Was sind TOM (technische und organisatorische Maßnahmen) nach DSGVO?

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die TOM für den Datenschutz richtig zu dokumentieren stellt eine wichtige Säule der Datenschutz Dokumentation dar. Das Gesetz spricht dabei von der “Sicherheit der Verarbeitung bzw. “Anforderungen an die Sicherheit der Datenverarbeitung”.

Technische und organisatorische Maßnahmen (Mehrzahl auch „TOMs“) sind also Maßnahmen, die die Sicherheit und Integrität der verarbeiteten Daten gewährleisten aber auch z.B. vor dem unbefugten Zugriff Dritter schützen. Sie sollten schriftlich dokumentiert und regelmäßig aktualisiert werden.

In diesem Artikel erfahren Sie konkret:

  • Welche Rolle die TOMs im Rahmen der Datenschutz-Grundverordnung spielen und wieso Sie diese benötigen,
  • Ob Sie Ihre technischen und organisatorischen Maßnahmen überhaupt dokumentieren müssen,
  • Wie Sie Ihre TOMs Schritt-für-Schritt erfassen,
  • Wie Sie an ein kostenloses Muster zur Erfassung Ihrer TOMs bzw. an eine Checkliste kommen,
  • Was typische Beispiele für angemessene Schutzmaßnahmen sind,
  • und was passiert, wenn Sie sich nicht an die Dokumentationspflichten halten.

Inhalte

Diese Rolle spielen TOM bei der Datenschutz Dokumentation

Genauso wie das Verzeichnis von Verarbeitungstätigkeiten (früher: Verfahrensverzeichnis) und die Risikoanalyse (bzw. DSFA), ist die Dokumentation der TOM eine wichtige und verpflichtende Datenschutz Dokumentation nach DSGVO. D.h. alle Unternehmen, Vereine, Einzelkaufleute, Handwerker etc., die personenbezogene Daten verarbeiten, müssen diese drei Elemente dokumentieren.

Die technischen und organisatorischen Maßnahmen spielen dabei eine ganz besondere Rolle, weil sie den ganzen Datenschutz im Unternehmen “überwachen”. Es geht also zum großen Teil darum, wie die Daten der Betroffenen (Kunden, Lieferanten, Mitarbeiter etc.) geschützt und abgesichert sind.

Eine besondere Bedeutung kommt den TOM dann zu, wenn es zu einem meldepflichtigen Datenleck oder Datenschutzverstoß gekommen ist. Dann können die TOM dazu dienen zu belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden. Dabei sollten Sie dafür sorgen, dass die TOM am besten so schnell wie möglich dokumentiert werden und nicht erst, wenn eine Behörde nach ihnen fragt.

Datenschutzfreundlichen Voreinstellungen: Privacy by Design / Privacy by Default

Datenschutzfreundliche Voreinstellungen bzw. Designenetschieidungen, oft auch als „Privacy by Design“ und „Privacy by Default“ bezeichnet, sind zwei Schlüsselkonzepte der Datenschutz-Grundverordnung (DSGVO). Dies ist in Art. 25 DSGVO geregelt. Dabei geht es darum, wie der Datenschutz in die Entwicklung und Nutzung von Produkten und Dienstleistungen integriert wird. Beide Konzepte stehen in engem Zusammenhang mit den technisch-organisatorischen Maßnahmen (TOM).

Privacy by Design

„Privacy by Design“ bezieht sich auf den Ansatz, den Datenschutz von Anfang an in das Design und die Architektur von Systemen und Prozessen zu integrieren. Es geht darum, den Datenschutz proaktiv und nicht als nachträglichen Zusatz zu behandeln. Dies bedeutet, dass Datenschutzüberlegungen in jeder Planungs- und Entwicklungsphase berücksichtigt werden müssen. Dazu gehören die Minimierung der Datenerhebung, die Verschlüsselung von Daten und die Integration von End-to-End-Sicherheit in das Design des Produkts oder der Dienstleistung.

Beispiele können sein:

  • Nutzung von (Ende zu Ende) Verschlüsselung im Endprodukt
  • Keine Nutzung von Tracking oder sonstiger datenschutzkritischer Software
  • Sichere Codeentwiclung z.B. nur Nutzung von sicheren Libraries
Privacy by Design muss im Designprozess schon mitgedacht werden.

Privacy by Default

„Privacy by Default“ bedeutet, dass die Standardeinstellungen eines Produkts oder Dienstes so gewählt werden müssen, dass sie den größtmöglichen Datenschutz bieten, ohne dass der Nutzer selbst Einstellungen vornehmen muss. Das bedeutet, dass nur die Daten erhoben werden, die für die jeweilige Aufgabe absolut notwendig sind, und dass diese Daten nur so lange wie nötig gespeichert werden. Damit soll sichergestellt werden, dass ohne aktives Zutun des Nutzers nicht mehr Daten als notwendig verarbeitet werden.

Beispiele für diese Nutzung:

  • Sammlung von Nutzerdaten standardmäßig ausgeschaltet
  • Verschlüsselung standardmäßig aktiviert
  • Starke Authentifizierung ist standardmäßig aktiviert, z.B. 2-Faktor-Authentifizierung

Privacy by Design und Privacy by Default sind im Kontext der DSGVO, insbesondere im Hinblick auf Artikel 32, integrale Bestandteile der technisch-organisatorischen Maßnahmen, die Unternehmen zur Gewährleistung der Sicherheit der Datenverarbeitung treffen müssen. Die Umsetzung von Privacy by Design und Privacy by Default hilft, Datenschutzrisiken von vornherein zu minimieren und unterstützt Unternehmen bei der Erfüllung ihrer datenschutzrechtlichen Pflichten.

Wer ist für die technischen und organisatorischen Maßnahmen, für die Sicherheit der Verarbeitung und die Vertraulichkeit der Daten verantwortlich?

Zuständig und haftbar ist, wie bei allen datenschutzrechtlichen Belangen, die Verantwortliche Stelle (gem. Art. 4 Nr. 7 DSGVO). Also die natürliche (z.B. Einzelunternehmer) oder juristische Person (z.B. GmbH, AG), über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wie eingangs erwähnt, wird die Dokumentation zur Pflicht, sobald personenbezogene Daten verarbeitet werden. Dies ist dann der Fall, wenn die Daten zum ersten Mal erhoben werden, z.B. wenn sie anfangen für einen Newsletter E-Mail-Adressen einzusammeln oder eine Kundendatei anlegen.

Prüfen Sie hier, ob eine Verarbeitung vorliegt und Sie eine Dokumentation durchführen müssen.

Beachten Sie, dass der Grundsatz gilt, je mehr und je sensibler die Daten, die Sie verarbeiten, desto mehr Schutz müssen Sie vorweisen können. Eine Arztpraxis für Suchtkranke sollte mehr Schutz in der IT-Infrastruktur haben als ein Handwerker, der eine Kundendatei in Excel führt. Der Handwerker wird wohl nicht verpflichtet sein, einen Fingerabdrucksensor vor seinem Serverraum zu installieren (insofern er einen hat).

Prüfen Sie deswegen die TOM auf die Verhältnismäßigkeit mittels Risikoanalyse: Ist der Schutzbedarf gemessen an Eintrittswahrscheinlichkeit und Schwere des Schadens angemessen? Auch wirtschaftliche Erwägungen sind zulässig, also die Abwägung, ob die Maßnahmen bzgl. Implementierungskosten angemessen sind. Weiter unten finden Sie Beispiele für konkrete Verarbeitungstätigkeiten.

Schloss an Tor, dies ist auch eine technische und organisatorische Maßnahme (TOM)

Muster, wie Sie nach DSGVO Ihre technischen und organisatorischen Maßnahmen erfassen sollten

Es bietet sich an, die TOM nach den Mustern, die von führenden Stellen zur Verfügung gestellt wurden, zu erstellen. So hat das Bayerische Landesamt für Datenschutzaufsicht eine Checkliste zur Dokumentation zu den TOM veröffentlicht, an der man sich gut orientieren kann. Es wäre auch denkbar, sich strikt an § 64 BDSG (neu) zu orientieren und sein Unternehmen auf dieser Grundlage abzuklopfen, obwohl dieser nur für öffentliche Stellen gilt.

Die Vorlage für die TOMs

Die Vorlage zur Erstellung der technischen und organisatorischen Maßnahmen kann folgendermaßen gegliedert werden:

  1. Pseudonymisierung
    Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind. Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID.
  2. Verschlüsselung
    Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
  3. Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)
    Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?
  4. Gewährleistung der Integrität (Art. 32 Abs. 1 b) DSGVO)
    Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?
  5. Gewährleistung der Verfügbarkeit (Art. 32 Abs. 1 b) DSGVO)
    Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten?
  6. Gewährleistung der Belastbarkeit der Systeme (Art. 32 Abs. 1 b) DSGVO)
    Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall (Art. 32 Abs. 1 c))
    Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht?
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 d))
    Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?
  9. Schriftliche Dokumentation von sonstigen Maßnahmen
    Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?
Checkliste zu den TOMs.

Diesen Katalog können sie z.B. in Word oder Excel abarbeiten oder aber per Hand, an die Form gibt es wenige Anforderungen. Wir haben Ihnen eine leere Word Vorlage vorbereitet, die Sie verwenden können: TOM Vorlage in Word. Die Checkliste zu den TOM finden Sie weiter unten.

Der Sonderfall: Auftragsverarbeitung und TOM

Sie haben Ihre eigenen TOM ausführlich dokumentiert und überprüfen diese auch regelmäßig. Damit ist aber noch lange nicht alles getan, denn sie haben sicher auch ein paar so genannte Auftragsverarbeiter engagiert, welche z.B. Ihre Lohnabrechnung machen oder ihr Nutzerverhalten auswerten (Stichwort Google Analytics). Diese müssen auch TOM vorweisen. Lassen Sie sich diese unbedingt aushändigen und legen Sie diese ab. Nach EU-Datenschutz-Grundverordnung sind Sie nämlich auch in der Pflicht, Ihre Verarbeiter zu kontrollieren und stehen im Schadensfall auch für diese ein! Wenn Ihnen nichts anderes vorliegt, schicken Sie einfach die o.g. Word Vorlage zum Ausfüllen an den Auftragsverarbeiter.

Beispiele aus der Praxis: Einhaltung der TOM

Hier sollen ein paar Beispiele für TOM geschildert werden, welche verdeutlichen sollen, wie man seine technischen und organisatorischen Maßnahmen einhalten kann.

Bildschirm mit Code - die Erstellung von TOMs

Nutzung einer Kundendatenbank auf einem Server

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? – Normal (die persönlichen Daten können für Dritte von Interesse sein, die Wahrscheinlichkeit, dass diese entwendet werden, ist aber als gering einzustufen bzw. die Sicherheitsmaßnahmen sind ausreichend)

Beispiele für technische und organisatorische Maßnahmen:

  1. Der Server auf dem alle Kundendaten liegen ist nur mit Passwort und Nutzername zu erreichen, der Serverraum ist mit einfachem Schlüssel verschlossen.
  2. Jede Nutzung wird protokolliert z.B. ein- und ausloggen, Änderungen an Datensätzen, Logins werden nicht geteilt, jedem Login ist eine Person zugeordnet.
  3. Es bestehen Lese und Schreibrechte, welche nach Bedarf verteilt werden. Kunden werden nicht unter Klarnamen sondern unter einer User-ID gespeichert, insofern eine Nachverfolgbarkeit nicht gewährleistet sein muss.
  4. Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet.
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft.
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt.

Anlegen einer Datenbank zur Reisekostenabrechnung

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? – Normal (die persönlichen Daten können für Dritte von Interesse sein, die Wahrscheinlichkeit, dass diese entwendet werden, ist aber als gering einzustufen bzw. die Sicherheitsmaßnahmen sind ausreichend)

Reisekostenabrechnung - TOMs am Strand.

Beispiele für technische und organisatorische Maßnahmen:

  1. Die Datenbank wird auf einem Netzwerklaufwerk in einer Excel Datei geführt, auf welche nur die Personalabteilung Zugriff hat.
  2. Zugriffe sind auf den minimalen Personenkreis beschränkt, Änderungen sind zuordenbar.
  3. Lese- und Schreibrechte sind auf den minimalen Personenkreis beschränkt.
  4. Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet.
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft, bei Personalwechsel werden die Rollenkonzepte ggf. neu erstellt.
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt.

Annahme von Bestellungen über ein Webportal

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? -Hoch (die verarbeiteten Daten sind von großem Interesse für Dritte und ein hoher Aufwand könnte sich für einen Angreifer lohnen).

Beispiele für technische und organisatorische Maßnahmen:

  1. Bestellungen und Abwicklungsdaten werden in einer verschlüsselten Datenbank gespeichert, welche auf einem Server liegt.
  2. Zugriffe werden an einzelne Mitarbeiter vergeben, welche einzelne Accounts und zugewiesene Rollen und Rechte haben.
  3. Es findet eine Passwortrichtlinie Anwendung und 2-Faktor Authentifizierung ist verpflichtend für den Zugriff auf das Backend.
  4. Backups werden multiredundant abgelegt und off-premise gelagert.
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft, bei Personalwechsel werden die Rollenkonzepte ggf. neu erstellt.
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt.

Sie sehen, es ist kein Hexenwerk, man muss nur wissen, wie man die Maßnahmen dokumentiert und wo man anfängt. Am besten geht dies über Muster, welche Sie Schritt-für-Schritt durch den Vorgang lotsen und Ihnen auch zeigen, welche Maßnahmen Sie bereits besitzen und welche Sie ggf. einführen müssen.

TOM Checkliste zur UmsetzungAuszug aus der kostenlosen TOm Checkliste zum Download als PDF.

Hier geht es zum Download der Checkliste als PDF.

Existiert überhaupt eine Dokumentation zu allen umgesetzten TOM?
 Praxisbeispiel: Eine Excel Tabelle, in der alle Bestandteile der TOM in einer Liste dargestellt sind.
Existiert ein Löschkonzept und wird dies für alle personenbezogenen Daten umgesetzt?
 Praxisbeispiel: Eine Excel Tabelle in der alle verarbeiteten Datenkategorien verzeichnet sind inkl. Löschfristen. Erstellung von Löschprotokollen oder sonstigen Nachweisen.
Wurden alle Maßnahmen zur Umsetzung der Zutrittskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Alarmanlagen, Schließsysteme.
Wurden alle Maßnahmen zur Umsetzung der Zugangskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Installation einer Firewall, Verschlüsselung von Datenträgern.
Wurden alle Maßnahmen zur Umsetzung der Zugriffskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Passwortrichtlinien, Löschanweisungen.
Wurden alle Maßnahmen zur Umsetzung der Weitergabekontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: E-Mail Verschlüsselung, Einsatz von VPN Technologie.
Wurden alle Maßnahmen zur Umsetzung der Eingabekontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Eingabeprotokollierung, Nutzerrollen.
Wurden alle Maßnahmen zur Umsetzung der Verfügbarkeitskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Feuer- und Rauchmelder, automatische Löschanlagen.
Wurden alle Maßnahmen zur Umsetzung des Trennungsgebots dokumentiert und durchgeführt?
 Praxisbeispiel: Physische Trennung von Datenträgern, Speicherung von personenbezogenen Daten je nach Zweck in unterschiedlichen Datenbanken.
Prüfen Sie alle Ihre Auftragsverarbeiter hinsichtlich der Einhaltung der Datenschutzgrundsätze?
 Praxisbeispiel: Vorabkontrolle beim Auftragsverarbeiter, Prüfung der TOMs des Auftragsverarbeiters.
Bestehen Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall?
 Praxisbeispiel: Backups, Incident Response Management.
Gibt es Vertretungsregelungen für die IT-Verantwortlichen?
 Praxisbeispiel: Wenn der IT-Leiter krank ist, kann der stellvertretende IT-Leiter seine Aufgaben übernehmen.
Sind die Verantwortlichen für die IT-Sicherheit angemessen ausgebildet und in alle Unternehmensstrukturen eingebunden, die mit personenbezogenen Daten zu tun haben?
 Praxisbeispiel: Der IT-Sicherheitsbeauftragte des Unternehmens wird bei jeder Tool-Neuanschaffung mit eingebunden.
Existieren Verfahren zur Gewährleistung der Belastbarkeit der Systeme und Dienste?
 Praxisbeispiel: Regelmäßige Tests der Belastbarkeit mittels Stresstests.
Existiert ein Datensicherheitskonzept bzw. eine Datensicherheitsrichtlinie?
 Praxisbeispiel: Ausarbeitung einer Datensicherheitsrichtlinie mit einem Berater.
Wurden alle Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf das Datengeheimnis verpflichtet und wurden im Umgang mit den Daten geschult?
 Praxisbeispiel: Aushändigung einer Schulungsunterlage im Jahresrhythmus, Verpflichtung aller Mitarbeiter auf das Datengeheimnis mit Unterschrift.
Existieren Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen?
 Praxisbeispiel: Die TOMs werden jedes Jahr unabhängig geprüft, die Prüfung und die Findings werden dokumentiert.
Entsprechen die TOM dem aktuellen Stand des technischen Fortschritts und sind gemäß festgelegten Schutzzielen und Risikoprofil angemessen?

TOM nach DSGVO dokumentieren – so geht’s

Technischen und organisatorischen Maßnahmen erstellen – Anleitung

Gesamtzeit: 14 Tage

Erarbeiten Sie eine Liste mit Verantwortlichen

Sollten Sie nicht selbst den Überblick über alle technischen Abläufe (Hard- und Software) im Unternehmen haben, sollten Sie sich eine Liste erarbeiten, welche sie Ansprechpartner enthält. Diese werden Sie in den nächsten Schritten benötigen. Mögliche Ansprechpartner sind: Product Owner, Hausmeister oder die Personalabteilung.

Besorgen Sie sich eine Liste von üblichen TOMs

Es ist für einen Datenschutzlaien nicht praktikabel sich den Stand der Technik selbst zu erarbeiten. Sie sollten eine Liste zur Hand haben, welche geeignete Maßnahmen enthält, die Sie dann durchgehen und abhaken können.

Gehen Sie die TOM Liste mit Ihrem Wissen durch

Sollten Sie schon Teilbereiche der Liste kennen und abhaken können, dann fangen Sie damit an. Analysieren Sie auch, ob die TOMs, die bereits implementiert sind, angemessen sind. Die Angemessenheit muss sowohl auf den Schutzbedarf aber auch auf den Aufwand und die Verhältnismäßigkeit hin geprüft werden.

Ziehen Sie weitere Verantwortliche hinzu

Alles was Sie nicht erledigen konnten oder wo Sie sich nicht sicher sind, sollten Sie mit den Verantwortlichen besprechen. Besprechen Sie auch die Angemessenheit und hinterfragen Sie die Umsetzung.

Legen Sie die TOMs dem Verantwortlichen vor

Sollten Sie selbst nicht die Verantwortliche Stelle gemäß DSGVO sein, so legen Sie nun die erarbeiteten Unterlagen vor und besprechen diese. Ggf. gibt es Maßnahmen, die ergänzt werden müssen oder Folgeprojekte.

Überprüfen Sie die TOMs regelmäßig

Eine Überprüfung sollte mindestens 1x im Jahr stattfinden, am besten dann, wenn die anderen Dokumente wie Verzeichnis von Verarbeitungstätigkeiten oder die Risikoanalyse aktualisiert werden.

Folgen bei Verstößen gegen die Dokumentationspflichten

Über die hohen Bußgelder der DSGVO wurde schon viel berichtet, nur so viel sei gesagt, sie sind hoch und es ist mit mehr Kontrollen zu rechnen. Ein wichtiger Punkt, den man nicht außer Acht lassen sollte, ist die Rechtfertigungsgrundlage, die man sich hier schafft, sollte es einmal zu einer Beschwerde bei den Behörden durch z.B. Kunden / Nutzer kommen. Aber auch wenn ein Datenleck auftaucht und dies öffentlich wird, können die TOM dazu dienen zu zeigen, dass das Schutzniveau angemessen war und ein Bußgeld kann ggf. vermieden werden.

Folgen, wenn TOMs nicht dokumentiert werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Häufige Fragen zum Thema technische und organisatorischen Maßnahmen nach DSGVO

Was sind TOMs?

Mit dem Namen „TOM“ oder „TOMs“ wird häufig „technische und organisatorischen Maßnahmen“ im Kontext der DSGVO abgekürzt. Dementsprechend wird oft das Wort TOMs benutzt um die Maßnahmen zu beschreiben.

Wie finde ich den aktuellen Stand der Technik?

Das ist recht schwierig pauschal zu beantworten. Die Maßnahmen müssen in erster Linie zu Ihrem Unternehmen passen und dort ein angemessenes Schutzniveau gewährleisten. Darüber hinaus sollten, Sie trotzdem regelmäßig überprüfen, ob es neuere und bessere Schutzmaßnahmen gibt.

Wann sind technische und organisatorische Maßnahmen (TOMs) im Sinne des Art. 32 EU-DSGVO erforderlich?

Sobald man die Verarbeitung personenbezogener Daten beginnt, braucht man auch TOMs. Die technisch organisatorische Maßnahmen müssen ab dem Zeitpunkt vorliegen, wo die Daten zum ersten mal erfasst, gespeichert oder auf sonstige Art und Weise verarbeitet werden.

Was sind organisatorische Schutzmaßnahmen i.S.d. Art. 32 DSGVO?

Organisatorische Maßnahmen gemäß Datenschutzrecht sind alle Maßnahmen, die die Umsetzung von Schutzmaßnahmen betreffen und konkrete Handlungsanweisungen sowie Prozesse vorgeben, nach denen personenbezogene Daten geschützt werden sollen. Es handelt sich also grundsätzlich um nichttechnische Maßnahmen, die sich an die durchführenden Personen oder Gruppen richten.

Beispiele für organisatorische Maßnahmen sind:
– Passwortrichtlinie,
– Besucherordnung,
– Mitarbeiterschulungen zum Thema Datenschutz,
– Verpflichtung eines Datensicherheitsbeauftragten,
– Löschchecklisten.

Was sind technische Schutzmaßnahmen i.S.d. Art. 32 DSGVO?

Technische Maßnahmen nach DSGVO umfassen alle Schutzmaßnahmen, die technisch bzw. physisch umsetzbar sind. Diese können Hard- und Software betreffen, aber auch die Räumlichkeiten der Datenverarbeitung.

Beispiele für technische Maßnahmen sind:
– Alarmanlagen,
– Firewalls,
– Kappen von Datenschnittstellen,
– Virenscanner,
– Türschlösser,
– Wachschutz.

Was ist Datensparsamkeit?

Datensparsamkeit definiert den sparsamen Umgang mit personenbezogenen Daten, dabei herrscht das Gebot, dass nur so viele Daten gespeichert oder allgemein verarbeitet werden dürfen, wie unbedingt notwendig. Das Minimalgebot ergibt sich aus Art. 5 Abs. 1 lit. c DSGVO.

Wie sind personenbezogene Daten zu sichern?

Personenbezogene Daten sind so zu sichern, dass unbefugte Dritte nicht darauf zugreifen können, dass sie nicht versehentlich oder willkürlich gelöscht werden können und dass der Datenschutz im Allgemeinen eingehalten wird. Dabei ist der aktuelle Stand der Technik anzuwenden.

Quellen

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/64-bdsg-neu/

https://dsgvo-gesetz.de/art-42-dsgvo/

https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/

https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto