Pressemitteilung

Was bedeutet TOM beim Datenschutz? Technische und organisatorische Maßnahmen nach DSGVO

Um was geht es in diesem Beitrag:

Lesen sie hier den Beitrag:

Was bedeutet TOM beim Datenschutz? Technische und organisatorische Maßnahmen nach DSGVO

Laut DSGVO müssen auch die TOM dokumentiert werden. Aber was heißt das genau? Und wie geht ein Unternehmen dabei vor?

Was bedeutet TOM beim Datenschutz? Technische und organisatorische Maßnahmen nach DSGVO

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Es gilt diese festzulegen und zu dokumentieren.

TOM besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit. Diese Maßnahmen müssen alle Unternehmen ergreifen, die personenbezogene Daten verarbeiten, um damit die Betroffenenrechte zu schützen.

Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG, sagt:

„Dies war bereits nach dem alten Bundesdatenschutzgesetz, kurz BDSG, der Fall. Seit Eintreten der EU-DSGVO gelten jedoch darüber hinaus weitreichende Anforderungen an die Auswahl der TOM“.

Die Dokumentation der TOM spielt vor allem im Falle eines Datenlecks oder eines Datenschutzverstoßes eine große Rolle, da sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Schutzmaßnahmen ergreifen und planen

Dabei lässt sich dem Begriff TOM bereits entnehmen, dass die Maßnahmen sowohl technischer als auch organisatorischer Natur sein können. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu.

Aber auch laut Art. 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Zudem müssen Unternehmen laut DSGVO sicherstellen, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten rasch wieder zur Verfügung stehen. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch haben Unternehmen die Prüfung durch einen Dritten, also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber Geschäftspartnern oder der Aufsichtsbehörde einen besseren Eindruck.

Kontrolle gehört dazu

Eine Herausforderung stellt für viele Unternehmen allerdings die Beurteilung des Schutzniveaus dar. Laut DSGVO gilt es hier insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung der personenbezogenen Daten verbunden sind. Allerdings legt die DSGVO fest, dass nicht nur das verantwortliche Unternehmen die TOM dokumentieren muss, sondern auch die jeweiligen Auftragsverarbeiter.

Hösel erklärt:

„Auftraggeber sollten sich die Dokumentation der TOM aushändigen lassen, diese prüfen und ablegen, da sie in der Pflicht stehen, ihre Auftragsverarbeiter zu kontrollieren und im Schadensfall sogar für diese einzustehen.“

Auch diese Prüfung übernehmen externe Datenschutzexperten. Sowohl das verantwortliche Unternehmen als auch die Auftragsverarbeiter müssen zudem sicherstellen, dass die ihnen unterstellten Personen, die einen Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung des Verantwortlichen verarbeiten.

Transparenzhinweise zum Beitrag:

weitere Beiträge zum Thema:

KI - Künstliche Intelligenz

Vier Fallstricke bei KI-Projekten

Einer aktuellen Databricks-Umfrage setzen bereits 94 Prozent der Unternehmen künstliche Intelligenz und maschinelles Lernen über alle Geschäftsbereiche hinweg ein; mehr als die Hälfte erwartet, dass

Weiterlesen »