Was sind eigentlich technische und organisatorische Massnahmen (TOMs)? Was bedeuten sie für kleine Unternehmen?
Der Begriff technische und organisatorische Massnahmen (TOMs) wurde durch die DSGVO neu geprägt. Zusätzlich hat die DSGVO viele neue Begrifflichkeiten hervorgebracht oder auch verändert. Einwilligung, personenbezogene Daten, Datenschutzbeauftragter usw. kennen wir. Verfahrensverzeichnisse heißen jetzt Verarbeitungsverzeichnisse. Die Begriffe technische und organisatorische Maßnahmen (TOMs), Privacy by Design oder Privacy by Default aber sind neu.
Prinzipiell ist es nicht neu,dass man Vorkehrung treffen muss um im technischen und organisatorischen Bereich eines Unternehmens für die Sicherheit der Daten zu sorgen. Dennoch ist es gerade für kleine Unternehmen ein recht abstrakter Begriff, der in größeren Unternehmen vielleicht aussagekräftiger klingt als dem kleinen Unternehmer. Der fragt sich wahrscheinlich erstmal. Technisch, organisatorisch? Was trifft auf mich und mein Unternehmen zu und dann was bedeutet das im Zusammenhang mit Datenschutz? Es tut sich also ein Raum auf den man nicht richtig einschätzen kann. In diesem Beitrag möchten wir den Begriff der TOMs nochmal etwas näher beleuchten und aufzeigen, was man sich darunter vorzustellen hat.
Was versteht man unter technische und organisatorische Massnahmen (TOMs)?
Bei den TOMs geht es darum Prozesse, Partnerschaften Zutritte und Zugriffe so zu organisieren, dass die Daten, die ein Unternehmen erhebt und verarbeitet auch gesichert sind. Sie erheben, speichern, verwalten Daten und organisieren Ihr Unternehmen über unterschiedlichste Wege und mit verschiedenen Instrumenten und Prozessen. Sei es, dass Sie einen Schrank haben in dem Daten aufbewahrt werden, E-Mails schreiben oder eine Chip haben, um in Ihre Büroräume zu gelangen usw. Diese Vorgehensweisen und Instrumente gehören zu den technischen und organisatorischen Massnahmen. Daher lassen sich unterschiedliche Bereiche definieren in denen bestimmte technische und organisatorische Massnahmen umgesetzt werden müssen oder sollen. Grundlage der technischen und organisatorischen Massnahmen (TOMs) ist der Art 32 der DSGVO (Siehe unten).
Technische und organisatorische Massnahmen (TOMs) in kleinen Unternehmen
Folgend haben wir skizziert, wie eine Übersicht der TOMs für ein kleines Unternehmen aussehen könnte.
Technische Massnahmen | Organsiatorische Massnahmen | Rechtsbezug | |
Zutritt | u. A. Alarmanlage, Sicherheitsschlösser | u. A. Mitarbeiterausweise, Schlüsselmanagement | Art 32 (1) b) |
Zugang | u. A. Logins, AV Software, Firewalls | u. A. Passwortrichtlinien, Richtlinien für mobile Endgeräte | Art 32 (1) b) |
Zugriff | u. A. Aktenvernichter, Schredder, regelmäßige Löschung von Daten | u. A. Berechtigungskonzepte | Art 32 (1) b) |
Trennung | u.A. Testumgebungen, Mandantenfähigkeit | u. A. Berechtigungskonzepte | Art 32 (1) b) |
Pseudonymisierung | u.A. physikalischeTrennung von Daten und Zuordnungsprozesse | u. A. Löschfristen einhalten, Interne Anweisungen zur Pseudonymisierung | Art 32 (1) a) |
Weitergabe | u.A. sichere Transportbehälter, E-Mailverschlüsselung, VPN | u. A. Übergabeprotokolle, sorgfältige Dienstleister und Mitarbeiterauswahl | Art 32 (1) b) |
Eingabe | u.A. Eingabeprotokollierung durch Logfiles | u.A. Benutzerrollen mit unterschiedlichen Berechtigungen | Art 32 (1) b) |
Verfügbarkeit | u.A. Sicherheitsvorkehrungen im Serverraum (Klimatsierung), Servicelevelvereinbarungen (SLA) mit Dienstleistern | u.A. Notfallplanung, Backupkonzept | Art 32 (1) c) |
Datenschutzmanagement | u.A. Zertifizierungen, Datenschutzsoftware | u.A. Interner oder externer Datenschutzbeauftragter | Art 32 (1) d) |
Datenschutzverletzungen | u.A. Virenscanner, Spamfilter, Firewall | u.A. Konzepte zur Vorgehensweise bei Datenschutzverletzungen | Art 32 (2) |
Datenschutzfreundliche Voreinstellungen | u.A. Datenvermeidung bei Datenerhebung, effizienter Datenbankaufbau | u.A. Entwicklungs- und Dokumentationsrichtlinien | Art 32 (2) |
Auftragsmanagement | u.A. Prüfung Sicherheitskonzepte eventueller Vertragspartner | Art 32 (4) | |
Beurteilung des Schutzniveaus | Risikoanalyse, Datenschutzfolgeabschätzung | Art 32 (2) |
Art. 32 DSGVO im Überblick – Technische und organisatorische Massnahmen
Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet
Quelle Gesetzestext: EURLEX