Zum Inhalt springen

Technisch organisatorische Maßnahmen (TOMs) im Sinne der DSGVO

    Technisch organisatorische Maßnahmen (TOMs) im Sinne der Datenschutz-Grundverordnung (DSGVO) sind Schutzmaßnahmen, die Unternehmen und Organisationen ergreifen, um personenbezogene Daten angemessen zu sichern und den Datenschutz zu gewährleisten.

    Diese Maßnahmen sollen sicherstellen, dass personenbezogene Daten vor unbefugtem Zugriff, Verlust, Missbrauch oder anderen Datenschutzverletzungen geschützt werden.

    Die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG-neu) beschreiben eine Reihe von Maßnahmen, wodurch die Sicherheit der Verarbeitung von personenbezogenen gewährleistet werden kann. Diese technisch-organisatorischen Maßnahmen (TOMs), werden im Wesentlichen in Art. 32 DSGVO definiert und auch an anderen Stellen in der DSGVO erwähnt, z.B. in Art. 25 Abs. 2 DSGVO.

    Allgemein fordert die DSGVO von verantwortlichen Stellen und Auftragsverarbeitern, geeignete technisch-organisatorische Maßnahmen zu implementieren, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diese Maßnahmen können je nach Art der verarbeiteten Daten, dem Risiko für die betroffenen Personen und anderen Faktoren variieren, sollten jedoch immer den aktuellen Stand der Technik und bewährte Verfahren berücksichtigen.

    Was sind technisch organisatorische Maßnahmen im Sinne der DSGVO?

    Artikel 32 DSGVO unterteilt die Datenschutzmaßnahmen grob in zwei Bereiche: die technischen Maßnahmen und die organisatorischen Maßnahmen.

    Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten …“ (Art. 32, Abs. 1 DSGVO)

    Technische Datenschutzmaßnahmen

    Technische Maßnahmen beschreiben Datenschutzmaßnahmen, die durch digitale und physische Maßnahmen umgesetzt werden können, z. B.:

    • Zugriffskontrolle: Begrenzung des Zugriffs auf personenbezogene Daten auf autorisierte Personen, oft durch Benutzerkonten, Passwörter, rollenbasierte Zugriffssteuerung und ähnliche Mechanismen.
    • Verschlüsselung: Verschlüsselung von Daten, um sicherzustellen, dass sie nur von autorisierten Empfängern gelesen werden können.
    • Sicherheitsupdates und Patch-Management: Regelmäßige Aktualisierung von Software und Systemen, um bekannte Schwachstellen zu beheben.
    • Pseudonymisierung und Anonymisierung: Reduzierung der Identifizierbarkeit von Personen in den Daten durch Entfernen oder Verschlüsseln von Identifikationsmerkmalen.
    • Physische Sicherheitsmaßnahmen: Sicherung von Serverräumen, Rechenzentren und anderen physischen Zugangspunkten zu IT-Infrastrukturen.

    Zertifizierte externe Datenschutzbeauftragte ab 99 EUR* im Monat!

    Organisatorische Datenschutzmaßnahmen

    Zu den organisatorischen Maßnahmen i.S.d. Art. 32 DSGVO gehören Maßnahmen, welche die Umsetzung von Handlungsanweisungen und Vorgehens- und Verfahrensweisen für Mitarbeiter beinhalten, um auf diese Weise den Schutz der Verarbeitung von personenbezogenen Daten zu gewährleisten, z.B.:

    • Sicherheitsrichtlinien und Schulungen: Schulung der Mitarbeiter in Datenschutz- und Sicherheitspraktiken sowie Implementierung von internen Richtlinien zur Datensicherheit.
    • Datenschutz-Folgenabschätzung (DSFA): Durchführung einer Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringen.
    • Notfallplanung (Business Continuity): Vorbereitung auf mögliche Datenpannen, Ausfälle oder andere Störungen, um den Betrieb aufrechtzuerhalten und Datenverluste zu minimieren.
    • Privacy by Design: Implementierung von Datenschutzprinzipien bereits bei der Entwicklung von Produkten, Dienstleistungen und Systemen (Datenschutz durch Technikgestaltung).
    • Privacy by Default: Alle Systeme und Abläufe sind datensparsam voreingestellt. Optionen die zur Erweiterung der Verarbeitung von personenbezogenen Daten führen, müssen ausdrücklich hinzugewählt werden.
    • Auftragskontrolle: Durch Vereinbarungen mit Drittanbietern, insbesondere Auftragsverarbeitern, und regelmäßige Kontrollen sichert die verantwortliche Stelle die Übertragung von Daten ab.

    Unternehmen sind verpflichtet, die angemessenen TOMs je nach den spezifischen Gegebenheiten ihrer Verarbeitungstätigkeiten zu wählen und umzusetzen.

    Hierzu sollten Unternehmer*innen im Einzelfall idealerweise die Hilfe durch einen externen Datenschutzbeauftragten wahrnehmen, welcher in keinem Fall im Interessenskonflikt steht. Denn in Unternehmen können interne Datenschutzbeauftragte vielfach vor dem Problem stehen, dass sie diese Position zusätzlich zu Ihrem üblichen Job ausführen müssen. Dadurch kann es zu Interessenkonflikten oder Problemen bei der Priorisierung kommen.

    *Das Angebot richtet sich an Unternehmen, Selbständige und Freiberufler*innen in Deutschland und nicht an Verbraucher*innen. Alle angegebenen Preise sind zuzüglich der jeweils gültigen Umsatzsteuer. Es gelten detaillierte Vertragsbedingungen, die wir Ihnen mit unserem Angebot zusenden.

    Der Inhalt dieses Beitrags wurde von uns sorgfältig aus öffentlichen Quellen und bekannten Einschätzungen zusammengestellt. Es sollten keine Entscheidungen allein auf Basis der Informationen in diesem Text getroffen werden. Er stellt auch keine Rechtsberatung dar und kann eine individuelle Beratung durch eine Rechtsanwältin oder einen Rechtsanwalt nicht ersetzen.

    Datenschutz von zertifizierten externen Datenschutzbeauftragten!