Technisch und organisatorische Maßnahmen (TOM)

Was sind technisch organisatorische Maßnahmen laut DSGVO?

Wenn Unternehmen personenbezogene Daten erheben und verarbeiten, müssen sie den Schutz dieser Daten sicherstellen – zum Beispiel mit geeigneten TOM. Im Datenschutz versteht man unter technisch organisatorischen Maßnahmen Schutzvorkehrungen, die Verantwortliche im Unternehmen treffen müssen.

Durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design und Privacy by Default) können Unternehmen die Grundsätze des Datenschutzes einhalten – Art. 32 Abs. 1 DSGVO schreibt dafür unter anderem folgende Maßnahmen vor:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
• Verfügbarkeit der personenbezogenen Daten
• Wiederherstellung des Zugangs zu den Daten bei einem physischen oder technischen Zwischenfall
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Welche Zwecke erfüllen technisch organisatorische Maßnahmen?

Die in der DSGVO beschriebenen Maßnahmen sollen sicherstellen, dass personenbezogene Daten dem neusten Stand der Technik nach ausreichend geschützt sind. Damit alle im Unternehmen gespeicherten und verarbeiteten personenbezogenen Daten hinsichtlich bestehender Risiken ausreichend geschützt werden, müssen Unternehmen ihre TOM nach einer Risikoanalyse aufstellen.

Was das konkret bedeutet, zeigt das folgende Beispiel: Die Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein. Arbeiten Sie mit Festplatten, muss es von allen Daten auf diesen Festplatten ein Backup geben. Nur so ist sichergestellt, dass die Daten im Falle einer irreparabel beschädigten Festplatte nicht verloren sind. Diese Risikoanalyse ist unverzichtbar.

Was bedeuten TOM für Unternehmen?

Die DSGVO erweitert die Anforderungen im Bereich Sicherheit der Verarbeitung personenbezogener Daten und erlegt Unternehmen und betrieblichen Datenschutzbeauftragten erweiterte Dokumentations- und Nachweispflichten auf. Sie müssen alle ergriffenen Maßnahmen dokumentieren, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen vorweisen zu können.

Das ist insbesondere wichtig, um sich vor Bußgeldern zu schützen. Diese drohen, sollte es im Rahmen der technisch organisatorisch Maßnahmen zu Versäumnissen und Verstößen kommen. Relevant ist in diesem Fall neben der Dokumentation der erfolgten Maßnahmen eine gegebenenfalls notwendige Folgenabschätzung.

Welche Strafen drohen bei TOM-Verstößen?

Während Unternehmen bei anderen Verstößen mit maximal 300.000 Euro Bußgeld rechnen müssen, sind es bei den TOM bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes. Um sich davor zu schützen ist Expertise gefragt. Denn unbestimmte und auslegungsbedürftige Rechtsbegriffe, die die Verordnung als Maßstab verlangt, erschweren oft ihre korrekte Umsetzung. Dazu gehört beispielsweise das generelle Erfordernis den „Stand der Technik“ umzusetzen. Ein Datenschutzexperte weiß genau, wie Sie diese Anforderung erfüllen können.

Was bedeutet das für Unternehmen und wie setzt man TOM am besten DSGVO-konform um?

Da die DSGVO bei der konkreten Definition der TOM für den Datenschutz eher vage bleibt, hilft ein Blick ins Bundesdatenschutzgesetz (BDSG). § 64 BDSG definiert technisch-organisatorische Maßnahmen und benennt konkret folgende Bereiche:

Unternehmen müssen:

• sicherstellen, dass Unbefugten der Zugang zu Verarbeitungsanlagen verwehrt wird (Zugangskontrolle)
• unbefugtes Lesen, Kopieren, Verändern oder Löschen von Datenträgern verhindern (Datenträgerkontrolle)
• unbefugte Eingaben, Kenntnisnahme, Veränderungen oder Löschungen von personenbezogenen Daten verhindern (Speicherkontrolle)
• die unbefugte Nutzung von automatisierten Verarbeitungssystemen durch Datenübertragungseinrichtungen verhindern (Benutzerkontrolle)
• gewährleisten, dass Berechtigte ausschließlich auf die Daten zugreifen, für die sie autorisiert sind (Zugriffskontrolle)
• nachvollziehbar machen, wohin personenbezogene Daten übermittelt oder zur Verfügung gestellt wurden (Übertragungskontrolle)
• sicherstellen, dass überprüft werden kann, wer wann welche Daten eingegeben oder verändert hat (Eingabekontrolle)
• die Vertraulichkeit und Integrität von Daten bei der Übermittlung und dem Transport schützen (Transportkontrolle)
• gewährleisten, dass Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit)
• sicherstellen, dass alle Systemfunktionen verfügbar sind und Fehlfunktionen gemeldet werden (Zuverlässigkeit)
• gewährleisten, dass personenbezogene Daten vor Beschädigung durch Systemfehler geschützt sind (Datenintegrität)
• sicherstellen, dass personenbezogene Daten nur gemäß den Weisungen des Auftraggebers verarbeitet werden (Auftragskontrolle)
• sicherstellen, dass personenbezogene Daten vor Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
• gewährleisten, dass personenbezogene Daten zu unterschiedlichen Zwecken getrennt verarbeitet werden (Trennbarkeit)

Es ist nicht notwendig, alle Maßnahmen umzusetzen. Allerdings müssen Sie mittels Risikoanalyse klären, ob bestimmte Maßnahmen für Ihr Unternehmen relevant sind.