Menü
Durch gezielt getroffene Maßnahmen soll – so gut es geht – verhindert werden, dass eine Vernichtung, ein Verlust, eine Veränderung, aber auch die unbefugte oder versehentliche Offenlegung oder ein unbefugter Zugriff auf personenbezogene Daten stattfinden kann.
Die Maßnahmen können sowohl technischer als auch organisatorischer Art sein. Man spricht daher auch gerne vereinfacht von den „TOM“ (technische und organisatorische Maßnahmen).
Eine technische Maßnahme kann zum Beispiel ein bestimmter Schlüssel für eine Tür sein oder der Abgleich eines Fingerabdrucks, um Eintritt in einen bestimmten Raum/Bereich zu erhalten. Die zugehörige organisatorische Maßnahme ist die Vorgabe und Regulierung der Schlüsselvergabe und der Zutrittsberechtigung.
Da es viele Faktoren zu berücksichtigen gilt, gibt es nicht die EINE Liste der TOM, welche für alle passt.
In der Sprache des Datenschutzes und der Datensicherheit geht es hier um die Gewährleistung folgender Schutzziele:
Einen hundertprozentigen Schutz zu erreichen ist schwierig und oftmals gar nicht möglich. Dennoch können die getroffenen Maßnahmen den Schutz der Verarbeitung und der Daten erheblich unterstützen.
Legen Sie Ihre technischen und organisatorischen Maßnahmen (TOM) fest, um die Schutzziele aus der DSGVO zu gewährleisten. Das hört sich einfacher an, als es ist, denn schließlich gibt es keine konkreten Vorgaben im Gesetz. Die Maßnahmen sind auch nicht immer eindeutig zwischen den einzelnen Schutzzielen abzugrenzen. Gute Nachricht: Einmal festgelegt, ändern sich die TOM in der Regel nicht allzu häufig.
Nachfolgend geben wir Ihnen Anregungen dazu, welche Maßnahmen zu den Schutzzielen passen. In einem Praxisbeispiel haben wir ausgeführt, wie die Maßnahmen in einem Dokument beschrieben werden könnten. Dabei ist zu beachten, dass Sie die Maßnahmen auch planen und deren Umsetzung und Wirksamkeit dokumentieren müssen. Das findet üblicherweise in einer gesonderten internen Dokumentation statt.
Legen Sie die organisatorischen Maßnahmen fest, die Sie umsetzen wollen oder bereits umgesetzt haben. Bevor überhaupt eine Verarbeitung stattfindet, kann schon einiges dafür getan werden, dass diese auch rechtskonform und sicher durchgeführt werden kann.
Ob die beschlossenen Maßnahmen tatsächlich umgesetzt werden und wirksam sind, sollten Sie im Rahmen einer regelmäßigen Kontrolle prüfen. Das muss nicht jeden Tag sein. Eine jährliche und somit regelmäßige Überprüfung der TOM reicht als Standard aus. Darüberhinaus sollte eine Prüfung auch dann stattfinden, wenn sich im Verarbeitungsprozess eine Änderung ergibt oder wenn neue IT-Anwendungen umgesetzt werden sollen.
Dazu gehören zum Beispiel:
Hiermit sind allgemeine Zutritts-, Zugangs- und Zugriffsbeschränkungen gemeint. Sorgen Sie zuerst dafür, dass unbefugte Personen nicht einfach in Ihre Büroräume, an offene Aktenschränke, an den Arbeitscomputer, an die IT-Technik oder auch an ein Aktenarchiv herankommen.
Wenn dann doch jemand in Ihren Arbeitsräumen vor den Akten, an Ihrem Arbeitsplatz oder an IT-Komponenten steht, sorgen Sie dafür, dass ein unbefugter Zugriff auf die Daten verhindert oder deutlich erschwert wird. Alle Maßnahmen in diesem Bereich dienen der Gewährleistung der Vertraulichkeit.
Beispiele für einen möglichen Schutz im Themenbereich Vertraulichkeit sind z. B. folgende Maßnahmen (nicht abschließend):
Die personenbezogenen Daten sollen in erster Linie richtig sein. Das heißt, sie dürfen sich nicht unbefugt oder versehentlich verändern oder fälschen lassen – auch nicht, während sie physisch weitergegeben oder übermittelt werden. Dies betrifft u. a. die Manipulation von unverschlüsselten E-Mails. Gemeint ist vor allem, dass technische Maßnahmen die Integrität der Daten sicherstellen.
Dies gilt auch, wenn zum Beispiel jemand auf der Website ein Formular ausfüllt. Hier spielt es eine große Rolle, die Integrität der Daten im Übertragungsprozess zu gewährleisten.
Ebenfalls sehr wichtig ist, dass es zumindest erkenntlich und nachvollziehbar ist, sollte jemand Daten unbefugt oder versehentlich verändert haben.
Bei wichtigen Angelegenheiten sollten Sie sicherstellen, dass die Person, mit der Sie kommunizieren, auch diejenige ist, für die sie sich ausgibt. Dies betrifft üblicherweise, dass man die Identität eines Absenders oder einer Kommunikationspartnerin sicherstellt.
Beispiele für einen möglichen Schutz im Themenbereich Integrität sind folgende Maßnahmen:
Nun ist es passiert. Ein Zwischenfall führt dazu, dass Sie nicht mehr an die Daten herankommen. Besonders wenn es sich um digitale Daten handelt, sollten diese möglichst schnell wiederhergestellt werden können.
IT-Systeme sollen verlässlich, stabil, sicher und oftmals ununterbrochen arbeiten. Doch wie der Mensch sind auch IT-Systeme hohen Belastungen, also Stress, ausgesetzt.
Es ist dafür Sorge zu tragen, dass die IT-Systeme gleichmäßig stabil und auch TROTZ erhöhter Belastungen oder Störungen sicher weiterfunktionieren.
Ermitteln Sie die Verarbeitungen, die ein hohes Risiko für eine betroffene Person darstellen können, falls diese Daten gestohlen, offengelegt oder manipuliert werden. Um angemessene Maßnahmen definieren zu können, sollten Sie das Risiko und damit Ihren Handlungsbedarf kennen.
Die technischen und organisatorischen Maßnahmen (auch TOM genannt) zu dokumentieren, ist ein wichtiger Schritt bei der Erfüllung von Nachweispflichten. Mit niedergeschriebenen TOM können Aufsichtsbehörden und Auftraggeber besser nachvollziehen, ob und wie Sie Maßnahmen getroffen haben, und diese auch einfacher überprüfen.
Vermeiden Sie die Erstellung oder das reine Kopieren einer Liste von TOM, welche nicht auf Ihr Unternehmen zutreffen. Besser ist es, die technischen und organisatorischen Maßnahmen für jede der Verarbeitungstätigkeiten zu notieren. Die DSGVO sieht dies im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten (VVT) vor: „Wenn möglich, [enthält das VVT] eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen […]“.
