Warum sind technische und organisatorische Maßnahmen (TOM) im Datenschutz so wichtig?

Jeder Unternehmer muss sich irgendwann mit der Frage nach den technisch und organisatorischen Fragen auseinandersetzen (kurz TOM), denn diese sind unerlässlich, wenn man personenbezogene Daten vor unbefugter Offenlegung, Veränderung oder Verlust schützen möchte.

Was sind technisch und organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen (TOM) sind Sicherheitsvorkehrungen, die gemäß der Datenschutzgrundverordnung (Art. 32 DS-GVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)) ergriffen werden müssen, um den Schutz von personenbezogenen Daten gewährleisten zu können. Von diesem Oberbegriff sind sowohl technische als auch organisatorische Maßnahmen umfasst. Durch die Umsetzung von technisch und organisatorischen Maßnahmen sollen folgende Ziele erreicht werden:

• Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang bei der Datenverarbeitung
• Rasche Wiederherstellung der Daten und Zugänge, falls es zu einem physischen oder technischen Zwischenfall kommt

Durch die Umsetzung von technischen und organisatorischen Maßnahmen stellen Sie sicher, datenschutzkonform zu arbeiten. Zudem vermeiden Sie das Risiko von Bußgeldern, denen Sie unweigerlich ausgesetzt sind, sollte es zu einen Datenschutzvorfall kommen und sie keine der in der DS-GVO genannten Vorgaben umgesetzt haben.

Technische Maßnahmen

Doch was versteht man unter technischen Maßnahmen? Im Folgendem zeigen wir Ihnen einige Beispiele für technische Maßnahmen, die Sie entsprechend der DS-GVO umsetzen sollten:

• Zutrittskontrolle: regeln Sie den physischen Zugang zu Ihren Räumlichkeiten, in denen Sie personenbezogene Daten verarbeiten, z.B. durch die Einrichtung von Zugangskontrollsystemen.
• Zugangskontrolle: Vermeiden Sie den unbefugten Zugriff durch Dritte, indem Sie sichere Passwörter verwenden, und eine Authentifizierung der Nutzer einrichten. Hierbei ist die Erstellung eines Berechtigungskonzeptes unerlässlich.
• Zugriffskontrolle: Beschränken Sie den Zugriff auf personenbezogene Daten auf autorisierte Personen. Legen Sie Berechtigungen, Rollen und Zugriffsrechte genau fest und pflegen Sie dies in Ihrem Berechtigungskonzept mit ein.
• Weitergabekontrolle: Legen Sie genau fest, wie personenbezogene Daten innerhalb und außerhalb des Unternehmens weitergegeben werden dürfen. Bedienen Sie sich hierfür z.B. einer sicheren Verschlüsselungsmethode und nutzen Sie sichere Übertragungsprotokolle
• Eingabekontrolle: Eingabekontrolle bedeutet, dass Sie die Eingaben von Benutzern überprüfen, um sicherzustellen, dass diese korrekt sind.
• Auftragskontrolle: schließen Sie mit externen Dienstleistern, die für Sie personenbezogene Daten verarbeiten, einen Auftragsverarbeitungsvertrag und überprüfen Sie ob auch beim Dienstleister entsprechende Kontrollmechanismen existieren.

Die Auswahl der geeigneten Maßnahmen, hängt letztendlich von der Art der Datenverarbeitung und den individuellen Gegebenheiten in Ihrem Unternehmen ab.

Organisatorische Maßnahmen

Bei organisatorischen Maßnahmen handelt es sich um nichttechnische Vorkehrungen, um die Datensicherheit zu gewährleisten. Diese betreffen in der Regel Abläufe und Personen im eigenen Unternehmen. Zur besseren Veranschaulichung sollen auch hier einige Beispiele genannt werden, wie Sie organisatorische Maßnahmen in Ihrem Unternehmen umsetzen können:

• Protokollierung von Besuchern: Erfassen Sie, wer Ihre Räumlichkeiten betritt oder Zugriff auf Ihre Systeme hat.
• Verpflichtung der Beschäftigten auf das Datengeheimnis: Verpflichten Sie Ihre Mitarbeiter auf die Einhaltung des Datengeheimnisses, falls Sie dies nicht bereits im Arbeitsvertrag geregelt haben sollten. Aber auch in diesem Fall schadet es nicht im Rahmen von regelmäßigen Schulungen zum Thema Datenschutz auch hierauf nochmals hinzuweisen.
• Bereitstellung von Datenschutzhinweisen: Teilen Sie z.B. Nutzern Ihrer Webseite in Ihrer Datenschutzinformation mit, welche externen Dienstleister Sie zur Datenerfassung nutzen. Falls Sie eine Videoüberwachung im Einsatz haben, sollten Sie sicherstellen, dass entsprechende Hinweisschilder angebracht worden usw.
• Bearbeitung von Anfragen Betroffener: Integrieren Sie Prozesse, beispielsweise, wie man auf Datenschutzanfragen (z.B. Auskunftsanfragen) reagieren sollte.
• Notfallmanagement für Datenpannen: Auch hier bietet es sich an, einen klaren Prozessablauf festzulegen und Mitarbeiter darin zu unterweisen, wie Sie in einem solchen Fall reagieren müssen.
• Mitarbeiterschulungen: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.

Was versteht man unter dem Stand der Technik?

Doch was ist eigentlich damit gemeint, wenn diese Maßnahmen dem Stand der Technik entsprechen sollen? Mit Stand der Technik, versucht der Gesetzgeber den aktuellen Entwicklungsstand von Technik, bzw. Technologien und Verfahren gerecht zu werden.

Das bedeutet, dass technisch und organisatorische Maßnahmen laut DS-GVO dem aktuellen Wissens- und Technologieniveau entsprechen sollten. Hierbei bezieht sich der Stand der Technik in der Regel auf bewährte Verfahren, Sicherheitsstandards und aktuelle Entwicklungen in der IT-Sicherheit. Technische und organisatorische Maßnahmen sollten also nicht deutlich veraltet sein, sondern sollten den besten verfügbaren Schutz bieten, um personenbezogene Daten vor unbefugten Zugriffen, Verlust oder Missbrauch zu schützen.

Weitere Informationen zum Thema „Stand der Technik“ finden sie auf der Seite des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter folgendem Link: BSI – Stand der Technik umsetzen (bund.de)

Sind TOM für ein Unternehmen verpflichtend?

Ja, technisch und organisatorische Maßnahmen sind für Unternehmen verpflichtend, um den Datenschutz gemäß der DS-GVO sicherzustellen zu können. Sie sollen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch schützen. Welche Maßnahmen Sie konkret in Ihrem Unternehmen umsetzen sollten, hängt davon ab, welche Art der Datenverarbeitung Sie vornehmen und welche individuellen Gegebenheiten vorliegen. Wir empfehlen Ihnen hierzu einen Datenschutzberater oder einen Rechtsberater zur Rate zu ziehen. Dies können Ihnen dabei helfen, die richtigen Maßnahmen für Ihr Unternehmen auszuwählen und umzusetzen.

Wer braucht TOM?

Technisch und organisatorische Maßnahmen sind für alle Organisationen verpflichtend, die personenbezogene Daten verarbeiten. Dazu gehören Unternehmen, Behörden, gemeinnützige Organisationen und auch Selbstständige. Unabhängig von der Größe oder Branche müssen alle sicherstellen, dass ihre TOMs dem aktuellen Stand der Technik entsprechen und den Datenschutz gewährleisten.

Wer erstellt die TOM?

Technisch und organisatorischen Maßnahmen werden in der Regel intern von der Organisation selbst erstellt. Zuständig dafür sind in der Regel der Datenschutzbeauftragte, IT-Sicherheitsexperten sowie der Verantwortliche selbst. Diese Fachleute analysieren die spezifischen Anforderungen der Organisation, bewerten Risiken und implementieren geeignete Maßnahmen, um ein datenschutzkonformes Arbeiten im Unternehmen sicherzustellen.

Regelmäßige Überprüfung und Aktualisierung von TOMs

Doch ist es damit getan die technisch und organisatorischen Maßnahmen einmal zu prüfen und dann hat man seine Schuldigkeit getan? Die Antwort hierauf lautet leider nein. Neben den Schutzzielen ist in Art. 32 Abs. 1 lit. d DSGVO Art. 32 DSGVO – Sicherheit der Verarbeitung – Datenschutz-Grundverordnung (DSGVO) (dsgvo-gesetz.de)  zusätzlich ein Verfahren geregelt, welches sicherstellen soll, dass die TOM stets an die aktuellen Anforderungen und Entwicklungen angepasst werden. Die Verordnung fordert: „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“.

Die regelmäßige Überprüfung und Aktualisierung von technischen und organisatorischen Maßnahmen ist unerlässlich, um die Datensicherheit zu gewährleisten und um dem Stand der Technik zu entsprechen. Bleibt also noch die Frage zu klären, wie oft man nun diese Überprüfung vornehmen muss, um den Anforderungen der DS-GVO zu entsprechen. Eine genaue Vorgabe hierzu finden sich nicht im Gesetz. Leider kann hierzu auch keine pauschale Empfehlung gegeben werden, denn die wie oft und in welchen Abständen Sie ihre Auftragsverarbeiter prüfen sollten, hängt von den individuellen Faktoren ab. Die folgenden Faktoren sollen Ihnen helfen den für Sie richtigen Abstand zu finden:

• Verarbeitung von Sensiblen Daten: hier sind höhere Sicherheitsmaßnahmen notwendig, als bei der Verarbeitung von weniger sensible Daten und sollten daher häufiger überprüft werden.
• Das Feststellen von Sicherheitsvorfällen: Nachdem ein Sicherheitsvorfall festgestellt wurde, sollten die TOMs unter Umständen häufiger überprüft werden, um sicherzustellen, dass alle Schwachstellen behoben wurden.
• Der Kontext der Verarbeitung: Die Datenverarbeitung in einem dynamischen Umfeld kann häufigere Überprüfungen erforderlich machen.

Wir empfehlen Ihnen ihre technischen und organisatorischen Maßnahmen einmal im Jahr zu überprüfen, ggf. öfters, wenn einer der zuvor genannten Punkte auf Sie zutreffen sollte oder wenn Sie Änderungen in Ihrem Unternehmen vornehmen (z.B. Einführung neuer Software, etc).

Fazit

Technische und organisatorische Maßnahmen sind für Ihr Unternehmen unerlässlich, um ein datenschutzkonformes Arbeiten mit personenbezogenen Daten sicherzustellen, denn Sie schützen diese vor unbefugtem Zugriff, Verlust oder Missbrauch. Es ist jedem Fall nicht ausreichend, lediglich Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus zu ergreifen. Die gewählten Maßnahmen müssen zudem regelmäßig und systematisch überprüft werden.

Die regelmäßige Überprüfung muss auch nachweisbar sein, denn nur so können Sie Bußgelder vermeiden, denn diese können bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes des Unternehmens verhängt werden. Daneben kann es auch zu Schadensersatzansprüchen von betroffenen Personen kommen und das Vertrauen von Kunden und Geschäftspartnern kann in Mitleidenschaft gezogen werden.

Wir empfehlen Ihnen daher folgendes Vorgehen:

• Routinemäßige Überprüfung: jährlich oder anlassbezogen (z.B. bei Änderungen im Unternehmen, Feststellen einer Sicherheitslücke)
• Anpassung an neue Technologien: Technologie entwickeln sich ständig weiter. Stellen Sie sicher, dass die TOMs an den aktuellen Stand der Technik angepasst werden. Ggf. sind Zusatzmaßnahmen erforderlich.
• Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter im Hinblick auf Datenschutzthemen. Hier empfiehlt sich eine jährliche Schulung.
• Dokumentation: Änderungen der TOMs sollten sorgfältig dokumentiert werden, um den Nachweis zu erbringen, dass Sie Ihrer Pflicht nachgekommen sind.

Weitere Informationen zu dem Thema und Hilfreiche Tipps gibt das Bayerische Landesamt für Datenschutzaufsicht in seiner Checkliste zum Good Practice bei technischen und organisatorischen Maßnahmen unter folgendem Link: baylda_checkliste_tom.pdf (bayern.de)