Technisch organisatorische Maßnahmen (TOMs)

Technische und organisatorische Maßnahmen (TOMs) werden in Artikel 32 der Datenschutzgrundverordnung (DSGVO) vorgeschrieben. Sie definieren Schritte und Maßnahmen in den acht essenziellen Bereichen des Datenschutzes. Durch die Einhaltung dieser Maßnahmen soll die Sicherheit der Verarbeitung von personenbezogenen Daten garantiert werden.

Das Problemfeld

Es spielt keine Rolle, ob Sie ein Freelancer sind, ein kleines Start-up oder ein Weltkonzern. Sie müssen Ihre Datenverarbeitung absichern, um den Schutz Ihrer Kund:innen zu gewährleisten.

In den Bestimmungen der DSGVO sind viele Passagen zu finden, die für juristische Laien nur schwer zu deuten sind. Es ist die Rede von “geeigneten Maßnahmen“ und “angemessenes Schutzniveau“ – kaum einer Ihrer Mitarbeiter:innen wird sich zutrauen, diese Begriffe zielführend und sinnstiftend auszulegen.

Die DSGVO sieht zum Schutz natürlicher Personen vor, technische und organisatorische Maßnahmen zu ergreifen, um die Daten der Kund:innen zu schützen. Sie haben zwar eine Datenschutzerklärung auf Ihrer Webseite, aber diese ist am Ende nur eine Absichtserklärung. Sie hilft Ihren Kund:innen nicht, wenn das von Ihnen eingesetzte Kontaktformular nicht abgesichert ist. Denn dann können – trotz der besten Absichten – Daten von Dritten abgegriffen werden.

Im Vordergrund müssen stehen:

• Vertraulichkeit
• Integrität
• Verfügbarkeit
• Belastbarkeit

Für Unternehmen bedeuteten diese Anforderungen eine ganze Menge Arbeit. Sie müssen die von Ihren Kund:innen erhobenen Daten pseudonymisieren und Verschlüssen. Weiterhin müssen Sie sicherstellen, dass nach einem Angriff oder Datenausfall die erhobenen Daten zeitnah wiederhergestellt werden. Damit ist es aber noch nicht getan, denn Sie müssen die eingesetzten Verfahren regelmäßig überprüfen und neu bewerten, um aus den gewonnenen Erkenntnissen evtl. optimierte Maßnahmen ableiten zu können.

Bei risikobehafteten Prozessen müssen Sie noch eine Datenschutz-Folgeabschätzung (DSFA) vorweisen. Generell gilt: Je höher das Risiko des Daten verarbeitenden Prozesses, desto strenge sind die rechtlichen Anforderungen.

Lösungsansätze

Positiv hervorzuheben ist, dass Unternehmen in der Auswahl der Maßnahmen ein Ermessensspielraum zugestanden wird. Die Kehrseite dieses Umstandes ist jedoch die genaue Auslegung dieser Maßnahmen. Wann ist ein Prozess noch innerhalb der rechtlichen Maßnahmen als ausreichend zu erachten?

Kurz: Für kleinere bis mittlere Betriebe sind die Anforderungen der DSGVO schwer umzusetzen. Daher empfehlen wir Ihnen, sich einen Experten an die Seite zu holen, der Sie in allen für Ihr Unternehmen notwendigen Aspekten berät.

Unsere Leistungen für Sie:

• Wir analysieren detailliert und mit Blick auf Ihr Unternehmen die acht Dateschutzbereiche (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle).
• Wir nehmen nach der Analyse eine Bewertung in Anlehnung an die ISO 27001 vor.
• Wir erstellen ein individuelles, auf Ihr Unternehmen zugeschnittenes Dokument mit allen notwendigen technischen und organisatorischen Maßnahmen.
• Wir führen auf Ihren Wunsch hin eine jährliche Aktualitätsprüfung durch.

Die Auseinandersetzung mit TOMs sollte nicht vernachlässigt werden, die verhängten Bußgelder sind sehr hoch und können durch eine rechtzeitige Vorsorge umgangen werden.

Bei Fragen zu technischen und organisatorischen Maßnahmen sind wir gerne für Sie da. Rufen Sie uns an oder schreiben und eine E-Mail. Gemeinsam suchen wir dann nach einem Termin für ein kostenloses Erstgespräch.