und Verfügbarkeit

Die Maßnahmen müssen dafür sorgen, dass persönliche Daten sicher sind und nicht ohne Erlaubnis geändert werden. Außerdem muss gewährleistet sein, dass die Daten auf Anfrage zur Verfügung gestellt werden. Dazu gehören zum Beispiel Zugangskontrollen, Prüfungen, ob Daten korrekt sind, und Notfallpläne, damit Daten nach einem Vorfall wiederhergestellt werden können.

Regelmäßige Überprüfung & Aktualisierung

Die TOM müssen regelmäßig überprüft und aktualisiert werden, damit Sie auf neue Bedrohungen und Entwicklungen reagieren können. Das heißt, Sie müssen regelmäßig überprüfen, ob alles noch so sicher ist, wie es sein sollte. Außerdem müssen Sie Ihre Maßnahmen anpassen, wenn sich etwas ändert, zum Beispiel, wenn es neue Technologien gibt oder sich die Risikolandschaft verändert.

Verantwortlichkeiten

Es ist wichtig, dass jeder Verantwortliche weiß, was er zu tun hat und wer für was zuständig ist. Das heißt, es muss jemand benannt werden, der sich um den Datenschutz kümmert. Der Datenschutzbeauftragte (DSB) überwacht dann, ob die DSGVO eingehalten wird und berät die Geschäftsführung und die Mitarbeiter.

Verhältnismäßigkeit der technisch-organisatorischen Maßnahmen

Das Verhältnismäßigkeitsprinzip ist in Artikel 32 DSGVO festgelegt und begrenzt die Vorgaben für TOMs. Dieser Artikel besagt, dass bei der Umsetzung die damit verbundenen Kosten (Implementierungskosten) berücksichtigt werden sollten. Damit spielt die wirtschaftliche Verhältnismäßigkeit eine wichtige Rolle. 

So sollten kleinere Unternehmen beispielsweise nicht die selben Maßnahmen in demselben Umfang, wie große Konzerne umsetzen, da damit die Verhältnismäßigkeit nicht gegeben ist. 

Was sind technische Maßnahmen?

Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne den Zugang zu Flächen und Gebäuden sowie zu Hard- und Software regeln sowie die Verfügbarkeit der Systeme und Netzwerke sicherstellen. Technische Maßnahmen beziehen sich dabei auf physische und digitale Vorkehrungen, die den Zugriff auf Daten schützen und deren Integrität sicherstellen. Hierzu zählen:

  • Verschlüsselung: Es ist wichtig, dass Daten sowohl während der Übertragung als auch im Ruhezustand verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.
  • Firewalls und Anti-Malware: Diese Systeme verhindern unberechtigten Zugriff und schützen vor Schadsoftware.
  • Zutrittskontrolle: Damit niemand Unbefugtes Zugang zu Serverräumen und anderen sensiblen Bereichen bekommt, gibt es physische Sicherheitsvorkehrungen wie Schlösser und Zugangsbeschränkungen.

Was sind organisatorische Maßnahmen?

Organisatorische Maßnahmen betreffen den Ablauf der Datenverarbeitung und die durchführenden Personen. Sie sind dementsprechend alle nicht-technischen Maßnahmen mit denen die Datensicherheit erreicht werden soll, also Handlungsanweisungen, Verfahrens- und Vorgehensweisen. 

  • Datenschutzmanagement: Wenn Sie klare Datenschutzrichtlinien und -verfahren einführen, können Sie den Umgang mit personenbezogenen Daten besser standardisieren und sichern.
  • Schulungen: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter stellen sicher, dass alle im Unternehmen die Bedeutung des Datenschutzes verstehen und entsprechende Maßnahmen umsetzen.
  • Zugangskontrollen: Nur Personen, die dazu befugt sind, sollten Zugang zu vertraulichen Daten erhalten. Das lässt sich am besten mit Rollen- und Rechtekonzepten sowie mit dem Einsatz von Authentifizierungssystemen regeln.

TOM – Schutzmaßnahmen

Der Katalog §64 Abs. 3 S.1 BDSG-neu kann als Orientierungshilfe für die Einrichtung von TOM dienen, da hier noch einige Beispiele neben den einzelnen TOM zu finden sind. 

Zutrittskontrolle als technisch organisatorische Maßnahme

Die Zutrittskontrolle umfasst jegliche Maßnahmen, die unbefugte Personen den Zutritt zu Geländen, Gebäuden oder Räumlichkeiten, in denen sich Datenverarbeitungsanlagen befinden und die personenbezogene Daten verarbeiten, verbieten.

Beispiele für technische Maßnahmen der Zutrittskontrolle

  • Alarmanlagen
  • Zäune, Pforten und andere räumliche Begrenzungen
  • Sicherheitsverglasung
  • Sicherung von Gebäudeschächten, Fenstern und Türen
  • Sicherheitsschlösser
  • Bewegungsmelder und Lichtschranken
  • Schließsysteme mit Codesperren
  • Chipkarten für verschlossene Bereiche
  • Zugangssperren, die mit biometrischen Merkmalen abgesichert sind
  • Datenschutzkonforme Videoüberwachung

Beispiele für organisatorische Maßnahmen der Zutrittskontrolle

  • Besucheranmeldung
  • Besucherbücher und Besucherprotokolle
  • Verpflichtung für Mitarbeiter und Gäste, Ausweise zu tragen
  • Empfangspersonal zur Personenkontrolle und Pförtner

Zugangskontrolle als technisch organisatorische Maßnahme

Mit der Zugangskontrolle sollen Unbefugte daran gehindert werden, Datenverarbeitungsanlagen zu nutzen

Beispiele für technische Maßnahmen der Zugangskontrolle

  • Sichere VPN-Verbindung
  • Verschlüsselung von Datenträgern und mobilen Endgeräten
  • Sichere Firewall
  • Chipkarten
  • Anti-Viren-Software
  • Sperrung von USB-Anschlüssen und anderen externen Schnittstellen
  • Verriegelung von Gerätegehäusen
  • Authentifikation mittels Passworteingabe oder biometrischer Scans
  • Sicherheitsschlösser

Beispiele für organisatorische Maßnahmen der Zugangskontrolle

  • Schlüsselregelungen
  • Passwortregeln inkl. Vorgaben für die Komplexität des Passwortes
  • Vertrauenswürdiges Personal für die Bereiche Sicherheit und Reinigung
  • Generierung von Benutzerprofilen

Zugriffskontrolle als technisch organisatorische Maßnahme:

Die Zugriffskontrolle soll gewährleisten, dass Datenverarbeitungssysteme nur in dem Rahmen genutzt werden, wie es die jeweilige Zugriffsberechtigung der Nutzer erlaubt. 

Beispiele für technische Maßnahmen der Zugriffskontrolle

  • Protokollierung der Zugriffe auf Anwendungen und Prozesse wie z.B. der Datenvernichtung
  • Datenschutzkonforme Vernichtung von Datenträgern (Akten, Laufwerke etc.)
  • Verschlüsselung von Datenträgern und mobilen Endgeräten

Beispiele für organisatorische Maßnahmen der Zugriffskontrolle

  • Passwortregeln
  • Berechtigungskonzepte
  • Anpassung der Anzahl an Administratoren, die die volle Zugriffsberechtigung haben
  • Datenvernichtung durch Dienstleister
  • Datenschutzkonforme Passwortregeln

Weitergabekontrolle als technisch organisatorische Maßnahme

Die Weitergabekontrolle umfasst Maßnahmen, die die Sicherheit von personenbezogenen Daten während einer Datenweitergabe sicherstellen. Datenweitergabe kann hier eine elektronische Übertragung sowie Transport und Speicherung von personenbezogenen Daten bedeuten. Ziel ist es, die unbefugte Verarbeitung dieser Daten während der Weitergabe zu verhindern

Beispiele für technische Maßnahmen der Weitergabekontrolle

  • gesicherte Transportbehälter
  • sichere VPN-Technologie
  • E-Mail-Verschlüsselung

Beispiele für organisatorische Maßnahmen der Weitergabekontrolle

  • Einsatz von vertrauenswürdigem Transportpersonal
  • Regelmäßige Überprüfung von Abruf- und Übermittlungsvorgängen
  • Anfertigung eines Verfahrensverzeichnisses
  • Kontrolle der Datenempfänger und entsprechende Dokumentation dieser Empfänger

Eingabekontrolle als technisch organisatorische Maßnahme:

Mit der Eingabekontrolle soll die Überprüfbarkeit der Datenverarbeitung garantiert sowie die Dateneingabe, Datenveränderung und Datenlöschung gewährleistet werden.

Beispiele für technische Maßnahmen der Eingabekontrolle

  • Anfertigung eines Protokolls bezüglich der Eingabe, Veränderung und Löschung von Daten
  • Digitales Berechtigungskonzept (z.B. Active Directory)

Beispiele für organisatorische Maßnahmen der Eingabekontrolle

  • Einrichtung und Verwendung von individuellen Benutzernamen
  • Vergabe von Zugriffsberechtigungen

Auftragskontrolle als technisch organisatorische Maßnahme

Sofern eine Auftragsverarbeitung (AV) stattfindet, sollte die Auftragskontrolle als TOM eingerichtet werden. Sie gewährleistet, dass die Verarbeitung nach Weisung des Auftraggebers erfolgt. Die Auftragskontrolle umfasst dabei i.d.R. organisatorische Maßnahmen. 

Beispiele für organisatorische Maßnahmen der Auftragskontrolle

  • Sorgfältige Auswahl des Auftragnehmers
  • Überprüfung der Datenvernichtung nach Auftragsende
  • Vertragsstrafen
  • Schriftliche Weisungen an den Auftragnehmer
  • Vereinbarung von wirksamen Kontrollrechten bezüglich des Auftragnehmers
  • Dauerhafte Überprüfung des Auftragnehmers

Verfügbarkeits- & Wiederherstellbarkeit als technisch organisatorische Maßnahme

Die Verfügbarkeitskontrolle und die Wiederherstellbarkeit dienen dazu, personenbezogene Daten gegen Zerstörung und Verlust zu schützen sowie im Fall einer Störung wiederherzustellen.

Beispiele für technische Maßnahmen der Verfügbarkeits- & Wiederherstellbarkeit

  • Backups
  • Diebstahlsicherung
  • Klimatisierung des Serverraums durch eine Klimaanlage
  • USV (Unterbrechungsfreie Stromversorgung)
  • Feuer- und Rauchmelder
  • Feuerlöscher
  • Datenschutz-Management-System
  • Notfall-Management

Beispiele für organisatorische Maßnahmen der Verfügbarkeits- & Wiederherstellbarkeit

  • Alarmanlagen
  • Schutz des Serverraums vor Risiken, z.B. durch Hochwasser, Brände oder gefährlich platzierte Sanitäranlagen
  • Erstellung von Backups der Daten
  • Optimer Zyklus der Backups-Anfertigung
  • Tests für Datenwiederherstellungen

Trennungskontrolle als technisch organisatorische Maßnahme:

Die Trennungskontrolle soll sicherstellen, dass im Fall der Verarbeitung personenbezogener Daten zu unterschiedlichen Zwecken, diese Verarbeitung getrennt stattfindet

Beispiele für technische Maßnahmen der Trennungskontrolle

  • Verschlüsselung von Datensätzen, die aus demselben Zweck verarbeitet werden
  • Klare Trennung der für verschiedene Zwecke gespeicherten Daten

Beispiele für organisatorische Maßnahmen der Trennungskontrolle

  • Mandantentrennung
  • Auf die jeweiligen Datensätze angepasste Datenbankrechte und Berechtigungskonzepte

Beispiel für TOM nach DSGVO

Angenommen, in Ihrem Unternehmen werden personenbezogene Daten verarbeitet und für einen bestimmten Verarbeitungszweck auf einer bestimmten Festplatte gespeichert.

Es besteht das Risiko eines Datenverlusts, wenn diese Festplatte defekt ist – hier wäre die TOM, ein Backup-System zu installieren und regelmäßig Backups durchzuführen, das bei einem Ausfall die dann defekte Festplatte automatisch und reibungslos mit dem gleichen Datenbestand ersetzt.

Es besteht aber auch das Risiko, dass durch Fehler in der Datenablage, unsichere Passwörter oder ein „Hacking“ der Zugangsdaten unbefugte Dritte Zugriff auf die Datenbestände erhalten. TOM wären hier zum einen die Beschränkung des Datenzugriffs auf bestimmte, dokumentierte Personen, die detaillierte Festlegung der Datenablage und der Passwortstärke (organisatorisch) und zum anderen die Einrichtung einer Zugriffssperre gegen unbefugten Datenabgriff durch Hacking, z.B. eine komplexe Firewall (technisch).

Die technischen Systeme, aber auch die organisatorischen Strukturen im Zusammenhang mit der Datenverarbeitung müssen stets auf dem aktuellen Stand der Technik gehalten werden. Auch die TOMs müssen immer aktuell sein und den Ist-Zustand im Unternehmen abbilden, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.

Wie wähle ich geeignete TOM aus?

Der erste Schritt ist eine gründliche Analyse aller Verarbeitungsprozesse personenbezogener Daten im Unternehmen sowie der damit verbundenen Risiken, die durch menschliche Fehler, technische Unzulänglichkeiten oder Angriffe von außen bei der Speicherung und Verarbeitung eintreten könnten (Risikoanalyse).

Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen betrachten. Je größer oder gefährlicher ein Risiko, desto intensivere Schutzmaßnahmen müssen getroffen werden.

Um technische und organisatorische Maßnahmen für einen Datenverarbeitungsprozess zu erarbeiten oder zu analysieren, empfiehlt die Landesbeauftragte für den Datenschutz Niedersachsen die folgenden acht Schritte:

Beschreiben Sie die Verarbeitungstätigkeit

Schildern Sie detailliert, welche Daten die Verarbeitung betrifft, welche Zwecke mit der Verarbeitung verfolgt werden und wie die Verarbeitung durch wen abläuft. Welche Systeme kommen dabei zum Einsatz?

Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig und zweckdienlich? Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und dass die Grundsätze der DSGVO eingehalten werden.

Führen Sie eine Strukturanalyse durch

Ermitteln und beschreiben Sie die zu schützenden Dienste, Systeme, Räume und Daten und ihre Beziehung zueinander. Hierzu gehören sowohl technische wie organisatorische Aspekte, insbesondere Gebäude/Räume sowie Personen.

Identifizieren Sie Risiken und schätzen Sie potenzielle Schäden ein

Wir prüfen die Websites im Hinblick auf mögliche Datenschutzverstöße, zum Beispiel durch nicht korrekt eingebundene Tracker, Content-Elemente oder Cookies.

Wählen Sie Schutzmaßnahmen aus

Suchen Sie nach geeigneten Maßnahmen, um die identifizierten Risiken zu minimieren.

Bewerten Sie das Restrisiko

Ermitteln Sie die Risikowahrscheinlichkeit und -schwere, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Lassen sich Risiken durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen, und wie schwerwiegend wäre dies? Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue/weitere Maßnahmen bestimmen oder den Verarbeitungsprozess anpassen.

Überprüfen Sie die Gesamtheit der Maßnahmen

Betrachten Sie die ausgewählten Maßnahmen in der geplanten Kombination. Sind bestimmte Maßnahmen vielleicht überflüssig, weil eine andere Maßnahme bereits ein besseres Schutzniveau bietet? Wird der Beitrag der Maßnahme zur Zielerreichung nicht klar, präzisieren Sie die Maßnahme.

Setzen Sie die Maßnahmen um

Verteilen Sie Aufgaben und Verantwortlichkeiten an die Beteiligten und priorisieren Sie ggf. Ihre Maßnahmen. Evaluieren Sie den Erfolg und steuern Sie ggf. nach, indem Sie den Prozess erneut durchlaufen.

Auch die Zugänglichkeit der Daten (Zugriff) und deren Speicherungsdauer muss so knapp wie möglich ausgestaltet werden. Insbesondere müssen die Personen, die auf die Daten Zugriff haben, abschließend aufgezählt werden und Vorkehrungen gegen eine Veröffentlichung geschützter Daten eingerichtet werden.

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Faktor für Einhaltung der technischen und organisatorischen Maßnahmen herangezogen werden.

Eine detaillierte Checkliste über die Vorüberlegungen und Aspekte zu den technischen und organisatorischen Maßnahmen finden sich in der folgenden Checkliste: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Dokumentation und Nachweis von TOM

Die DSGVO schreibt vor, dass Unternehmen nachweisen müssen, welche TOM sie umgesetzt haben. Sie müssen also dokumentieren, welche Maßnahmen ergriffen wurden, um die Sicherheit personenbezogener Daten zu gewährleisten. Dabei verlangt die DSGVO eine detaillierte Dokumentation, um zu belegen, dass die Vorschriften eingehalten werden. Außerdem muss im Falle von Überprüfungen oder Datenschutzverletzungen nachgewiesen werden, dass angemessene Maßnahmen ergriffen wurden. Eine gut geführte Dokumentation hilft zudem, interne Prozesse zu optimieren und Transparenz zu schaffen.

Die Dokumentation sollte so ausführlich wie möglich sein und folgende Punkte enthalten:

  • ausführliche Beschreibung der TOM
  • Ergebnisse der Risikoanalyse und DSFA
  • Zuordnung der Verantwortlichkeiten für die Umsetzung der Maßnahmen
  • Dokumentation der durchgeführten Schulungen und Sensibilisierungsmaßnahmen
  • Protokolle und Berichte über regelmäßige Überprüfungen, Audits und Sicherheitsvorfälle

Zur Unterstützung der Dokumentation gibt es verschiedene Softwarelösungen und Hilfsmittel. Datenschutzmanagementsysteme (DSMS) sind nützliche Tools, mit denen man Dokumente verwalten und archivieren kann. Darüber hinaus bietet ein solches System die Möglichkeit, alle weiteren Aspekte des Datenschutzes zu erfassen und zu managen. Damit sorgen Sie stets dafür, dass Ihre TOM auf jegliche Datenschutz-Aktivitäten Ihres Unternehmens abgestimmt sind. 

Die Dokumentation sollte immer auf dem neuesten Stand und für alle zugänglich sein. Das heißt, Sie müssen regelmäßig nachsehen, ob alles noch aktuell ist und ob alles so läuft, wie es soll. Dazu gehören zum Beispiel Sicherheitsrichtlinien, Prozessbeschreibungen, Auditberichte und Meldeformulare.

Einige bewährte Verfahren für eine effektive Dokumentation sind:

  • regelmäßige Updates der Dokumente
  • Verwendung eines zentralen Systems zur Speicherung und Verwaltung aller Dokumente
  • Sicherstellung der Zugänglichkeit und Verständlichkeit der Dokumentation für alle relevanten Mitarbeiter
  • Einbindung der Geschäftsleitung in den Dokumentationsprozess und die Unterstützung der Bedeutung der Dokumentation

Die Rolle des Datenschutzbeauftragten i.V.m. TOM

Der Datenschutzbeauftragte spielt eine entscheidende Rolle dabei, die DSGVO-Konformität sicherzustellen und TOM umzusetzen. Er überwacht, ob die Datenschutzvorschriften eingehalten werden, berät die Geschäftsführung und die Mitarbeiter und klärt sie durch Schulungen und Workshops über Datenschutz auf.

Er ist sozusagen der Datenschutz-Anwalt der Firma. Er überwacht, ob die internen Datenschutzrichtlinien und -verfahren eingehalten werden. Er sorgt dafür, dass Datenschutzverletzungen rechtzeitig erkannt und gemeldet werden. Außerdem hilft er dabei, Maßnahmen zu ergreifen, mit denen man den Schaden begrenzen und ähnliche Vorfälle in Zukunft vermeiden kann.

Unterstützung bei der Umsetzung der TOM

Der DSB hilft dem Unternehmen dabei, die technischen und organisatorischen Maßnahmen umzusetzen und zu überwachen. Er arbeitet eng mit den IT- und Sicherheitsteams zusammen, damit die technischen Schutzmaßnahmen wie Verschlüsselung, Firewalls und Zugangskontrollen effektiv implementiert und regelmäßig überprüft werden. Außerdem hilft der DSB dabei, organisatorische Maßnahmen wie Schulungen, Richtlinien und Verfahren zu entwickeln und umzusetzen, damit der Datenschutz gewährleistet ist.

Der externe Datenschutzbeauftragte

Für viele Unternehmen kann es von Vorteil sein, die umfangreiche Aufgabe des Datenschutzbeauftragten an extern zu delegieren. Damit kann das Unternehmen vom Know-How eines Datenschutz-Experten profitieren und sich vollends auf das Kerngeschäft konzentrieren, ohne eine Arbeitskraft zu verlieren. 

Wir von Cortina Consult bieten eben dieses Fachwissen und können Sie jederzeit bei allen Datenschutz-Belangen unterstützen.  

Externen DSB jetzt anfragen

Konsequenzen bei mangelnden TOM

Verstöße oder Versäumnisse bei den technischen und organisatorischen Maßnahmen können sehr teuer werden. Besonders wichtig ist die Risiko- und Folgenabschätzung und die Dokumentation der daraufhin getroffenen Präventionsmaßnahmen. Sind diese Aufzeichnungen bei einem Audit oder einer bekannt gewordenen Datenpanne nicht aktuell, nicht vollständig oder gar nicht vorhanden, drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des Bruttoumsatzes (je nachdem, welcher Betrag höher ist).

Verstöße an anderen Stellen der technischen und organisatorischen Maßnahmen können ein Bußgeld von bis zu 300.000 Euro nach sich ziehen. Der Datenschutzbeauftragte sollte sich regelmäßig fortbilden, um z.B. auf dem erforderlichen „Stand der Technik“ zu bleiben und entsprechende Anpassungen zeitnah vornehmen zu können.

Wenn Sie mit einem Auftragsverarbeiter zusammenarbeiten, lassen Sie sich dessen technische und organisatorische Maßnahmen vorlegen und prüfen Sie diese im Hinblick auf die Prozesse, die Ihr Unternehmen von diesem Dienstleister durchführen lässt.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
TOM nach DSGVO umsetzen lassen

Als externer Datenschutzbeauftragter erstellen und prüfen wir Ihre Technisch-Organisatorische-Maßnahmen.

TOM durch ext. DSB umsetzen

TOM Datenschutz FAQ

Technische und organisatorische Maßnahmen und deren Dokumentation bringen Ihrem Unternehmen eine höhere Reputation, gerade im Fall einer Datenpanne. Sie können damit nachweisen, dass Ihr Unternehmen alles unternommen hat, um den Schaden gering zu halten und die Ihnen anvertrauten Daten zu schützen.

Die Einhaltung der festgelegten Maßnahmen bringt Ihrem Unternehmen außerdem eigene Vorteile:

  • Sie schützen auch Geschäftsgeheimnisse und sensible Unternehmensdaten
  • Sie ermitteln Effizienzpotenziale bei den eigenen Geschäftsprozessen
  • Sie stärken die Integrität und Verfügbarkeit des gesamten Datenbestands, auch jenseits der personenbezogenen Daten
  • Sie verbessern die Belastbarkeit Ihrer IT-Infrastruktur und verringern das Risiko eines kostspieligen Systemausfalls.

Der Verantwortliche muss laut Artikel 25 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Datensparsamkeit).

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung der erhobenen personenbezogenen Daten, die Speicherfrist der erhobenen personenbezogenen Daten und die Zugänglichkeit der erhobenen personenbezogenen Daten.

Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen in der dafür vorgesehenen Weise verarbeiten.

Für die Festlegung, Einhaltung und Dokumentation der technischen und organisatorischen Maßnahmen ist der jeweilige Datenschutzverantwortliche zuständig. Die technischen und organisatorischen Maßnahmen müssen im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden.

Die externen Datenschutzbeauftragter der Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
Pauschalpakete
Externer Datenschutzbeauftragter
Kontakt
Cortina Consult
Hafenweg 24
48155 Münster
+49 251 95 20 37 - 40
post@cortina-consult.de
Über uns
Über Cortina
Karriere
Projekte & Referenzen
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB und AVV
Service
Bußgeldrechner
Meldung Datenschutzvorfall
DSGVO-Beschwerde Generator
Datenschutzerklärung Generator
Kostenloser Website-Check
DSGVO Gesetzestext
Newsletter
Unternehmensgruppe
Cookiebox Logo
©2024 Cortina Consult GmbH
Cortina Consult Symbol Weiss
Cortina Datenschutz Siegel
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
+49 251 95 20 37 - 40
jtb@cortina-consult.de
Unsere Lösungen
Cortina Consult Logo

Impressum | Datenschutz