Technische und organisatorische Maßnahmen (TOMs) – Beispiele und Guide für Unternehmen

Seit dem Inkrafttreten der DSGVO sind Unternehmen verpflichtet, personenbezogene Daten in ihren Systemen sicher zu verarbeiten. Dazu gehört auch die Umsetzung bestimmter technischer und organisatorischer Maßnahmen (TOMs), die nach der DSGVO verpflichtend sind.

Im folgenden Artikel erfahren Sie, was TOMs genau sind, welche Maßnahmen dazugehören und wie Unternehmen diese erfolgreich umsetzen können.

Das Wichtigste in Kürze:

1. Technische und organisatorische Maßnahmen (TOMs) sind verpflichtende Schutzvorkehrungen, die Unternehmen umsetzen müssen, um personenbezogene Daten sicher, rechtmäßig und transparent zu verarbeiten.
2. Die Umsetzung der TOMs muss dokumentiert werden, damit Unternehmen nachweisen können, dass sie die Datenschutzvorschriften einhalten.

IT Asset Management mit Factorial

Die ITAM-Software von Factorial löst Ihr Lizenzchaos und ermöglicht Ihnen eine zentrale Kontrolle und Verwaltung aller Ihrer Tools.

Mehr erfahren

Gesetzliche Grundlage:

Die Pflicht zur Umsetzung von TOMs ergibt sich aus Art. 32 Datenschutzgrundverordnung (DSGVO), der die Sicherheit der Verarbeitung vorschreibt.

Definition: Was sind TOMs?

TOMs steht für technische und organisatorische Maßnahmen. Sie sind vor allem im Kontext der Datenschutz-Grundverordnung/Datenschutzgrundverordnung (DSGVO) von erheblicher Bedeutung. Die DSGVO legt fest, dass Unternehmen beim Schutz und bei der Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen ergreifen müssen, um diese Daten sicher und rechtmäßig zu verarbeiten.

Sicherheit der Daten: Sind TOMs verpflichtend?

Bei TOMs handelt es sich also um Schutzvorkehrungen, deren Umsetzung für Unternehmen verpflichtend ist, um den Datenschutz sicherzustellen.

Diese Pflicht ergibt sich insbesondere aus Art. 32 DSGVO.

Die Notwendigkeit von TOMs folgt zudem aus Art. 5 Abs. 1 DSGVO, wonach personenbezogene Daten sicher, rechtmäßig und transparent verarbeitet werden müssen.

Pflicht zur Dokumentation: Wichtig ist außerdem, dass nach Art. 24 DSGVO Unternehmen eine Nachweispflicht haben und dokumentieren müssen, dass sie die Datenschutzvorschriften einhalten.

Die Dokumentation der TOMs sollte dabei so ausführlich wie möglich sein.

Datensicherheit: Was sind Beispiele für technische und organisatorische Maßnahmen?

Die DSGVO nennt einige Maßnahmen ausdrücklich, schreibt jedoch keinen abschließenden Katalog vor. Unternehmen sind daher verpflichtet, weitere geeignete Maßnahmen umzusetzen, die dem jeweiligen Risiko angemessen sind.

Was versteht man unter technischen Maßnahmen?

Unter technischen Maßnahmen versteht man vor allem IT-bezogene Aktivitäten, die durch bestimmte technische Einstellungen, Systeme und Programme personenbezogene Daten vor unbefugtem Zugriff, Missbrauch oder Verlust schützen.

Beispiele für Technische Maßnahmen

Direkt in der DSGVO genannte technische Maßnahmen (Art. 32 DSGVO):

• Verschlüsselung personenbezogener Daten
• Pseudonymisierung personenbezogener Daten

Weitere technische Maßnahmen sind zum Beispiel:

• Passwörter und Zwei-Faktor-Authentifizierung
• Protokollierung von Zugriffen
• Sichere Server und Netzwerke
• Backups; Wiederherstellungsprogramme
• Firewalls und Virenscanner

Was versteht man unter organisatorischen Maßnahmen?

Unter organisatorischen Maßnahmen versteht man interne Regelungen, Strukturen und Prozesse, mit denen Unternehmen sicherstellen, dass personenbezogene Daten ordnungsgemäß und datenschutzkonform verarbeitet werden.

Beispiele für organisatorische Maßnahmen

Direkt in der DSGVO genannte organisatorische Maßnahmen (Art. 32 DSGVO):

• Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit der Datenverarbeitung
  (Daten dürfen nur von Berechtigten eingesehen werden, müssen korrekt bleiben und jederzeit verfügbar sein.)
• Verfahren zur raschen Wiederherstellung personenbezogener Daten
  (z. B. Wiederherstellung nach einem Systemausfall oder Datenverlust.)
• Regelmäßige Überprüfung, Bewertung und Evaluierung der Maßnahmen

Weitere organisatorische Maßnahmen sind zum Beispiel:

• Bestellung eines Datenschutzbeauftragten
• Schulungen und Sensibilisierung der Mitarbeitenden
• Datensicherheitsrichtlinien und Arbeitsanweisungen
• Regelungen zum Umgang mit Datenschutzverletzungen
• Einrichtung eines Hinweisgebersystems (Whistleblowing-Kanal)
• Rollen- und Berechtigungskonzepte (Wer ist die verantwortliche Person im Unternehmen für die Datensicherheit?)
• Incident-Response-Pläne für den Notfall

Risikoanalyse und DSFA: Die Basis für Ihre TOMs

Bevor Sie Ihre technischen und organisatorischen Maßnahmen (TOMs) implementieren, müssen Sie den Schutzbedarf ermitteln. Folgen Sie diesem Prozess, um rechtssichere technische und organisatorische Maßnahmen DSGVO-konform festzulegen:

1. Führen Sie eine Risikoanalyse durch: Bewerten Sie das Gefährdungspotenzial jeder Datenverarbeitung. Das Risiko berechnet sich aus der Eintrittswahrscheinlichkeit eines Vorfalls und der Schwere der Folgen für Betroffene. Je sensibler die Daten, desto strenger müssen die Toms gewählt werden.
2. Prüfen Sie die Notwendigkeit einer DSFA: Identifiziert die Risikoanalyse ein voraussichtlich hohes Risiko (z. B. bei neuen Technologien), ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO verpflichtend.
3. Wählen Sie passende Maßnahmen: Nutzen Sie bewährte technisch-organisatorische Maßnahmenbeispiele wie Verschlüsselung oder Zugriffskontrollen, um das ermittelte Risiko zu minimieren.

Wie eine DSFA genau zu erfolgen hat, erfahren Sie in unserem Artikel zum Thema Datenschutz-Folgeabschätzung.

Welche Konsequenzen drohen Unternehmen bei Nichteinhaltung?

Halten Unternehmen die Datenschutzgrundsätze nicht ein oder verstoßen gegen diese, kann es zu schwerwiegenden Konsequenzen kommen. Dazu gehören:

• Bußgelder: Gemäß Art. 83 DSGVO können Strafen in Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei schweren Verstößen gegen die Grundprinzipien kann dieser Betrag auf bis zu 20 Millionen Euro oder 4 % steigen.
• Schadenersatzansprüche: Betroffene Personen haben laut Art. 82 DSGVO ein Recht auf Schadenersatz für materielle oder immaterielle Schäden.
• Reputationsschäden: Datenpannen führen oft zu massiven Vertrauensverlusten und damit verbundenen Umsatzeinbrüchen.
• Verarbeitungsverbot: Behörden können die Nutzung von Systemen untersagen, wenn keine lückenlose Protokollierung oder ein funktionierendes Incident-Response-System nachgewiesen werden kann.

Compliance sichern mit Factorial IT Asset Management

Factorial hilft Ihnen, die DSGVO-Anforderungen an Ihre technischen und organisatorischen Maßnahmen automatisiert umzusetzen:

• Asset-Kontrolle: Zentrale Verwaltung aller Hardware zur Sicherstellung der Netzwerksicherheit.
• Rechtemanagement: Einfache Steuerung von Zugriffskontrollen für sensible Personaldaten.
• Revisionssicherheit: lückenlose Protokollierung (Logging) aller Änderungen für die Rechenschaftspflicht.
• Sicheres Offboarding: Sofortiger Entzug von Zugängen bei Austritt, um Datenpannen zu verhindern.