Technische und organisatorische Maßnahmen (TOM) nach DSGVO richtig dokumentieren

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die TOM für den Datenschutz richtig zu dokumentieren stellt eine wichtige Säule der Datenschutz Dokumentation dar. Das Gesetz spricht dabei von der “Sicherheit der Verarbeitung” bzw. “Anforderungen an die Sicherheit der Datenverarbeitung”.

Technische und organisatorische Maßnahmen (Mehrzahl auch „TOMs“) sind also Maßnahmen, die die Sicherheit und Integrität der verarbeiteten Daten gewährleisten aber auch z.B. vor dem unbefugten Zugriff Dritter schützen. Sie sollten schriftlich dokumentiert und regelmäßig aktualisiert werden.

In diesem Artikel erfahren Sie konkret:

  • Welche Rolle die TOMs im Rahmen der Datenschutz-Grundverordnung spielen und wieso Sie diese benötigen,
  • Ob Sie Ihre technischen und organisatorischen Maßnahmen überhaupt dokumentieren müssen,
  • Wie Sie Ihre TOMs Schritt-für-Schritt erfassen,
  • Wie Sie an ein kostenloses Muster zur Erfassung Ihrer TOMs bzw. an eine Checkliste kommen,
  • Was typische Beispiele für angemessene Schutzmaßnahmen sind,
  • und was passiert, wenn Sie sich nicht an die Dokumentationspflichten halten.

Diese Rolle spielen TOM bei der Datenschutz Dokumentation

Genauso wie das Verzeichnis von Verarbeitungstätigkeiten (früher: Verfahrensverzeichnis) und die Risikoanalyse (bzw. DSFA), ist die Dokumentation der TOM eine wichtige und verpflichtende Datenschutz Dokumentation nach DSGVO. D.h. alle Unternehmen, Vereine, Einzelkaufleute, Handwerker etc., die personenbezogene Daten verarbeiten, müssen diese drei Elemente dokumentieren.

Die technischen und organisatorischen Maßnahmen spielen dabei eine ganz besondere Rolle, weil sie den ganzen Datenschutz im Unternehmen “überwachen”. Es geht also zum großen Teil darum, wie die Daten der Betroffenen (Kunden, Lieferanten, Mitarbeiter etc.) geschützt und abgesichert sind.

Eine besondere Bedeutung kommt den TOM dann zu, wenn es zu einem meldepflichtigen Datenleck oder Datenschutzverstoß gekommen ist. Dann können die TOM dazu dienen zu belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden. Dabei sollten Sie dafür sorgen, dass die TOM am besten so schnell wie möglich dokumentiert werden und nicht erst, wenn eine Behörde nach ihnen fragt.

Wer ist für die technischen und organisatorischen Maßnahmen, für die Sicherheit der Verarbeitung und die Vertraulichkeit der Daten verantwortlich?

Zuständig und haftbar ist, wie bei allen datenschutzrechtlichen Belangen, die Verantwortliche Stelle (gem. Art. 4 Nr. 7 DSGVO). Also die natürliche (z.B. Einzelunternehmer) oder juristische Person (z.B. GmbH, AG), über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Wie eingangs erwähnt, wird die Dokumentation zur Pflicht, sobald personenbezogene Daten verarbeitet werden. Dies ist dann der Fall, wenn die Daten zum ersten Mal erhoben werden, z.B. wenn sie anfangen für einen Newsletter E-Mail-Adressen einzusammeln oder eine Kundendatei anlegen.

Prüfen Sie hier, ob eine Verarbeitung vorliegt und Sie eine Dokumentation durchführen müssen.

Beachten Sie, dass der Grundsatz gilt, je mehr und je sensibler die Daten, die Sie verarbeiten, desto mehr Schutz müssen Sie vorweisen können. Eine Arztpraxis für Suchtkranke sollte mehr Schutz in der IT-Infrastruktur haben als ein Handwerker, der eine Kundendatei in Excel führt. Der Handwerker wird wohl nicht verpflichtet sein, einen Fingerabdrucksensor vor seinem Serverraum zu installieren (insofern er einen hat).

Prüfen Sie deswegen die TOM auf die Verhältnismäßigkeit mittels Risikoanalyse: Ist der Schutzbedarf gemessen an Eintrittswahrscheinlichkeit und Schwere des Schadens angemessen? Auch wirtschaftliche Erwägungen sind zulässig, also die Abwägung, ob die Maßnahmen bzgl. Implementierungskosten angemessen sind. Weiter unten finden Sie Beispiele für konkrete Verarbeitungstätigkeiten.

Schloss an Tor, dies ist auch eine technische und organisatorische Maßnahme (TOM)

Muster, wie Sie nach DSGVO Ihre technischen und organisatorischen Maßnahmen erfassen sollten

Es bietet sich an, die TOM nach den Mustern, die von führenden Stellen zur Verfügung gestellt wurden, zu erstellen. So hat der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. eine Kurzvorlage zur Dokumentation zu den TOM veröffentlicht, an der man sich gut orientieren kann. Es wäre auch denkbar, sich strikt an § 64 BDSG (neu) zu orientieren und sein Unternehmen auf dieser Grundlage abzuklopfen, obwohl dieser nur für öffentliche Stellen gilt.

Die Vorlage für die TOMs

Die Vorlage zur Erstellung der technischen und organisatorischen Maßnahmen kann folgendermaßen gegliedert werden:

  1. Pseudonymisierung
    Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind. Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID.
  2. Verschlüsselung
    Hier geht es um den Schutz der Daten vor unberechtigten Zugang z.B. durch Passwörter auf Archiven.
  3. Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 b) DSGVO)
    Hier geht es um alles, was mit Zutritt und Zugang zu tun hat, wie gewährleisten Sie, dass nur Berechtigte Zugang zum Serverraum haben?
  4. Gewährleistung der Integrität (Art. 32 Abs. 1 b) DSGVO)
    Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie steuern Sie Änderungen oder Löschungen?
  5. Gewährleistung der Verfügbarkeit (Art. 32 Abs. 1 b) DSGVO)
    Wie gewährleisten Sie, z.B. bei einem Stromausfall die Verfügbarkeit der Daten?
  6. Gewährleistung der Belastbarkeit der Systeme (Art. 32 Abs. 1 b) DSGVO)
    Machen Sie regelmäßige checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind?
  7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall (Art. 32 Abs. 1 c))
    Haben Sie Vorgehensweisen, bei einem Zwischenfall, der z.B. alle ihre Daten auf einem Server löscht?
  8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Art. 32 Abs. 1 d))
    Prüfen Sie auch, ob die o.g. Maßnahmen effektiv sind? Wenn ja, wie?
  9. Schriftliche Dokumentation von sonstigen Maßnahmen
    Haben Sie z.B. Datenschutz Anweisungen an Ihre Mitarbeiter ausgegeben? Haben Sie eine IT-Sicherheitszertifizierung?

Diesen Katalog können sie z.B. in Word oder Excel abarbeiten oder aber per Hand, an die Form gibt es wenige Anforderungen. Wir haben Ihnen eine leere Word Vorlage vorbereitet, die Sie verwenden können: TOM Vorlage in Word. Die Checkliste zu den TOM finden Sie weiter unten.

Der Sonderfall: Auftragsverarbeitung und TOM

Sie haben Ihre eigenen TOM ausführlich dokumentiert und überprüfen diese auch regelmäßig. Damit ist aber noch lange nicht alles getan, denn sie haben sicher auch ein paar so genannte Auftragsverarbeiter engagiert, welche z.B. Ihre Lohnabrechnung machen oder ihr Nutzerverhalten auswerten (Stichwort Google Analytics). Diese müssen auch TOM vorweisen. Lassen Sie sich diese unbedingt aushändigen und legen Sie diese ab. Nach EU-Datenschutz-Grundverordnung sind Sie nämlich auch in der Pflicht, Ihre Verarbeiter zu kontrollieren und stehen im Schadensfall auch für diese ein! Wenn Ihnen nichts anderes vorliegt, schicken Sie einfach die o.g. Word Vorlage zum Ausfüllen an den Auftragsverarbeiter.

Beispiele aus der Praxis: Einhaltung der TOM

Hier sollen ein paar Beispiele für TOM geschildert werden, welche verdeutlichen sollen, wie man seine technischen und organisatorischen Maßnahmen einhalten kann.

Bildschirm mit Code - die Erstellung von TOMs

Nutzung einer Kundendatenbank auf einem Server

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? – Normal (die persönlichen Daten können für Dritte von Interesse sein, die Wahrscheinlichkeit, dass diese entwendet werden, ist aber als gering einzustufen bzw. die Sicherheitsmaßnahmen sind ausreichend)

Beispiele für technische und organisatorische Maßnahmen:

  1. Der Server auf dem alle Kundendaten liegen ist nur mit Passwort und Nutzername zu erreichen (Nr. 3 gewährleistet), der Serverraum ist mit einfachem Schlüssel verschlossen.
  2. Jede Nutzung wird protokolliert z.B. ein- und ausloggen, Änderungen an Datensätzen, Logins werden nicht geteilt, jedem Login ist eine Person zugeordnet (Nr. 4 gewährleistet).
  3. Es bestehen Lese und Schreibrechte, welche nach Bedarf verteilt werden. Kunden werden nicht unter Klarnamen sondern unter einer User-ID gespeichert, insofern eine Nachverfolgbarkeit nicht gewährleistet sein muss (Nr. 1 gewährleistet).
  4. Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet (Nr. 2, 5, 6, 7 gewährleistet).
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft (Nr. 8 erfüllt)
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt (Nr. 9 erfüllt)

Anlegen einer Datenbank zur Reisekostenabrechnung

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? – Normal (die persönlichen Daten können für Dritte von Interesse sein, die Wahrscheinlichkeit, dass diese entwendet werden, ist aber als gering einzustufen bzw. die Sicherheitsmaßnahmen sind ausreichend)

Beispiele für technische und organisatorische Maßnahmen:

  1. Die Datenbank wird auf einem Netzwerklaufwerk in einer Excel Datei geführt, auf welche nur die Personalabteilung Zugriff hat.
  2. Zugriffe sind auf den minimalen Personenkreis beschränkt, Änderungen sind zuordenbar.
  3. Lese- und Schreibrechte sind auf den minimalen Personenkreis beschränkt.
  4. Es werden regelmäßig Backups gezogen, welche sich verschlüsselt in der Cloud befinden. Diese werden regelmäßig auf Integrität getestet.
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft, bei Personalwechsel werden die Rollenkonzepte ggf. neu erstellt.
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt.

Annahme von Bestellungen über ein Webportal

Schutzbedarf – wie sensibel sind die Daten für den Betroffenen? – Normal (ein möglicher Datenmissbrauch hätte vertretbare Auswirkungen auf wirtschaftliche und persönliche Verhältnisse des Betroffenen)

Eintrittswahrscheinlichkeit – wie wahrscheinlich ist es, dass persönliche Daten zweckentfremdet werden? Wie interessant sind die Daten für Dritte? -Hoch (die verarbeiteten Daten sind von großem Interesse für Dritte und ein hoher Aufwand könnte sich für einen Angreifer lohnen).

Beispiele für technische und organisatorische Maßnahmen:

  1. Bestellungen und Abwicklungsdaten werden in einer verschlüsselten Datenbank gespeichert, welche auf einem Server liegt.
  2. Zugriffe werden an einzelne Mitarbeiter vergeben, welche einzelne Accounts und zugewiesene Rollen und Rechte haben.
  3. Es findet eine Passwortrichtlinie Anwendung und 2-Faktor Authentifizierung ist verpflichtend für den Zugriff auf das Backend.
  4. Backups werden multiredundant abgelegt und off-premise gelagert.
  5. Jedes Quartal werden die oben genannten Maßnahmen überprüft, bei Personalwechsel werden die Rollenkonzepte ggf. neu erstellt.
  6. Es bestehen klare Anweisungen an Mitarbeiter zur Einhaltung des Datenschutzes. Jedes Quartal wird eine E-Mail mit Datenschutzhinweisen an alle Mitarbeiter verschickt.

Sie sehen, es ist kein Hexenwerk, man muss nur wissen, wie man die Maßnahmen dokumentiert und wo man anfängt. Am besten geht dies über Muster, welche Sie Schritt-für-Schritt durch den Vorgang lotsen und Ihnen auch zeigen, welche Maßnahmen Sie bereits besitzen und welche Sie ggf. einführen müssen.

TOM Checkliste zur UmsetzungAuszug aus der kostenlosen TOm Checkliste zum Download als PDF.

Hier geht es zum Download der Checkliste als PDF.

Existiert überhaupt eine Dokumentation zu allen umgesetzten TOM?
 Praxisbeispiel: Eine Excel Tabelle, in der alle Bestandteile der TOM in einer Liste dargestellt sind.
Existiert ein Löschkonzept und wird dies für alle personenbezogenen Daten umgesetzt?
 Praxisbeispiel: Eine Excel Tabelle in der alle verarbeiteten Datenkategorien verzeichnet sind inkl. Löschfristen. Erstellung von Löschprotokollen oder sonstigen Nachweisen.
Wurden alle Maßnahmen zur Umsetzung der Zutrittskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Alarmanlagen, Schließsysteme.
Wurden alle Maßnahmen zur Umsetzung der Zugangskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Installation einer Firewall, Verschlüsselung von Datenträgern.
Wurden alle Maßnahmen zur Umsetzung der Zugriffskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Passwortrichtlinien, Löschanweisungen.
Wurden alle Maßnahmen zur Umsetzung der Weitergabekontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: E-Mail Verschlüsselung, Einsatz von VPN Technologie.
Wurden alle Maßnahmen zur Umsetzung der Eingabekontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Eingabeprotokollierung, Nutzerrollen.
Wurden alle Maßnahmen zur Umsetzung der Verfügbarkeitskontrolle dokumentiert und durchgeführt?
 Praxisbeispiel: Feuer- und Rauchmelder, automatische Löschanlagen.
Wurden alle Maßnahmen zur Umsetzung des Trennungsgebots dokumentiert und durchgeführt?
 Praxisbeispiel: Physische Trennung von Datenträgern, Speicherung von personenbezogenen Daten je nach Zweck in unterschiedlichen Datenbanken.
Prüfen Sie alle Ihre Auftragsverarbeiter hinsichtlich der Einhaltung der Datenschutzgrundsätze?
 Praxisbeispiel: Vorabkontrolle beim Auftragsverarbeiter, Prüfung der TOMs des Auftragsverarbeiters.
Bestehen Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall?
 Praxisbeispiel: Backups, Incident Response Management.
Gibt es Vertretungsregelungen für die IT-Verantwortlichen?
 Praxisbeispiel: Wenn der IT-Leiter krank ist, kann der stellvertretende IT-Leiter seine Aufgaben übernehmen.
Sind die Verantwortlichen für die IT-Sicherheit angemessen ausgebildet und in alle Unternehmensstrukturen eingebunden, die mit personenbezogenen Daten zu tun haben?
 Praxisbeispiel: Der IT-Sicherheitsbeauftragte des Unternehmens wird bei jeder Tool-Neuanschaffung mit eingebunden.
Existieren Verfahren zur Gewährleistung der Belastbarkeit der Systeme und Dienste?
 Praxisbeispiel: Regelmäßige Tests der Belastbarkeit mittels Stresstests.
Existiert ein Datensicherheitskonzept bzw. eine Datensicherheitsrichtlinie?
 Praxisbeispiel: Ausarbeitung einer Datensicherheitsrichtlinie mit einem Berater.
Wurden alle Mitarbeiter, die mit personenbezogenen Daten zu tun haben, auf das Datengeheimnis verpflichtet und wurden im Umgang mit den Daten geschult?
 Praxisbeispiel: Aushändigung einer Schulungsunterlage im Jahresrhythmus, Verpflichtung aller Mitarbeiter auf das Datengeheimnis mit Unterschrift.
Existieren Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen?
 Praxisbeispiel: Die TOMs werden jedes Jahr unabhängig geprüft, die Prüfung und die Findings werden dokumentiert.
Entsprechen die TOM dem aktuellen Stand des technischen Fortschritts und sind gemäß festgelegten Schutzzielen und Risikoprofil angemessen?

Folgen bei Verstößen gegen die Dokumentationspflichten

Über die hohen Bußgelder der DSGVO wurde schon viel berichtet, nur so viel sei gesagt, sie sind hoch und es ist mit mehr Kontrollen zu rechnen. Ein wichtiger Punkt, den man nicht außer Acht lassen sollte, ist die Rechtfertigungsgrundlage, die man sich hier schafft, sollte es einmal zu einer Beschwerde bei den Behörden durch z.B. Kunden / Nutzer kommen. Aber auch wenn ein Datenleck auftaucht und dies öffentlich wird, können die TOM dazu dienen zu zeigen, dass das Schutzniveau angemessen war und ein Bußgeld kann vermieden werden.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Häufige Fragen zum Thema technische und organisatorischen Maßnahmen nach DSGVO

Was sind TOMs?

Mit dem Namen „TOM“ oder „TOMs“ wird häufig „technische und organisatorischen Maßnahmen“ im Kontext der DSGVO abgekürzt. Dementsprechend wird oft das Wort TOMs benutzt um die Maßnahmen zu beschreiben.

Wie finde ich den aktuellen Stand der Technik?

Das ist recht schwierig pauschal zu beantworten. Die Maßnahmen müssen in erster Linie zu Ihrem Unternehmen passen und dort ein angemessenes Schutzniveau gewährleisten. Darüber hinaus sollten, Sie trotzdem regelmäßig überprüfen, ob es neuere und bessere Schutzmaßnahmen gibt.

Wann sind technische und organisatorische Maßnahmen (TOMs) im Sinne des Art. 32 EU-DSGVO erforderlich?

Sobald man die Verarbeitung personenbezogener Daten beginnt, braucht man auch TOMs. Die technisch organisatorische Maßnahmen müssen ab dem Zeitpunkt vorliegen, wo die Daten zum ersten mal erfasst, gespeichert oder auf sonstige Art und Weise verarbeitet werden.

Was sind organisatorische Schutzmaßnahmen i.S.d. Art. 32 DSGVO?

Organisatorische Maßnahmen gemäß Datenschutzrecht sind alle Maßnahmen, die die Umsetzung von Schutzmaßnahmen betreffen und konkrete Handlungsanweisungen sowie Prozesse vorgeben, nach denen personenbezogene Daten geschützt werden sollen. Es handelt sich also grundsätzlich um nichttechnische Maßnahmen, die sich an die durchführenden Personen oder Gruppen richten.

Beispiele für organisatorische Maßnahmen sind:
– Passwortrichtlinie,
– Besucherordnung,
– Mitarbeiterschulungen zum Thema Datenschutz,
– Verpflichtung eines Datensicherheitsbeauftragten,
– Löschchecklisten.

Was sind technische Schutzmaßnahmen i.S.d. Art. 32 DSGVO?

Technische Maßnahmen nach DSGVO umfassen alle Schutzmaßnahmen, die technisch bzw. physisch umsetzbar sind. Diese können Hard- und Software betreffen, aber auch die Räumlichkeiten der Datenverarbeitung.

Beispiele für technische Maßnahmen sind:
– Alarmanlagen,
– Firewalls,
– Kappen von Datenschnittstellen,
– Virenscanner,
– Türschlösser,
– Wachschutz.

Was ist Datensparsamkeit?

Datensparsamkeit definiert den sparsamen Umgang mit personenbezogenen Daten, dabei herrscht das Gebot, dass nur so viele Daten gespeichert oder allgemein verarbeitet werden dürfen, wie unbedingt notwendig. Das Minimalgebot ergibt sich aus Art. 5 Abs. 1 lit. c DSGVO.

Wie sind personenbezogene Daten zu sichern?

Personenbezogene Daten sind so zu sichern, dass unbefugte Dritte nicht darauf zugreifen können, dass sie nicht versehentlich oder willkürlich gelöscht werden können und dass der Datenschutz im Allgemeinen eingehalten wird. Dabei ist der aktuelle Stand der Technik anzuwenden.

Quellen

https://dsgvo-gesetz.de/art-32-dsgvo/

https://dsgvo-gesetz.de/bdsg-neu/64-bdsg-neu/

https://dsgvo-gesetz.de/art-42-dsgvo/

https://dsgvo-gesetz.de/erwaegungsgruende/nr-75/

https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto