Was sind technische und organisatorische Maßnahmen (TOM)?

Wer personenbezogene Daten verarbeitet muss gewährleisten, dass diese Daten vor unbefugtem Zugriff, Veränderung oder Verlust geschützt sind. In dem Katalog zu den technisch organisatorischen Maßnahmen (TOM) führen Sie auf, wie Sie Daten schützen.

Durchschnittliche Lesezeit: 5 Minuten

was-sind-technische-und-organisatorische-maßnahmen

Dabei muss das Unternehmen das Risiko bezüglich der Rechte und Freiheiten der betroffenen Personen berücksichtigen und darauf abgestimmt geeignete Schutzmaßnahmen treffen. Dabei handelt es sich um sogenannte technische und organisatorische Maßnahmen, abgekürzt TOM oder umgangssprachlich auch TOMs. Diese Maßnahmen sind in Art. 32 der Datenschutzgrundverordnung (DSGVO) definiert und werden im Bundesdatenschutzgesetz (BDSG) in § 64 Abs. 3 S. 1 um konkrete Beispiele ergänzt. Letztere sind zwar nur für öffentliche Stellen im Zuge von Straf- und Ordnungswidrigkeitsverfahren verbindlich, geben aber dennoch eine gute Orientierung auch für die Privatwirtschaft. Außerdem ist diese Liste hilfreich bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten.

Der Gesetzgeber hat dabei verschiedene Aspekte des Schutzes bzw. der Kontrolle im Fokus, im Einzelnen definiert in Art. 32 Abs. 1 lit. a) – d) DSGVO.

Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?

Unter technischen Maßnahmen im Sinne des Art. 32 DSGVO versteht man alles, was “physikalisch” unternommen werden kann um Daten zu schützen; es geht also um die Datensicherheit. Der Schutz ist dabei umfassend zu verstehen, vom Zutritt zum Gelände bzw. Gebäude bis hin zum Schutz einer einzelnen Datei.

Konkrete Beispiele sind unter anderem:

Zäune
Abschließbare Fenster und Türen
Alarmanlagen
Passwörter
Verschlüsselungen

Organisatorische Maßnahmen im Sinne des Art. 32 DSGVO sind letztlich alle unternehmensinternen Richtlinien und konkreten Arbeitsschritte, welche von Mitarbeitern durchgeführt werden, um Daten zu schützen.

Maßnahmen können dabei unter anderem sein:

Mobile Device Richtlinie
Verpflichtung auf den Datenschutz und das Datengeheimnis im Rahmen des Arbeitsvertrags
Vier-Augen-Prinzip bei bestimmten Tätigkeiten

In Art. 32 DSGVO werden technische und organisatorische Maßnahmen mit Bedacht gleichrangig behandelt. Ziel ist es, dass der Schutz personenbezogener Daten als selbstverständlicher Bestandteil der täglichen Arbeit integriert ist.

So bereiten Sie die TOM vor

Der erste Schritt besteht also darin, sämtliche im Unternehmen durchgeführten Verarbeitungen personenbezogener Daten daraufhin zu prüfen, welche Schutzmaßnahmen angemessen bzw. notwendig sind. Hierzu entwickelt man im Allgemeinen eine Risikomatrix, in der auf der einen Achse die Risiken für den Betroffenen und auf der anderen Achse die Eintrittswahrscheinlichkeit eingetragen werden. Auf Grundlage dieser Matrix kann man dann festlegen, welches Schutzniveau für jede einzelne Verarbeitung angemessen ist, wenn man diese in die Matrix einträgt.

Individuelle Umstände im Unternehmen beachten

Dabei sind auch unternehmensindividuelle Umstände zu berücksichtigen, so dass man keine für alle Unternehmen gleiche Matrix annehmen darf. Es liegt am Verantwortlichen (meist also der Geschäftsführung), in Zusammenarbeit mit einem Team an Spezialisten (z.B. dem Datenschutzbeauftragten, allen Abteilungsleitern und der IT) festzulegen, wie eine solche Risikomatrix für das eigene Unternehmen genau aussieht. Die Datenschutzgrundverordnung (DSGVO) fordert, dass man sich dabei des aktuellen Stands der Technik bedienen soll – unter Berücksichtigung möglicher Implementierungskosten.

Welche Kontrollarten gibt es laut DSGVO?

In Art. 32 Abs. 1 lit. a) – d) DSGVO werden die TOM in verschiedene Bereiche aufgeteilt, die für den Datenschutz relevant sind:

Pseudonymisierung und Verschlüsselung personenbezogener Daten
die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Konkrete Anforderungen

Hinter diesen eher abstrakten Begriffen verbergen sich letztlich doch ganz konkrete Anforderungen, vor allem an die Kontrolle. Im Einzelnen sind folgende Kontrollarten typisch – natürlich immer mit Bezug auf die Datenverarbeitung:

Zutrittskontrolle (Wie verhindere ich unbefugten Zutritt zum Gelände / ins Gebäude / in einen Raum?)
Zugangskontrolle (Wie verhindere ich eine unbefugte Nutzung von Datenverarbeitungsanlagen?)
Zugriffskontrolle (Wie stelle ich sicher, dass niemand über seine Berechtigung hinaus personenbezogene Daten verarbeiten kann?)
Trennungskontrolle (Wie verarbeite ich Daten unabhängig voneinander, wenn sie nichts miteinander zu tun haben?)
Weitergabekontrolle (Wie sichere ich Daten während einer Weitergabe?)
Eingabekontrolle (Wer hat wann was verarbeitet?)
Verfügbarkeitskontrolle (Wie schütze ich die Daten vor Zerstörung oder Verlust?)
Auftragskontrolle (Wie stelle ich sicher, dass mein Auftragnehmer Daten sicher verarbeitet?)
Integritätskontrolle (Wie verhindere ich unbefugte Verarbeitung auch durch Dritte und stelle die Integrität der Daten sicher?)

Sie können also davon ausgehen, dass Sie im Falle einer Kontrolle bzw. im Fall einer Datenpanne durchaus darauf geprüft werden, ob die von Ihnen ergriffenen Maßnahmen dem Stand der Technik entsprochen haben oder ob es vernünftige Gründe dafür gegeben hat, dass Sie solche Maßnahmen nicht durchgeführt haben. Ein erfahrener Datenschutzbeauftragter hilft Ihnen dabei, eine solche Liste gemäß den Anforderungen zu erstellen und sie aktuell zu halten.

Wie behält man den Überblick über die TOM im eigenen Unternehmen?

Idealerweise führt man im Unternehmen ein Verzeichnis über sämtliche ergriffenen technischen und organisatorischen Maßnahmen. Diese “TOM-Liste” ist z.B. zwingend notwendig, wenn man als Auftragsverarbeiter für einen Auftraggeber arbeitet. Sie dient aber auch als Nachweis z.B. gegenüber Aufsichtsbehörden für den sicheren Umgang mit personenbezogenen Daten. Außerdem ist diese Liste hilfreich bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten.

Aktueller Stand der Technik?

Art. 25 Abs. 1 S. 1 DSGVO fordert, dass man sich bei der Einführung bzw. Umsetzung von TOM des aktuellen Stands der Technik bedienen soll – unter Berücksichtigung möglicher Implementierungskosten. Sie können also davon ausgehen, dass Sie im Falle einer Kontrolle bzw. im Fall einer Datenpanne durchaus darauf geprüft werden, ob die von Ihnen ergriffenen Maßnahmen dem Stand der Technik entsprochen haben oder ob es vernünftige Gründe dafür gegeben hat, dass Sie solche Maßnahmen nicht durchgeführt haben.

Sofern Sie noch keine Bestandsaufnahme über die TOM in ihrem Unternehmen durchgeführt haben oder Ihre TOM-Liste älter als ein Jahr sein sollte, empfehlen wir Ihnen rasches Handeln. Ein erfahrener Datenschutzbeauftragter hilft Ihnen dabei.

Ebenso sollten Sie im Rahmen Ihrer jährlichen Mitarbeiterschulung zum Datenschutz auf geänderte, neue oder auch wiederholend auf bestehende Unternehmensrichtlinien hinweisen.

Beispiel:

Wenn das Risiko für den Betroffenen sehr hoch ist, dass ein unberechtigter Zugriff auf seine Daten zur Folge haben könnte, dass diese Person schweren Schaden an Leib oder Seele nimmt, dann müssen diese Daten besonders stark geschützt werden – erst recht dann, wenn die Wahrscheinlichkeit zugleich auch sehr hoch ist, dass dieses Risiko eintritt. Mögliche technische Gegenmaßnahmen könnten z.B. eine Datenverschlüsselung plus Firewall sein sowie als organisatorische Maßnahme eine Protokollierung sämtlicher Zugriffe auf

diese Daten.

Das große Datenschutz-Paket

29,90 €

Inhalte Verbergen

1 Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?

2 So bereiten Sie die TOM vor

3 Individuelle Umstände im Unternehmen beachten

4 Welche Kontrollarten gibt es laut DSGVO?

5 Konkrete Anforderungen

6 Wie behält man den Überblick über die TOM im eigenen Unternehmen?

7 Aktueller Stand der Technik?

Unsere Top-Vorlagen zum Thema

Vertrag Auftragsverarbeitung nach DSGVO

Selbstauskunft zur Verarbeitung personenbezogener Daten

Anlage TOM

Bestellung Datenschutzbeauftragter

Datenschutzerklärung Online-Shop

User suchten auch nach folgenden Themen

Die Steuererklärung 2021 liegt zusammen mit Büroutensilien auf einem Schreibtisch.

Arbeitsrecht

Steuererklärung 2021 – so holen Arbeitnehmer alles raus

4 Minuten

Viele Arbeitnehmer holen sich am Ende des Jahres durch eine freiwillige Steuererklärung mehrere Hundert Euro vom Finanzamt zurück. Im Rahmen Ihrer Steuererklärung 2021 können Sie sich dieses Jahr sogar noch mehr zurückholen, was vor allem mit Blick auf die aktuellen Energiepreise mehr als lohnend ist.

Ein Mann schüttelt einem anderen Mann die Hand.

Arbeitsrecht

Was sollte man bei einem Arbeitsvertrag beachten?

3 Minuten

Der Abschluss eines Arbeitsvertrages folgt in der Regel nach einer ausführlichen Verhandlung über die Konditionen. Je nach Absprache wird der Arbeitsvertrag dann ausgestaltet. Doch worauf sollte man achten?

mobilfunkanbietet-darf-internetgeschwindigkeit-nicht-drosseln

Datenschutz

Mobilfunkanbieter darf die Internetgeschwindigkeit nicht einfach drosseln

4 Minuten

Dass die tatsächliche Internetgeschwindigkeit oft nichts mit der im Vertrag versprochenen zu tun hat – diese Erfahrung machen viele Verbraucher. Doch wann kann man gegen den Anbieter vorgehen?

Eine Hausmeisterin hält Putzmaterial in den Händen.

Mietrecht

Nebenkostenabrechnung – Hausmeister pauschal abrechnen?

3 Minuten

Viele Vermieter legen die Kosten für den Hausmeister pauschal auf ihre Mieter um. Doch Vorsicht! Das ist nicht immer zulässig. Lesen Sie hier, welche Hausmeisterkosten umlagefähig sind.

Eine Frau sitzt im Büro und lässt einen Papierflieger fliegen. Sie hat ein Bore-Out-Syndrom.

Unternehmensmanagement

Bore-Out-Syndrom erkennen und bekämpfen

5 Minuten

Leiden Sie unter dem Bore-Out-Syndrom? Es tritt bei Langeweile und Unterforderung im Job auf. Machen Sie jetzt den Test und erfahren Sie, was man dagegen unternehmen kann.

Jetzt anfordern und 5 eur gutschein sichern!*

Der kostenlose Formblitz-Newsletter