Was sind technische und organisatorische Maßnahmen (TOM)?
Technische und organisatorische Maßnahmen (TOM) nach DSGVO
Was sind technische und organisatorische Maßnahmen (TOM)?
TOM sind Maßnahmen, die Unternehmen und Organisationen gemäß Art. 32 DSGVO ergreifen müssen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Sie dienen dem Schutz vor unbefugtem Zugriff, Verlust oder Manipulation und helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen.
1. Technische Maßnahmen (Schutz durch IT & Infrastruktur)
Diese Maßnahmen betreffen die IT-Sicherheit sowie den physischen Schutz von Datenverarbeitungssystemen:
✔ Datenverschlüsselung & Pseudonymisierung (z. B. SSL/TLS für Websites)
✔ Firewalls & Zugriffsbeschränkungen (Schutz vor Hackerangriffen)
✔ Protokollierung (Logging), um Datenverarbeitung nachvollziehbar zu machen
✔ Sichere Passwortrichtlinien & Multi-Faktor-Authentifizierung
✔ Gebäudesicherheit (z. B. Alarmanlagen, Zutrittskontrollen)
2. Organisatorische Maßnahmen (Regeln & Abläufe zur Datensicherheit)
Diese Maßnahmen betreffen den Datenschutz in betrieblichen Abläufen und im Verhalten der Mitarbeitenden:
✔ Mitarbeiterschulungen zu Datenschutz & IT-Sicherheit
✔ Vertraulichkeitsverpflichtungen für Mitarbeitende
✔ Vier-Augen-Prinzip zur Absicherung sensibler Prozesse
✔ Berechtigungskonzepte zur Zugriffsbeschränkung auf Daten
✔ Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen Verarbeitungen
3. Risikobasierter Ansatz nach Art. 32 DSGVO
TOM müssen immer an das jeweilige Risiko angepasst sein:
📌 Je sensibler die Daten, desto strikter die Schutzmaßnahmen (z. B. Gesundheitsdaten nach Art. 9 DSGVO erfordern besonders hohe Sicherheitsstandards).
📌 Das Risiko ergibt sich aus:
• Schwere des möglichen Schadens (z. B. Identitätsdiebstahl, Rufschädigung)
• Wahrscheinlichkeit eines Vorfalls (z. B. Hackerangriff, Datenleck)
4. TOM im Verhältnis zum “Stand der Technik”
Unternehmen müssen Maßnahmen nach dem “Stand der Technik” ergreifen. Dabei gilt:
📌 Nicht jede Maßnahme muss maximal aufwendig sein – sie muss aber dem Risiko angemessen sein.
📌 Wirtschaftliche Erwägungen dürfen berücksichtigt werden, aber Datenschutz geht vor.
5. TOM bei Auftragsverarbeitern
Bei der Einbindung von Dienstleistern (z. B. Cloud-Anbieter) gilt:
✔ Art. 28 DSGVO: Nur mit Auftragsverarbeitern zusammenarbeiten, die TOM umsetzen.
✔ Vertragliche Verpflichtung: Im Auftragsverarbeitungsvertrag (AVV) müssen TOM festgelegt sein.
6. TOM nach BDSG (§ 64 BDSG) – Wichtige Kontrollmaßnahmen
Nach § 64 BDSG gibt es eine strukturierte Liste von Kontrollmaßnahmen, darunter:
🔹 Zugangskontrolle: Unbefugten den Zugang zu IT-Systemen verwehren.
🔹 Datenträgerkontrolle: Schutz vor unbefugtem Lesen/Kopieren.
🔹 Speicherkontrolle: Zugriff auf gespeicherte Daten einschränken.
🔹 Übertragungskontrolle: Schutz beim Datentransfer (z. B. durch Verschlüsselung).
🔹 Verfügbarkeitskontrolle: Schutz vor Datenverlust (Backups, Notfallpläne).
🔹 Auftragskontrolle: Sicherstellen, dass Daten nur nach Weisung des Auftraggebers verarbeitet werden.
Fazit
TOM sind essenziell für die DSGVO-Compliance und müssen an das Risiko der Datenverarbeitung angepasst werden. Während technische Maßnahmen die IT-Sicherheit betreffen, regeln organisatorische Maßnahmen den Datenschutz im Arbeitsalltag. Unternehmen sollten regelmäßig prüfen, ob ihre TOM dem aktuellen Stand der Technik entsprechen und notwendige Anpassungen vornehmen. 🚀
Was sind technische und organisatorische Maßnahmen (TOM)?
TOM sind Maßnahmen, die Unternehmen und Organisationen gemäß Art. 32 DSGVO ergreifen müssen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Sie dienen dem Schutz vor unbefugtem Zugriff, Verlust oder Manipulation und helfen, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen.
1. Technische Maßnahmen (Schutz durch IT & Infrastruktur)
Diese Maßnahmen betreffen die IT-Sicherheit sowie den physischen Schutz von Datenverarbeitungssystemen:
✔ Datenverschlüsselung & Pseudonymisierung (z. B. SSL/TLS für Websites)
✔ Firewalls & Zugriffsbeschränkungen (Schutz vor Hackerangriffen)
✔ Protokollierung (Logging), um Datenverarbeitung nachvollziehbar zu machen
✔ Sichere Passwortrichtlinien & Multi-Faktor-Authentifizierung
✔ Gebäudesicherheit (z. B. Alarmanlagen, Zutrittskontrollen)
2. Organisatorische Maßnahmen (Regeln & Abläufe zur Datensicherheit)
Diese Maßnahmen betreffen den Datenschutz in betrieblichen Abläufen und im Verhalten der Mitarbeitenden:
✔ Mitarbeiterschulungen zu Datenschutz & IT-Sicherheit
✔ Vertraulichkeitsverpflichtungen für Mitarbeitende
✔ Vier-Augen-Prinzip zur Absicherung sensibler Prozesse
✔ Berechtigungskonzepte zur Zugriffsbeschränkung auf Daten
✔ Datenschutz-Folgenabschätzung (DSFA) bei risikoreichen Verarbeitungen
3. Risikobasierter Ansatz nach Art. 32 DSGVO
TOM müssen immer an das jeweilige Risiko angepasst sein:
📌 Je sensibler die Daten, desto strikter die Schutzmaßnahmen (z. B. Gesundheitsdaten nach Art. 9 DSGVO erfordern besonders hohe Sicherheitsstandards).
📌 Das Risiko ergibt sich aus:
• Schwere des möglichen Schadens (z. B. Identitätsdiebstahl, Rufschädigung)
• Wahrscheinlichkeit eines Vorfalls (z. B. Hackerangriff, Datenleck)
4. TOM im Verhältnis zum “Stand der Technik”
Unternehmen müssen Maßnahmen nach dem “Stand der Technik” ergreifen. Dabei gilt:
📌 Nicht jede Maßnahme muss maximal aufwendig sein – sie muss aber dem Risiko angemessen sein.
📌 Wirtschaftliche Erwägungen dürfen berücksichtigt werden, aber Datenschutz geht vor.
5. TOM bei Auftragsverarbeitern
Bei der Einbindung von Dienstleistern (z. B. Cloud-Anbieter) gilt:
✔ Art. 28 DSGVO: Nur mit Auftragsverarbeitern zusammenarbeiten, die TOM umsetzen.
✔ Vertragliche Verpflichtung: Im Auftragsverarbeitungsvertrag (AVV) müssen TOM festgelegt sein.
6. TOM nach BDSG (§ 64 BDSG) – Wichtige Kontrollmaßnahmen
Nach § 64 BDSG gibt es eine strukturierte Liste von Kontrollmaßnahmen, darunter:
🔹 Zugangskontrolle: Unbefugten den Zugang zu IT-Systemen verwehren.
🔹 Datenträgerkontrolle: Schutz vor unbefugtem Lesen/Kopieren.
🔹 Speicherkontrolle: Zugriff auf gespeicherte Daten einschränken.
🔹 Übertragungskontrolle: Schutz beim Datentransfer (z. B. durch Verschlüsselung).
🔹 Verfügbarkeitskontrolle: Schutz vor Datenverlust (Backups, Notfallpläne).
🔹 Auftragskontrolle: Sicherstellen, dass Daten nur nach Weisung des Auftraggebers verarbeitet werden.
Fazit
TOM sind essenziell für die DSGVO-Compliance und müssen an das Risiko der Datenverarbeitung angepasst werden. Während technische Maßnahmen die IT-Sicherheit betreffen, regeln organisatorische Maßnahmen den Datenschutz im Arbeitsalltag. Unternehmen sollten regelmäßig prüfen, ob ihre TOM dem aktuellen Stand der Technik entsprechen und notwendige Anpassungen vornehmen. 🚀
Aktualisiert am: 25/02/2025
Danke!