Technische und organisatorische Maßnahmen (TOM)

Wer braucht TOM? Und wenn ja wie viele?

Je­der, der per­so­nen­be­zo­gene Da­ten ver­ar­bei­tet, braucht sie: tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men zum Da­ten­schutz, kurz auch TOM ge­nannt. TOM müssen nicht nur do­ku­men­tiert wer­den, sie müssen un­ter Gel­tung der DS­GVO auch tatsäch­lich im Un­ter­neh­men „ge­lebt“ wer­den. Wel­che und wie viele TOM in einem Un­ter­neh­men um­ge­setzt wer­den müssen, ist von vie­len Fak­to­ren abhängig, zum Bei­spiel:

• Ri­si­ken für per­so­nen­be­zo­gene Da­ten, wo­bei schon die Möglich­keit des Zu­griffs auf Da­ten durch Un­be­fugte ein Ri­siko dar­stellt
• Wahr­schein­lich­keit des Ri­si­ko­ein­tritts
• Schwere des dro­hen­den Scha­dens bei be­trof­fe­nen Per­so­nen
• Berück­sich­ti­gung des Stands der Tech­nik und der Kos­ten für eine Um­set­zung der TOM

Je höher das Ri­siko, desto mehr wirk­same TOM wer­den benötigt.

Was sind TOM?

Mit TOM ist die Ge­samt­heit al­ler Vor­keh­run­gen ei­nes Un­ter­neh­mens zum Schutz von per­so­nen­be­zo­ge­nen Da­ten ge­meint. TOM las­sen sich in fol­gende Ka­te­go­rien ein­tei­len:

• Pseud­ony­mi­sie­rung, ggf. An­ony­mi­sie­rung und Ver­schlüsse­lung von per­so­nen­be­zo­ge­nen Da­ten
• TOM zur Si­cher­stel­lung der Ver­trau­lich­keit wie Zu­tritts-, Zu­gangs-, Zu­griffs- und Wei­ter­ga­be­kon­trolle
• Si­cher­stel­lung wei­sungs­ge­bun­de­ner Da­ten­ver­ar­bei­tung
• TOM zur Si­cher­stel­lung der Rich­tig­keit per­so­nen­be­zo­ge­ner Da­ten (Da­ten­in­te­grität)
• TOM zur Si­cher­stel­lung der Verfügbar­keit per­so­nen­be­zo­ge­ner Da­ten und Be­last­bar­keit der IT
• Not­fall- und Wie­der­an­lauf­kon­zepte nach einem Zwi­schen­fall
• Maßnah­men zur Überprüfung der Wirk­sam­keit von TOM
• TOM zur Mel­dung von Da­ten­schutz­ver­let­zun­gen (Data-Bre­ach-Pro­zess)
• Pri­vacy by de­sign
• Pri­vacy by de­fault und Da­ten­mi­ni­mie­rung
• TOM der Spei­cher­be­gren­zung wie Löschkon­zepte
• Si­cher­stel­lung der Rechtmäßig­keit, der Zweck­bin­dung und Trans­pa­renz der Ver­ar­bei­tung
• Maßnah­men, da­mit Be­trof­fene ihre Rechte (z.B. Aus­kunfts­recht) wirk­sam wahr­neh­men können
• Si­cher­stel­lung der Do­ku­men­ta­ti­ons­pflich­ten (z.B. durch ein Da­ten­schutz-Ma­nage­ment-Sys­tem nach ISO 27701)

Jede die­ser Ka­te­go­rien müssen Un­ter­neh­men „mit Le­ben füllen“, in­dem sie ein Bündel kon­kre­ter Maßnah­men de­fi­nie­ren. Im Be­reich der IT-Si­cher­heit ist eine Ori­en­tie­rung am IT-Grund­schutz-Kom­pen­dium des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) zu emp­feh­len. Die IT-Si­cher­heit ist aber nur ein (wich­ti­ger) Bau­stein in einem Da­ten­schutz­kon­zept.

Wie sollen Unternehmen vorgehen?

Auch Un­ter­neh­men, die sich um die An­pas­sung ih­rer Pro­zesse an die DS­GVO bis Mai 2018 gekümmert ha­ben, soll­ten es da­bei nicht be­wen­den las­sen. Denn zum einen sind TOM re­gelmäßig auf ihre Wirk­sam­keit zu überprüfen. Zum an­de­ren können in einem Un­ter­neh­men lau­fend neue Da­ten­ver­ar­bei­tun­gen (z.B. neue Cloud-Lösung) da­zu­kom­men, die zum Gel­tungs­be­ginn der DS­GVO noch nicht berück­sich­tigt wer­den konn­ten. Es bie­tet sich da­her fol­gende Vor­ge­hens­weise an:

1. Be­stands­auf­nahme vor­han­de­ner TOM und mögli­cher Schutzlücken
2. Er­mitt­lung von Ri­si­ken und des Schutz­be­darfs für die be­trof­fe­nen Da­ten
3. Einführung und Do­ku­men­ta­tion neuer TOM
4. Re­gelmäßige Prüfung der TOM

Hinweis

Je­des Un­ter­neh­men braucht TOM. Viele TOM sind ein­fach um­zu­set­zen, an­dere er­for­dern IT-Kennt­nisse oder ein Um­den­ken bei den Be­schäftig­ten ei­nes Un­ter­neh­mens. Ge­rade im Be­reich der IT-Si­cher­heit ha­ben Un­ter­neh­men aber oh­ne­hin ein ei­ge­nes In­ter­esse an wirk­sa­men TOM - etwa zum Schutz von Ge­schäfts­ge­heim­nis­sen.