Datenschutz-Akademie » Datenschutz-Wiki » Technisch organisatorische Maßnahmen (TOMs)

Ein Datenschutzbeauftragte setzt seine TOM nach DSGVO mit der Robin Data Software um

Datenschutz gemäß DSGVO

Technisch organisatorische Maßnahmen (TOMs)

Auch wenn die Datenschutz-Grundverordnung schon seit 2018 in Kraft getreten ist, gibt es kaum Standards zur Umsetzung der einzelnen Vorgaben. Speziell beim Thema Technisch Organisatorische Maßnahmen laufen zudem Vorgaben aus den Bereichen Datenschutz und Datensicherheit sowie den Gesetzen DSGVO und BDSG-neu zusammen. Das erscheint vielen Datenschutz-Verantwortlichen undurchsichtig, die Einhaltung der Vorgaben erscheint kompliziert.

Wir verschaffen Ihnen einen Überblick über die Gesetzeslage und zeigen Ihnen wie Sie mit Hilfe der Technisch Organisatorischen Maßnahmen, die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten können. Denn Egal ob Einkäufe im Online-Shop oder Videoüberwachung – jegliche Verarbeitung personenbezogener Daten muss durch geeignete technische und organisatorische Maßnahmen geschützt werden.

Im folgenden Beitrag erfahren Sie, welche technischen und organisatorischen Maßnahmen Sie umsetzen sollten und worauf Sie bei der Umsetzung achten sollten.

Wichtigste Informationen über Technisch Organisatorische Maßnahmen

  • Technisch-organisatorischen Maßnahmen sind in der DSGVO beschriebene Maßnahmen, welche den Schutz personenbezogener Daten sicherstellen sollen.
  • Technisch-organisatorischen Maßnahmen werden als „TOM“ oder „TOMs“ abgekürzt
  • Seit Inkrafttreten der DSGVO 2018, sind die im BDSG beschriebenen Maßnahmen nicht mehr anwendbar, stattdessen werden in Artikel 32 der DSGVO technisch-organisatorische Maßnahmen in Kategorien aufgelistet
  • TOMs dienen auch als Nachweis der Einhaltung der DSGVO, weswegen eine schriftliche Dokumentation obligatorisch ist (festgeschrieben in Artikel 24 Abs. 1 DSGVO)

Technische und organisatorische Maßnahmen – Was ist der Unterschied?

Technische Maßnahmen umfassen jeden Schutz der Datenverarbeitungssicherheit, der durch physische Maßnahmen oder in Soft- und Hardware realisiert werden kann. Organisatorische Maßnahmen in Sinne des Art. 32 DSGVO umfassen Maßnahmen, welche die Umsetzung von Handlungsanweisungen, sowie Vorgehensweisen und Verfahren für Mitarbeiter beinhalten, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Beispiele technische Maßnahmen

  • Verwendung einer Firewall
  • Verschlüsselung von Datenträgern und Datenübertragungen
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Installation eines Alarmsystems
  • Bauliche Absicherung von Gebäuden/Geländen
  • Vorgaben für die Passwortkomplexität von Benutzern (FIDO-2)

Beispiele organisatorische Maßnahmen

  • Mitarbeiterschulung zum Thema Datenschutz
  • Besucheranmeldung
  • Datenschutzkonformen Entsorgung von Dokumenten mit personenbezogenen Daten (DIN 66399)

Welche Zwecke erfüllen Technisch Organisatorische Maßnahmen?

Technisch organisatorische Maßnahmen sind dem Bereich Datensicherheit zuzuordnen und dienen dem Zweck, personenbezogene Daten gemäß dem neusten Stand der Technik umfassend zu schützen. Bevor Sie geeignete TOMs für Ihr Unternehmen definieren können, müssen Sie zunächst eine Risikoanalyse bzw. Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitungstätigkeiten Ihres Unternehmens durchführen. Haben Sie mögliche Risiken für verarbeitete personenbezogene Daten identifiziert, können Sie diese über den Einsatz von TOMs  ausreichend schützen.

Rechtliche Entwicklung der Technisch Organisatorischen Maßnahmen

Die alten Regelungen im BDSG hatten eher einen Anforderungskatalog vor Augen, welcher abzuarbeiten war, um sich gesetzeskonform zu verhalten. Die neuen Regelungen sehen die TOMs aber vielmehr als ein Kriterium in der umfassend durchzuführenden Risikoabwägung. Dies eröffnet auf der einen Seite neue Herangehensweisen an die Definition von geeigneten Maßnahmen. Auf der anderen Seite erhöht es jedoch den konkreten Prüfungsumfang, durchgeführt durch den zuständigen Datenschutzbeauftragten.

§ 9 BDSG – alt

Technische und organisatorische Maßnahmen

1 Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten.

2 Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Art. 32 DSGVO

Sicherheit der Verarbeitung

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: […]

Hinweis

Die DSGVO hat das BDSG in seiner Form abgelöst. Das BDSG wurde dadurch überarbeitet und dient eher als Ergänzung zur DSGVO. In Art. 32 DSGVO sind technische und organisatorische Maßnahmen aufgelistet.

Was müssen Technisch Organisatorische Maßnahmen gemäß DSGVO beinhalten?

Die Technisch Organisatorischen Maßnahmen gewährleisten gemäß DSGVO eine angemessenes Schutzniveau wenn Sie folgendes enthalten:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Dabei müssen Verantwortliche und Auftraggeber den Stand der Technik, Implementierungskosten, die Schwere und Eintrittswahrscheinlichkeit des (potenziellen) Risikos, die Rechte und Freiheiten von Betroffenen sowie Art, Umfang, Umstände und Zwecke der Verarbeitung beachten.

Ausgehend von diesen Kriterien, muss jedes Unternehmen einen eigenen spezifisch ans Unternehmen angepassten Maßnahmenkatalog entwickeln. Dabei ist zu beachten, dass Maßnahmen anhand der Kriterien dauerhaft überprüft, angepasst und aktualisiert werden müssen.

In der Robin Data ComplianceOS® bekommen Sie passende TOMs auf Basis Ihrer Branche angezeigt und können diese einfach in Ihre digitale Datenschutz-Dokumentation importieren.

Was bedeuten TOMs für Unternehmen?

Mit Inkrafttreten der DSGVO wurde die Sicherheit der Verarbeitung personenbezogener Daten erweitert und damit einhergehend die Dokumentations- und Nachweispflichten. Wenn Unternehmen besonders sensible und personenbezogene Daten verarbeiten, erheben oder speichern, sind sie verpflichtet TOM umzusetzen.

Es müssen alle zum Schutz der Daten ergriffenen Maßnahmen dokumentiert werden, um im Schadensfall genaue Aufzeichnungen über die ergriffenen Vorkehrungen nachweisen zu können. Werden Technisch Organisatorische Maßnahmen sorgfältig dokumentiert und umgesetzt profitiert Ihr Unternehmen in vielerlei Hinsicht. So schützen Sie Ihr Unternehmen vor Bußgelder und Reputationsverlust, darüber hinaus werden auch sensible Unternehmensdaten sowie Geschäftsgeheimnisse geschützt.

Aufbau und Systematisierung

Mit Inkrafttreten der DSGVO wurde die Sicherheit der Verarbeitung personenbezogener Daten erweitert und damit einhergehend die Dokumentations- und Nachweispflichten. Die Datenschutz-Grundverordnung bleibt bei einer konkreten Definition der Technisch Organisatorischen Maßnahmen recht vage. Rein schematisch kann man folgende Systematisierungsmuster zur Definition der TOM gegenüberstellen:


Klassischer Aufbau von TOM nach altem Vorbild:

  • Maßnahmen der Zutrittskontrolle
  • Maßnahmen der Zugangskontrolle
  • Maßnahmen der Zugriffskontrolle
  • Maßnahmen der Weitergabekontrolle
  • Maßnahmen der Auftragskontrolle
  • Maßnahmen der Verfügbarkeitskontrolle
  • Maßnahmen zur Umsetzung des Trennungsgebots


Demgegenüber wird heute überwiegend einheitlich folgender Aufbau gewählt:

Vertraulichkeit

  • Maßnahmen der Zutrittskontrolle
  • Maßnahmen der Zugangskontrolle
  • Maßnahmen der Zugriffskontrolle
  • Maßnahmen der Trennungskontrolle
  • Maßnahmen der Pseudonymisierung

Definiert in Art. 32 Abs. 1 lit. a) und b) DSGVO

Integrität

  • Maßnahmen der Weitergabekontrolle
  • Maßnahmen der Eingabekontrolle

Definiert in Art. 32 Abs. 1 lit. b) DSGVO

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

  • Datenschutz-Management
  • Incident-Response-Management
  • Auftragskontrolle

Definiert in Art. 32 Abs. 1 lit. d DSGVO und Art. 25 Abs. 1 DSGVO

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle

Definiert in Art. 32. Abs. 1 lit. b) DSGVO

Datenschutzfreundlichen Voreinstellungen

  • Privacy by design / Privacy by default

Definiert in Art. 25 Abs. 2 DSGVO

Praktisches Vorgehen bei der Erstellung technisch organisatorischer Maßnahmen im Unternehmen

Ein wichtiger Bestandteil bei der Umsetzung der Technisch Organisatorischen Maßnahmen ist die Dokumentation der umgesetzten TOMs. Es sollte jedoch keinesfalls vergessen werden, dass die Dokumentation der Maßnahmen nur ein Teilschritt ist.

TOMs dienen dem Zweck, personenbezogene Daten gemäß dem neusten Stand der Technik umfassend zu schützen. Bevor Sie geeignete TOMs für Ihr Unternehmen definieren können, müssen Sie zunächst eine Risikoanalyse bzw. Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitungstätigkeiten Ihres Unternehmens durchführen. Denn erst im Zusammenspiel mit den konkreten Verarbeitungstätigkeiten zeigt sich, ob die individuellen Schutzmaßnahmen ausreichend sein können, um das notwendige Sicherungsniveau zu gewährleisten.

Jedes Unternehmen muss daher einen eigenen spezifisch ans Unternehmen angepassten Maßnahmenkatalog entwickeln. Dabei ist zu beachten, dass Maßnahmen anhand der Kriterien dauerhaft überprüft, angepasst und aktualisiert werden müssen. Rein praktisch bietet es sich daher an, bei der Abfassung der TOM, nach den konkreten Verarbeitungsszenarien zu differenzieren.

Hierbei kann folgende Systematisierung angeraten werden:

  • Eine Darstellung der TOMs, welche alle Techniken betrifft, die unternehmensweit zur Anwendung kommen und geeignet sind, alle Verarbeitungen zu betreffen.
  • Individuell besondere Maßnahmen, welche im Rahmen der konkreten Verarbeitungstätigkeiten diesen zugeordnet werden.
  • (Optional) Eine Darstellung, welche ausschließlich die in Auftragsverarbeitungsverhältnissen relevanten Maßnahmen enthält.

Die sodann vorzunehmende Risikobewertung sollte sinnvollerweise ebenfalls im Rahmen der Verarbeitungsverzeichnisse stattfinden und hierbei sowohl die Angaben der „Allgemeinen“ TOM berücksichtigen, als auch die zusätzlichen Maßnahmen der konkreten Verarbeitungsvorgänge.

Weiterhin ist darauf zu achten, dass die getroffenen organisatorischen Maßnahmen nicht lediglich auf dem Papier bestehen, sondern die hierfür notwendigen arbeitsrechtlichen Anweisungen wirksam gegenüber den Mitarbeitern ergriffen werden. Nur solche Maßnahmen können als wirksam erachtet werden.

Setzen Sie die TOMs Ihrer Organisation mit Robin Data um

Lassen Sie sich bei allen Anforderungen der DSGVO vom ComplianceOS® Compliance-Feld Datenschutz leiten. Angefangen bei der Umsetzung des Verzeichnis der Verarbeitungstätigkeiten, über die Identifikation von notwendigen Datenschutz-Folgenabschätzungen, die Implementierung von technisch organisatorischen Maßnahmen bis hin zur Erfüllung der Dokumentationspflichten gibt Ihnen Robin Data immer das passende Werkzeug an die Hand. Buchen Sie zunächst ein kurzes Kennenlern-Meeting mit uns.

Was ist das Verhältnismäßigkeitsprinzip?

Art. 32 DSGVO spricht davon, dass die Implementierungskosten der technischen und organisatorischen Maßnahmen zu berücksichtigen sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Durch Berücksichtigung der wirtschaftlichen Angemessenheit können sich die TOM-Vorhaben etwas einschränken, und beispielsweise die TOM eines Kleinunternehmens andere Standards entsprechen wie die TOM eines Großkonzerns.

In acht Schritten zur Umsetzung

Der Prozess zur Auswahl angemessener Sicherungsmaßnahmen, kurz „ZAWAS“ wurde vom LfD Niedersachsen erstellt und umfasst die folgenden Schritte:

  1. Verarbeitungstätigkeit beschreiben
  2. Rechtliche Grundlagen prüfen
  3. Strukturanalyse durchführen
  4. Risikoanalyse vornehmen
  5. Maßnahmen auswählen
  6. Restrisiko bewerten
  7. Maßnahmen konsolidieren
  8. Maßnahmen realisieren

Das ZAWAS-Prinzip des LfD Niedersachsen ist eine praktische Orientierung für Datenschutz-Verantwortliche, die einen Überblick über die Verarbeitungstätigkeiten ihres Unternehmens haben. Nach Realisierung der Maßnahmen, sollte allerdings der Schritt der Datenschutz-Dokumentation folgen, um den Dokumentations- sowie Nachweispflichten der DSGVO nachzukommen und im Fall einer Überprüfung aussagekräftig zu sein.

Beispiele für Technisch Organisatorische Maßnahmen

  • Schließsysteme mit Codesperren
  • Chipkarten für verschlossene Bereiche
  • Zugangssperren, die mit biometrischen Merkmalen abgesichert sind
  • Datenschutzkonforme Videoüberwachung
  • Sichere Firewall
  • Anti-Viren-Software
  • Sperrung von USB-Anschlüssen und anderen externen Schnittstellen
  • Verriegelung von Gerätegehäusen
  • Authentifikation mittels Passworteingabe oder biometrischer Scans
  • Sicherheitsschlösser
  • Protokollierung der Zugriffe auf Anwendungen und Prozesse wie z.B. der Datenvernichtung
  • Datenschutzkonforme Vernichtung von Datenträgern (Akten, Laufwerke etc.)
  • Verschlüsselung von Datenträgern und mobilen Endgeräten

Whitepaper mit Checkliste, Mustern, Vorlagen und Beispielen als PDF

TOM Checkliste, Muster, Vorlagen und Beispiele als PDF. Inhalte sind im folgenden Text aufgeführt.

Im Whitepaper zu den Technisch Organisatorische Maßnahmen finden Sie:

  • 43 Beispiele für TOMs unterteilt in Vertraulichkeit, Integrität und weitere Kategorien
  • 12 fertig ausformulierte Beispiele für Ihre Datenschutz-Dokumentation
  • Jeweils Beispiele für technische UND organisatorische Maßnahmen
  • Checkliste zum Ankreuzen der TOMs für Ihr Unternehmen
  • Verweise auf Hintergrundinformationen und relevante Gesetzesgrundlage

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Wer kann bei der Umsetzung der technischen und organisatorischen Maßnahmen unterstützen?

Allgemein verantwortlich für den Datenschutz eines Unternehmens ist die Geschäftsleitung, welche diese Aufgabe in der Regel intern delegiert oder einen externen Datenschutzbeauftragten bestellt. Ein erfolgreicher Datenschutz setzt immer eine abteilungsübergreifende Zusammenarbeit voraus, in Bezug auf die TOMs ins Besondere, da hier Ansprechpartner aus der IT-Abteilung den besten Überblick über technische Details und die technische Umsetzung haben. Aber auch Kollegen aus der Personalabteilung müssen einbezogen werden, weil Mitarbeiter zum Umgang mit etablierten TOMs geschult werden müssen. Bei dieser Aufgabe können wiederum Abteilungsleiter unterstützen.

Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data Software

Sollten Sie sich für die Umsetzung und Dokumentation der Technisch Organisatorischen Maßnahmen mit der Robin Data ComplianceOS® interessieren, können Sie die einzelnen Artikel in unserem Hilfe-Center nachlesen oder unsere kostenfreien Online-Demos buchen.

Was sind die Folgen eines datenschutzrechtlichen Verstoßes?

Ein datenschutzrechtlicher Verstoß im Bereich der Technisch Organisatorischen Maßnahmen wird in Art. 5 Abs.1 der DSGVO als Verstoß gegen die Integrität und Vertraulichkeit definiert. Verantwortliche verstoßen damit gegen die Grundsätze der Datenverarbeitung und müssen gemäß Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Mio. € bzw. 4% des Umsatzes rechnen.

Stellen sich getroffene Vorkehrungen im Verlauf einer Datenpanne als nicht angemessen heraus, gehen Unternehmen ein hohes Risiko ein. In einem solchen Fall sieht die DSGVO Art. 83 Abs. 4 Bußgelder bis zu 10 Mio. € bzw. 2% des Umsatzes vor.

Die Höhe der anfallenden Geldstrafe ergibt sich aus bestimmten Kriterien: Art, Schwere und Dauer eines Verstoßes sowie die damit einhergehenden Folgen. Auch werden ergriffene Maßnahmen (TOMs) zur Festlegung herangezogen. Damit stellt die Dokumentation der ergriffenen Technisch Organisatorischen Maßnahmen eine wesentliche rechtliche Absicherung dar, welche ggf. die Höhe des Bußgeldes reduzieren kann.

Fazit: TOMs müssen auf die Anforderungen des Unternehmens angepasst werden

Die Sicherheit bei der Verarbeitung personenbezogener Daten nach Artikel 32 DSGVO ist ein wesentlicher Bestandteil für die Gewährleistung des Datenschutzes innerhalb eines Unternehmens. Den Technisch Organisatorischen Maßnahmen kommt dabei eine zentrale Rolle zu.

Nicht nur für das Unternehmen intern werden Risiken identifiziert und die unternehmerische Sicherheit gestärkt, sondern insbesondere Ihren Kunden kommt die DSGVO-konforme Umsetzung der TOMs zu Gute. Dabei sind Unternehmen jeder Größe angehalten, die Technisch Organisatorischen Maßnahmen sorgfältig umzusetzen sowie zu dokumentieren.

Dabei können digitale Lösungen, Checklisten, Vorgaben der Aufsichtsbehörden sowie Datenschutzbeauftragte helfen.

FAQ

Technisch-organisatorischen Maßnahmen werden auch als „TOM“ oder „TOMs“ abgekürzt.

Technisch-organisatorische Maßnahmen sind in der DSGVO beschriebene Maßnahmen, welche den Schutz personenbezogener Daten sicherstellen sollen.

Organisatorische Maßnahmen in Sinne des Art. 32 DSGVO umfassen Maßnahmen, welche die Umsetzung von Handlungsanweisungen, sowie Vorgehensweisen und Verfahren für Mitarbeiter beinhalten, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Öffentliche und nicht-öffentliche Stellen, die personenbezogenen Daten erheben, verarbeiten oder nutzen, sind verpflichtet technische und organisatorische Maßnahmen zu gewährleisten. Nach Art. 32 DSGVO müssen Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Zwecke der Verarbeitung und der Eintrittswahrscheinlichkeit oder Schwere der Gefahren für die betroffenen Personen technischen und organisatorischen Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten.

Gemäß § 9 BDSG sind die folgenden Schutzmaßnahmen gemeint. Unter technische Maßnahmen versteht man Maßnahmen, die physische umsetzbar sind, wie Alarmanlage, Firewall, und Pseudonymisierung personenbezogener Daten. Organisatorische Maßnahmen sind hingegen durch Handlungsanweisungen und Verfahrensweisen, wie Besucheranmeldung, Mitarbeiterschulung, oder Vier-Augen-Prinzip, umgesetzt.

Robin Data ComplianceOS® Feld Datenschutz

Das Compliance-Feld Datenschutz unterstützt Sie gerichtssicher und zeitsparend bei der kontinuierlichen Umsetzung Ihres Datenschutz-Managements im Unternehmen. Sowohl Datenschutzbeauftragte als auch Verantwortliche profitieren von den zahlreichen Funktionen.

Caroline Schwabe

Das könnte Sie auch interessieren:

IT-Sicherheitsvorfall
TISAX® Anforderungen: Informationen zu Fragenkatalog, Reifegradstufen und zur Zertifizierung. bereiten Sie Assessment-Level und Audit vor.
Audit-Management verstehen und umsetzen: Schrittweise Erklärung, Hintergrundinformationen, Beispiele und Definitionen. Jetzt lesen!
Was bedeutet die NIS-2-Richtlinie für Organisationen in Deutschland? Umsetzungspflichten, Sanktionen, Tipps zur Umsetzung.