de en
Nexia Ebner Stolz

Rechtsberatung

Technische und organisatorische Maßnahmen (TOM)

Im Juli 2019 kündigte die britische Datenschutzbehörde an, gegen British Airways ein Bußgeld von ca. EUR Mio. 203 zu verhängen. Begründet wurde dies damit, dass die Website der Fluglinie nicht ausreichend durch technische Maßnahmen vor Missbrauch geschützt gewesen sei. Dies unterstreicht die Bedeutung technischer und organisatorischer Maßnahmen im Datenschutz.

Wer braucht TOM? Und wenn ja wie viele?

Jeder, der per­so­nen­be­zo­gene Daten ver­ar­bei­tet, braucht sie: tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zum Daten­schutz, kurz auch TOM genannt. TOM müs­sen nicht nur doku­men­tiert wer­den, sie müs­sen unter Gel­tung der DSGVO auch tat­säch­lich im Unter­neh­men „gelebt“ wer­den. Wel­che und wie viele TOM in einem Unter­neh­men umge­setzt wer­den müs­sen, ist von vie­len Fak­to­ren abhän­gig, zum Bei­spiel:

  • Risi­ken für per­so­nen­be­zo­gene Daten, wobei schon die Mög­lich­keit des Zugriffs auf Daten durch Unbe­fugte ein Risiko dar­s­tellt
  • Wahr­schein­lich­keit des Risi­ko­ein­tritts
  • Schwere des dro­hen­den Scha­dens bei betrof­fe­nen Per­so­nen
  • Berück­sich­ti­gung des Stands der Tech­nik und der Kos­ten für eine Umset­zung der TOM

Je höher das Risiko, desto mehr wirk­same TOM wer­den benö­t­igt.

Was sind TOM?

Mit TOM ist die Gesamt­heit aller Vor­keh­run­gen eines Unter­neh­mens zum Schutz von per­so­nen­be­zo­ge­nen Daten gemeint. TOM las­sen sich in fol­gende Kate­go­rien ein­tei­len:

  • Pseud­ony­mi­sie­rung, ggf. Anony­mi­sie­rung und Ver­schlüs­se­lung von per­so­nen­be­zo­ge­nen Daten
  • TOM zur Sicher­stel­lung der Ver­trau­lich­keit wie Zutritts-, Zugangs-, Zugriffs- und Wei­ter­ga­be­kon­trolle
  • Sicher­stel­lung wei­sungs­ge­bun­de­ner Daten­ver­ar­bei­tung
  • TOM zur Sicher­stel­lung der Rich­tig­keit per­so­nen­be­zo­ge­ner Daten (Daten­in­te­gri­tät)
  • TOM zur Sicher­stel­lung der Ver­füg­bar­keit per­so­nen­be­zo­ge­ner Daten und Belast­bar­keit der IT
  • Not­fall- und Wie­der­an­lauf­kon­zepte nach einem Zwi­schen­fall
  • Maß­nah­men zur Über­prü­fung der Wirk­sam­keit von TOM
  • TOM zur Mel­dung von Daten­schutz­ver­let­zun­gen (Data-Bre­ach-Pro­zess)
  • Pri­vacy by design
  • Pri­vacy by default und Daten­mi­ni­mie­rung
  • TOM der Spei­cher­be­g­ren­zung wie Lösch­kon­zepte
  • Sicher­stel­lung der Recht­mä­ß­ig­keit, der Zweck­bin­dung und Tran­s­pa­renz der Ver­ar­bei­tung
  • Maß­nah­men, damit Betrof­fene ihre Rechte (z.B. Aus­kunfts­recht) wirk­sam wahr­neh­men kön­nen
  • Sicher­stel­lung der Doku­men­ta­ti­onspf­lich­ten (z.B. durch ein Daten­schutz-Mana­ge­ment-Sys­tem nach ISO 27701)

Jede die­ser Kate­go­rien müs­sen Unter­neh­men „mit Leben fül­len“, indem sie ein Bün­del kon­k­re­ter Maß­nah­men defi­nie­ren. Im Bereich der IT-Sicher­heit ist eine Ori­en­tie­rung am IT-Grund­schutz-Kom­pen­dium des Bun­de­sam­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zu emp­feh­len. Die IT-Sicher­heit ist aber nur ein (wich­ti­ger) Bau­stein in einem Daten­schutz­kon­zept.

Wie sol­len Unter­neh­men vor­ge­hen?

Auch Unter­neh­men, die sich um die Anpas­sung ihrer Pro­zesse an die DSGVO bis Mai 2018 geküm­mert haben, soll­ten es dabei nicht bewen­den las­sen. Denn zum einen sind TOM regel­mä­ßig auf ihre Wirk­sam­keit zu über­prü­fen. Zum ande­ren kön­nen in einem Unter­neh­men lau­fend neue Daten­ver­ar­bei­tun­gen (z.B. neue Cloud-Lösung) dazu­kom­men, die zum Gel­tungs­be­ginn der DSGVO noch nicht berück­sich­tigt wer­den konn­ten. Es bie­tet sich daher fol­gende Vor­ge­hens­weise an:

  1. Bestands­auf­nahme vor­han­de­ner TOM und mög­li­cher Schutz­lü­cken
  2. Ermitt­lung von Risi­ken und des Schutz­be­darfs für die betrof­fe­nen Daten
  3. Ein­füh­rung und Doku­men­ta­tion neuer TOM
  4. Regel­mä­ß­ige Prü­fung der TOM

Hin­weis

Jedes Unter­neh­men braucht TOM. Viele TOM sind ein­fach umzu­set­zen, andere erfor­dern IT-Kennt­nisse oder ein Umden­ken bei den Beschäf­tig­ten eines Unter­neh­mens. Gerade im Bereich der IT-Sicher­heit haben Unter­neh­men aber ohne­hin ein eige­nes Inter­esse an wirk­sa­men TOM - etwa zum Schutz von Geschäfts­ge­heim­nis­sen.

nach oben