Technisch Organisatorische Maßnahmen

Technisch organisatorische Maßnahmen (TOM)

Zwei Perspektiven, ein Ziel: Datenschutz und Datensicherheit

TOM
Kurz und Knapp:

Die Aufstellung der technischen und organisatorischen Maßnahmen gehören mit dem Verzeichnis der Verarbeitungstätigkeiten und der Risikoanalyse zu den drei zentralen und verpflichtenden Teilen der Dokumentation nach der DSGVO.

Diese technischen und organisatorischen Maßnahmen müssen laut DSGVO dokumentiert und bei einer Prüfung oder einem Schadenereignis (etwa einem Datenleck) vorgelegt werden können. Alle Unternehmen, aber auch Vereine, Einzelkaufleute, Handwerker und Selbstständige, die personenbezogene Daten verarbeiten, müssen die drei genannten Dokumente führen und aktuell halten.

Die technischen und organisatorischen Maßnahmen sind deshalb besonders wichtig, weil sie den ganzen Datenschutz im Unternehmen betreffen und kontrollieren. Sie dokumentieren, wie die Daten von Kunden, Lieferanten und Mitarbeitern geschützt und abgesichert werden.

Inhalt dieser Seite

Was sind technische und organisatorische Maßnahmen (TOMs) laut der DSGVO?

Wir benötigen Ihre Zustimmung, um hier Videos anzuzeigen!

Wir benutzen YouTube als Drittanbietersoftware, um Ihnen an dieser Stelle Videos präsentieren zu können. Mit Klick auf "Akzeptieren" stimmen Sie der Datenverarbeitung durch YouTube zu.

Datenverarbeitung ist eine Kombination aus technischen Vorgängen und organisatorischen bzw. personellen Eingriffen. Die Verarbeitung unterliegt dabei verschiedenen Risiken, was den Zugriff auf die genutzten Daten, die Gefahr des Datenabflusses und die Wiederherstellbarkeit der System betrifft. Die technischen und organisatorischen Maßnahmen umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit von  Daten. Sie basieren auf der Risikoanalyse für die im jeweiligen Unternehmen genutzten Prozesse.

Das könnte Sie auch interessieren...

Mithilfe der Datenschutz-Folgenabschätzung Ihr Risiko eines Datenschutz-Verstoßes ermitteln? Wir zeigen Ihnen, worauf es ankommt. 

Unsere TÜV-zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung eines praxistauglichen Datenschutzkonzepts.

In Verbindung mit den Betroffenenrechten ist die Erstellung eines Löschkonzepts von großer Bedeutung.  

Sollten Sie in Ihrem Unternehmen auf Videoüberwachung setzen, ist der Datenschutz von besonderer Bedeutung. 

Je nach Verarbeitungsprozess und Automatisierungsgrad ist das Verhältnis aus Technik- und Personenanteilen unterschiedlich verteilt, aber alle Verarbeitungsprozesse, die technische Systeme – vielleicht auch automatisiert – ausführen, gehen auf von Menschen gestellte Dateneingaben und Abfragen zurück.

Der Katalog der technischen und organisatorischen Maßnahmen dokumentiert daher beide Aspekte in Kombination. Denn die beste Backupstruktur hilft nicht weiter, wenn die Datensicherungen nur monatlich angestoßen werden, und auch eine preisgekrönte Firewall kann leicht überwunden werden, wenn das Passwort firmenweit bekannt ist.

Artikel 24 DSGVO besagt, dass der Datenschutzverantwortliche für jeden Verarbeitungsprozess festlegen muss, welche Daten für den jeweiligen Verwendungszweck erhoben werden müssen und wie sie durch technische und organisatorische Maßnahmen optimal geschützt werden können.

Dafür muss er „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt“.

TOM

Welche Zwecke erfüllen TOMs?

Die ausgewählten technischen und organisatorischen Maßnahmen müssen nach Artikel 32 Absatz 1b DSGVO geeignet sein, die folgenden vier Schutzziele sicherzustellen:

Welche Maßnahmen zählen zu den TOMs?

Wie der Name verrät, bestehen TOM sowohl aus technischen als auch aus organisatorischen Maßnahmen. 

Unter technischen Maßnahmen sind alle Schutzversuche zu verstehen, die im weitesten Sinne den Zugang zu Flächen und Gebäuden sowie zu Hard- und Software regeln sowie die Verfügbarkeit der Systeme und Netzwerke sicherstellen. Organisatorische Maßnahmen betreffen den Ablauf der Datenverarbeitung und die durchführenden Personen. Sie sind dementsprechend alle nicht-technischen Maßnahmen mit denen die Datensicherheit erreicht werden soll, also Handlungsanweisungen, Verfahrens- und Vorgehensweisen. 

Beispiele für technische Maßnahmen

Beispiele für organisatorische Maßnahmen

Beispiel für TOM nach DSGVO

Nehmen wir an, in Ihrem Unternehmen werden personenbezogene Daten verarbeitet und zu einem definierten Verarbeitungszweck auf einem bestimmten Laufwerk/Festplatte abgelegt.

Es besteht das Risiko eines Datenverlustes, falls diese Festplatte einen Defekt aufweist – hier wäre die technische und organisatorische Maßnahme (TOM), ein Backup-System zu installieren und regelmäßige Backups durchzuführen, das im Falle eines Ausfalles reibungslos und mit demselben Datenbestand automatisch für die dann defekte Festplatte einspringt.

Es besteht aber auch das Risiko, dass durch Fehler in der Datenablage, unsichere Passwörter oder eine „Hack“ der Zugangsdaten unbefugte Dritte Zugriff auf die Datenbestände erlangen könnten. Hierfür wären technische und organisatorische Maßnahmen, zum einen den Datenzugriff auf bestimmte, dokumentierte Personen zu begrenzen, die Datenablage und die Passwortstärke detailliert vorzugeben (organisatorisch) und zudem eine Zugriffssperre gegen unbefugten Datenabgriff durch Hacking einzurichten, etwa eine komplexe Firewall (technisch).

Die technischen Systeme, aber auch die Organisationsstrukturen im Zusammenhang mit der Datenverarbeitung müssen dabei immer auf dem aktuellen Stand der Technik gehalten werden. Auch die TOMs müssen immer aktuell sein und den Ist-Zustand im Unternehmen abbilden, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.

Verhältnismäßigkeit der TOMs

Das Verhältnismäßigkeitsprinzip ist in Artikel 32 DSGVO festgelegt und begrenzt die Vorgaben für TOMs. Dieser Artikel besagt, dass bei der Umsetzung die damit verbundenen Kosten (Implementierungskosten) berücksichtigt werden sollten. Damit spielt die wirtschaftliche Verhältnismäßigkeit eine wichtige Rolle. 

So sollten kleinere Unternehmen beispielsweise nicht die selben Maßnahmen in demselben Umfang, wie große Konzerne umsetzen, da damit die Verhältnismäßigkeit nicht gegeben ist. 

TOM – Schutzmaßnahmen

Der Katalog §64 Abs. 3 S.1 BDSG-neu kann als Orientierungshilfe für die Einrichtung von TOM dienen, da hier noch einige Beispiele neben den einzelnen TOM zu finden sind. 

Zutrittskontrolle als technisch organisatorische Maßnahme

Die Zutrittskontrolle umfasst jegliche Maßnahmen, die unbefugte Personen den Zutritt zu Geländen, Gebäuden oder Räumlichkeiten, in denen sich Datenverarbeitungsanlagen befinden und die personenbezogene Daten verarbeiten, verbieten.

Zugangskontrolle als technisch organisatorische Maßnahme

Mit der Zugangskontrolle sollen Unbefugte daran gehindert werden, Datenverarbeitungsanlagen zu nutzen

Zugriffskontrolle als technisch organisatorische Maßnahme:

Die Zugriffskontrolle soll gewährleisten, dass Datenverarbeitungssysteme nur in dem Rahmen genutzt werden, wie es die jeweilige Zugriffsberechtigung der Nutzer erlaubt. 

Weitergabekontrolle als technisch organisatorische Maßnahme

Die Weitergabekontrolle umfasst Maßnahmen, die die Sicherheit von personenbezogenen Daten während einer Datenweitergabe sicherstellen. Datenweitergabe kann hier eine elektronische Übertragung sowie Transport und Speicherung von personenbezogenen Daten bedeuten. Ziel ist es, die unbefugte Verarbeitung dieser Daten während der Weitergabe zu verhindern

Eingabekontrolle als technisch organisatorische Maßnahme:

Mit der Eingabekontrolle soll die Überprüfbarkeit der Datenverarbeitung garantiert sowie die Dateneingabe, Datenveränderung und Datenlöschung gewährleistet werden.

Auftragskontrolle als technisch organisatorische Maßnahme

Sofern eine Auftragsverarbeitung (AV) stattfindet, sollte die Auftragskontrolle als TOM eingerichtet werden. Sie gewährleistet, dass die Verarbeitung nach Weisung des Auftraggebers erfolgt. Die Auftragskontrolle umfasst dabei i.d.R. organisatorische Maßnahmen. 

Verfügbarkeitskontrolle und Wiederherstellbarkeit als technisch organisatorische Maßnahme

Die Verfügbarkeitskontrolle und die Wiederherstellbarkeit dienen dazu, personenbezogene Daten gegen Zerstörung und Verlust zu schützen sowie im Fall einer Störung wiederherzustellen.

Trennungskontrolle als technisch organisatorische Maßnahme:

Die Trennungskontrolle soll sicherstellen, dass im Fall der Verarbeitung personenbezogener Daten zu unterschiedlichen Zwecken, diese Verarbeitung getrennt stattfindet

Wie wähle ich geeignete TOMs aus?

Grundsätzlich sind Sie relativ frei bei der Wahl der Maßnahmen für Ihr Unternehmen. Dennoch sollten Sie dabei die folgenden Punkte beachten, um die notwendige Datensicherheit gewährleisten zu können. 

Angemessenes Schutzniveau der TOMs

Gemäß Artikel 32 Abs.1 DSGVO müssen die auszuwählenden Maßnahmen ein „dem Risiko angemessenes Schutzniveau“ gewährleisten. Daraus ergibt sich die Notwendigkeit einer Risikoanalyse, um alle möglichen Gefahrenquellen und die mögliche Schadenhöhe für die Rechte und Freiheiten der Betroffenen zu berücksichtigen. 

Schaden und Risikobeurteilung als Grundlage zur Wahl geeigneter TOMs

Sofern Sie den Schaden sowie das potenzielle Risiko für die Betroffenen beurteilen können, wird die Auswahl der dem entsprechenden Maßnahmen einfacher. 

Grundsätzlich gilt, dass sowohl Schaden als auch Risiko mit der Sensibilität der Daten steigen. Besonders sensible Daten sind zum Beispiel genetische Daten und Gesundheitsdaten gem. Artikel 9 DSGVO

Das Risiko für die personenbezogenen Daten setzt sich wie folgt zusammen

a) Schwere des Schadens und 

b) Wahrscheinlichkeit des Schadenseintritts

In die Risikobeurteilung gehen daher viele verschiedene Aspekte, wie zum Beispiel die Zahle der Mitarbeiter, die Zugriff auf die Daten haben ein. Im Kurzpapier Nr.18 zur DSGVO können finden Sie die wichtigsten Aspekte zusammengefasst.

Stand der Technik und Implementierungskosten der TOMs

Nach Artikel 32 Abs.1 DSGVO müssen Sie die TOM gemessen am „Stand der Technik“ und der bei der Implementierung entstehenden Kosten auswählen. Dabei ist der Stand der Technik jedoch nicht näher definiert. 

Vorgehensweise zur Festlegung der TOMs

Der erste Schritt ist eine gründliche Analyse aller Verarbeitungsprozesse personenbezogener Daten im Unternehmen sowie der damit verbundenen Risiken, die durch menschliche Fehler, technische Unzulänglichkeiten oder Angriffe von außen bei der Speicherung und Verarbeitung eintreten könnten (Risikoanalyse).

Bei der Risikoanalyse muss das Unternehmen alle möglichen Gefahrenquellen, Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten des Betroffenen betrachten. Je größer oder gefährlicher ein Risiko, desto intensivere Schutzmaßnahmen müssen getroffen werden.

Um technische und organisatorische Maßnahmen für einen Datenverarbeitungsprozess zu erarbeiten oder zu analysieren, empfiehlt die Landesbeauftragte für den Datenschutz Niedersachsen die folgenden acht Schritte:

Beschreiben Sie die Verarbeitungstätigkeit

Schildern Sie detailliert, welche Daten die Verarbeitung betrifft, welche Zwecke mit der Verarbeitung verfolgt werden und wie die Verarbeitung durch wen abläuft. Welche Systeme kommen dabei zum Einsatz?

Prüfen Sie die rechtlichen Grundlagen

Sind die Erfassung und Verarbeitung der Daten rechtmäßig und zweckdienlich? Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und dass die Grundsätze der DSGVO eingehalten werden.

Führen Sie eine Strukturanalyse durch

Ermitteln und beschreiben Sie die zu schützenden Dienste, Systeme, Räume und Daten und ihre Beziehung zueinander. Hierzu gehören sowohl technische wie organisatorische Aspekte, insbesondere Gebäude/Räume sowie Personen.

Identifizieren Sie Risiken und schätzen Sie potenzielle Schäden ein

Wir prüfen die Websites im Hinblick auf mögliche Datenschutzverstöße, zum Beispiel durch nicht korrekt eingebundene Tracker, Content-Elemente oder Cookies.

Wählen Sie Schutzmaßnahmen aus

Suchen Sie nach geeigneten Maßnahmen, um die identifizierten Risiken zu minimieren.

Bewerten Sie das Restrisiko

Ermitteln Sie die Risikowahrscheinlichkeit und -schwere, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Lassen sich Risiken durch technische und organisatorische Maßnahmen nicht gänzlich ausräumen, und wie schwerwiegend wäre dies? Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue/weitere Maßnahmen bestimmen oder den Verarbeitungsprozess anpassen.

Überprüfen Sie die Gesamtheit der Maßnahmen

Betrachten Sie die ausgewählten Maßnahmen in der geplanten Kombination. Sind bestimmte Maßnahmen vielleicht überflüssig, weil eine andere Maßnahme bereits ein besseres Schutzniveau bietet? Wird der Beitrag der Maßnahme zur Zielerreichung nicht klar, präzisieren Sie die Maßnahme.

Setzen Sie die Maßnahmen um

Verteilen Sie Aufgaben und Verantwortlichkeiten an die Beteiligten und priorisieren Sie ggf. Ihre Maßnahmen. Evaluieren Sie den Erfolg und steuern Sie ggf. nach, indem Sie den Prozess erneut durchlaufen.

Am schwierigsten erscheint oft die Entwicklung solcher technischen und organisatorischen Maßnahmen, die diese Risiken so weit wie möglich reduzieren – siehe Punkt 5 der Liste oben. Artikel 32 DSGVO listet Maßnahmen auf, die nach Einschätzung des Risikos eingesetzt werden können und sollen. Das sind

Dabei sollen besonders Risiken bewertet und minimiert werden, die mit der Verarbeitung verbunden sind, beispielsweise

Auch die Zugänglichkeit der Daten (Zugriff) und deren Speicherungsdauer muss so knapp wie möglich ausgestaltet werden. Insbesondere müssen die Personen, die auf die Daten Zugriff haben, abschließend aufgezählt werden und Vorkehrungen gegen eine Veröffentlichung geschützter Daten eingerichtet werden.

Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO kann als Faktor für Einhaltung der technischen und organisatorischen Maßnahmen herangezogen werden.

Eine detaillierte Checkliste über die Vorüberlegungen und Aspekte zu den technischen und organisatorischen Maßnahmen finden sich in der folgenden Checkliste: https://www.lda.bayern.de/media/checkliste/baylda_checkliste_tom.pdf

Konsequenzen bei mangelnden TOMs

Verstöße oder Versäumnisse bei den technischen und organisatorischen Maßnahmen können sehr teuer werden. Besonders wichtig ist die Risiko- und Folgenabschätzung und die Dokumentation der daraufhin getroffenen Vermeidungsmaßnahmen. Sind diese Aufzeichnungen im Fall einer Überprüfung oder einer bekannt gewordenen Datenpanne nicht aktuell, nicht vollständig oder gar nicht vorhanden, sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Bruttoumsatzes (je nachdem, welche Betrag höher ist) möglich.

Verstöße an anderen Stellen der technischen und organisatorischen Maßnahmen können bis zu 300.000 Euro Bußgeld bedeuten. Dabei sollte sich der Datenschutzbeauftragte regelmäßig fortbilden, um etwa auf dem erforderlichen „Stand der Technik“ zu bleiben und entsprechende Anpassungen umgehend vornehmen zu können.

Falls Sie mit einem Auftragsverarbeiter zusammenarbeiten, so lassen Sie sich dessen technischen und organisatorischen Maßnahmen vorlegen und prüfen Sie sie in Hinblick auf die Prozesse, die Ihr Unternehmen von diesem Dienstleister durchführen lässt. Eine Checkliste hierfür finden Sie unter https://www.gdd.de/downloads/praxishilfen/prax-praxishilfen-neustrukturierung/gdd-praxishilfe-ds-gvo-mustervertrag-zur-auftragsverarbeitung-gemaess-art-28-ds-gvo

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
TOM nach DSGVO umsetzen lassen

Als externer Datenschutzbeauftragter erstellen und prüfen wir Ihre Technisch-Organisatorische-Maßnahmen.

Bußgelder vermeiden und TOMs vom Datenschutzexperten erstellen lassen

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter prüfen und erstellen wir Ihre Technisch-Organisatiorischen-Maßnahmen.

TOM

Häufig gestellte Fragen rund um die TOMs

Technische und organisatorische Maßnahmen und deren Dokumentation bringen Ihrem Unternehmen eine höhere Reputation, gerade im Fall einer Datenpanne. Sie können damit nachweisen, dass Ihr Unternehmen alles unternommen hat, um den Schaden gering zu halten und die Ihnen anvertrauten Daten zu schützen.
Die Einhaltung der festgelegten Maßnahmen bringt Ihrem Unternehmen außerdem eigene Vorteile:

  • Sie schützen auch Geschäftsgeheimnisse und sensible Unternehmensdaten
    Sie ermitteln Effizienzpotenziale bei den eigenen Geschäftsprozessen
  • Sie stärken die Integrität und Verfügbarkeit des gesamten Datenbestands, auch jenseits der personenbezogenen Daten
  • Sie verbessern die Belastbarkeit Ihrer IT-Infrastruktur und verringern das Risiko eines kostspieligen Systemausfalls.

Der Verantwortliche muss laut Artikel 25 DSGVO geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden (Datensparsamkeit).

Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang der Verarbeitung der erhobenen personenbezogenen Daten, die Speicherfrist der erhobenen personenbezogenen Daten und die Zugänglichkeit der erhobenen personenbezogenen Daten.

Die Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Der Verantwortliche und der Auftragsverarbeiter haben sicherzustellen, dass ihnen unterstellte Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen in der dafür vorgesehenen Weise verarbeiten.

Für die Festlegung, Einhaltung und Dokumentation der technischen und organisatorischen Maßnahmen ist der jeweilige Datenschutzverantwortliche zuständig. Die technischen und organisatorischen Maßnahmen müssen im Verzeichnis von Verarbeitungstätigkeiten aufgeführt werden.

Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo