TOM

Als TOM werden technische und organisatorische Maßnahmen bezeichnet, die der Verantwortliche und der Auftragsverarbeiter treffen müssen, um den personenbezogenen Daten während der Datenverarbeitung ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die DSGVO führt einige Beispiele auf:

  • Die Pseudonymisierung ist das Verändern der personenbezogenen Daten, sodass diese nicht mehr ohne unverhältnismäßigen Aufwand einer natürlichen Person zugeordnet werden können.
    Praxisbeispiele: Das Ersetzen des Namens durch eine Kenn-ID, die getrennt vom Namen gespeichert werden sollte etc.
  • Die Verschlüsselung ist ein Vorgang, der Daten in ein Format umwandelt, welches nur noch mit einem bestimmten Schlüssel lesbar ist.
    Praxisbeispiele: Sperrung von wichtigen Datenordnern mit einem Passwort, SSL-Verschlüsselung der Daten in einem Kontaktformular auf einer Webseite etc.
  • Die Vertraulichkeit betrifft sowohl die Zutritts-, die Zugangs- und die Zugriffskontrolle.
    • Eine Zutrittskontrolle soll vermeiden, dass Unbefugte den Zutritt zu Datenverarbeitungsanlagen bekommen.
      Praxisbeispiele: Alarmanlagen installieren, Ausweise für Mitarbeiter einrichten, Zutrittskontrolle durch einen Pförtner gewährleisten etc.
    • Eine Zugangskontrolle umfasst das Verhindern des Zugriffs auf die einzelnen Verarbeitungssysteme (also die Computer).
      Praxisbeispiele: Eine sichere Firewall einrichten, sichere Passwörter entwerfen, Bildschirmsperren bei Nichtbenutzen der Computer einstellen etc.
    • Eine Zugriffskontrolle soll gewährleisten, dass die einzelnen Datenverarbeiter nur auf die Daten zugreifen können, für die sie auch befugt sind.
      Praxisbeispiele: Die Löschung von alten Datenträgern, das Abschließen von Dokumenten in Schränken, so wenig Personen wie notwendig den Zugriff ermöglichen etc.
  • Die Integrität soll nachweisen, wer die personenbezogenen Daten verarbeitet hat und dass sie während der Verarbeitung nicht unbefugt missbraucht werden können. Auch die Übermittlung soll transparent erfolgen.
    Praxisbeispiele: Anonymisierte Weitergabe der Daten per Mail, ein Verzeichnis über die Zugriffe der Daten anfertigen lassen, für sichere Transporte außerhalb des Unternehmens sorgen etc.
  • Die Verfügbarkeit der personenbezogenen Daten auch im Falle einer Störung und die Belastbarkeit sollen gewährleisten, dass personenbezogene Daten gegen Störfälle gesichert sind und nicht verloren gehen können.
    Praxisbeispiele: Die Aufbewahrung in einem sicheren Tresor, die Nutzung von Rauchmeldern, stetige Back-Up-Sicherungen etc.

Die TOM (technische und organisatorische Maßnahmen) spielen eine wichtige Rolle im Datenschutzmanagement. – Sie sollten alle getroffenen Maßnahmen dokumentieren, welche helfen, den Datenschutz einzuhalten und die Sicherheit zu gewährleisten.

Das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung soll besonders im Rahmen eines Datenschutzmanagement-Systems die Datensicherheit in einem immerwährenden Kreislauf überprüfen und bewerten.
Praxisbeispiele: die Mitarbeit eines Datenschutzbeauftragten, die Schulung der Mitarbeiter, eine Software zur geeigneten Ausführung eines solchen Managementsystems, Intervalle für eine umfassende Sicherheitsprüfungen einstellen etc.

https://dsgvo-gesetz.de/art-32-dsgvo/

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

  • Datenschutz-Managementsystem nach DSGVO in Word, Excel oder Online
  • Verzeichnis von Verarbeitungstätigkeiten, TOM, Risikoanalyse uvm.
  • Sparen Sie tausende Euro Beratungsgebühren und tagelange Recherche