IT-Sicherheit

TOM Datenschutz

Sicherheitsmaßnahmen nach DSGVO

tom datenschutz, toms dsgvo, technische und organisatorische maßnahmen, datenschutz und datensicherheit
Technische und organisatorische Maßnahmen – kurz TOM Datenschutz – werden mit der DSGVO eine größere Bedeutung beigemessen. Foto: pixabay, Pete Linforth/TheDigitalArtist

TOMs, die Abkürzung für technische und organisatorische Maßnahmen: Das ist für Unternehmen nichts Neues. Mit der EU-Datenschutz-Grundverordnung (DSGVO) gewinnen diese TOM Datenschutz jedoch gewaltig an Relevanz – besonders als rechtliche Absicherung.

Sie können im Zweifelsfall die Existenz Ihres Unternehmens retten. Wie und warum? Das erfahren Sie hier.

tom datenschutz, toms dsgvo, technische und organisatorische maßnahmen, datenschutz und datensicherheit

Technische und organisatorische Maßnahmen – kurz TOM Datenschutz – werden mit der DSGVO eine größere Bedeutung beigemessen. Foto: pixabay, Pete Linforth/TheDigitalArtist

TOM Datenschutz: Was ist das?

TOM ist die Abkürzung für technische und organisatorische Maßnahmen. Unternehmen kennen TOMs bereits aus dem Bundesdatenschutzgesetz (BDSG), genauer gesagt aus dem §9 BDSG inklusive Anlage. Aus diesen Sicherheitsmaßnahmen werden mit der EU-Datenschutz-Grundverordnung (DSGVO) ab 25. Mai 2018 die TOMs DSGVO.

Beschrieben sind diese im Artikel 32 DSGVO (Sicherheit der Verarbeitung). Technische und organisatorische Maßnahmen werden meist in einem Atmenzug genannt – zum Beispiel als TOM Datenschutz . Dabei unterscheiden sich die beiden Maßnahmen:

  • Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen, zum Beispiel durch das Installieren einer Alarmanlage oder Benutzerkonten, die passwortgeschützt sind.
  • Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

Durch die DSGVO bekommen vor allem die technischen IT-Sicherheitsaspekte der Datenverarbeitung eine größere Bedeutung, als das noch im §9 BDSG-alt der Fall war. Um jedoch festzustellen, welche technischen und organisatorischen Maßnahme notwendig sind, müssen Sie zunächst das Risiko jedes einzelnen Datenverarbeitungsvorgangs aus Sicht der Betroffenen analysieren und bewerten.

So bestimmen Sie Risiko und Schutzniveau: DSFA – Wann sind Firmen dazu verpflichtet?
und Datenschutz-Folgenabschätzung – Kennen Sie Ihr Risiko?

TOM Datenschutz DSGVO: verschärfte Sanktionen

Bußgelder oder großartige Strafen? Darum brauchen sich Unternehmen nach derzeitig gültigem Recht nicht zu sorgen. Zumindest nicht, wenn es darum geht, dass Ihr Betrieb es versäumt hat, erforderliche technische und organisatorische Maßnahmen nach §9 Bundesdatenschutzgesetz (BDSG) zu ergreifen. Das Schlimmste, was Ihrem Unternehmen momentan passieren kann, ist, dass die Aufsichtsbehörden Sie auffordern, TOM Datenschutz umzusetzen und Ihnen die weitere Datenverarbeitung verbieten – bis Sie die Sicherheitsmaßnahmen eingeführt haben. Aber allein das kann für Ihre Firma ja schon finanzielle Einbußen bedeuten.

Mit der DSGVO drohen Unternehmen künftig jedoch Bußgelder von bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des weltweit erzielten Jahresumsatzes – schon alleine, wenn sich Ihre TOM Datenschutz als unzureichend oder ungeeignet herausstellen (Artikel 83 Abs. 2d und 4 DSGVO).

Sonderfall Auftragsdatenverarbeitung

Wirkliche Bußgelder im Bezug auf TOM Datenschutz drohen Unternehmen bisher nur, wenn es Verträge zur Auftragsdatenverarbeitung betrifft. Denn wenn in ADV-Verträgen keine konkreten technischen und organisatorischen Maßnahmen zum Schutz der Daten beim Auftragsdatenverarbeiter schriftlich festgelegt wurden, kann es teuer werden. 2015 verhängte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) beispielsweise ein fünfstelliges Bußgeld.

In einer Pressemitteilung dazu verdeutlichte das BayLDA, dass die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss, von besondere Bedeutung seien. „Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann.“

Lesetipp: Auftragsdatenverarbeitung: Rechtskonformer ADV-Vertrag – trotz DSGVO

TOM Datenschutz als Ihr rechtlicher Rettungsanker

Mit der DSGVO gewinnen Ihre TOM Datenschutz noch mehr an Bedeutung. Sie sind der erste Beleg, den Sie vorweisen können, wenn Aufsichtsbehörden, Kunden, Lieferanten, Mitarbeiter oder auch die Presse, Ihren ordnungsgemäßen Umgang mit personenbezogenen Daten sowie die Sicherheit Ihrer Datenverarbeitung infrage stellen.

Im Falle eines Datenschutzverstoß‘, weil Sie beispielsweise unberechtigterweise Daten verarbeitet oder in Drittstaaten übermittelt haben, sind die von Ihnen getroffenen technischen und organisatorischen Maßnahmen rechtlich nicht unerheblich. Denn nach Art. 83 Abs. 2d DSGVO sind diese Sicherheitsmaßnahmen nämlich entscheidend: darüber, ob ein Bußgeld gegen Ihr Unternehmen verhängt wird und wenn ja, wie hoch es sein wird.
Wenn Ihre Firma beim TOM Datenschutz aber gut aufgestellt ist, sinkt die Wahrscheinlichkeit, dass Sie (hohe) Bußgelder zahlen zu müssen. In diesem Fall kann es hilfreich sein, anerkannte Standards zu nutzen, mit denen Sie nachweisen können, dass Sie geeignete technische und organisatorische Maßnahmen ergriffen haben. Das können beispielsweise eine Zertifizierung oder ein externes Audit sein – auf freiwilliger Basis versteht sich. Denn gesetzlich dazu verpflichtet, ist Ihr Unternehmen nicht (Art. 32 Abs. 3 DSGVO).

TOM Datenschutz nach § 9 BDSG

Konkrete technische und organisatorische Maßnahmen kennen Unternehmen bereits aus der Anlage zum §9 BDSG. Diese Sicherheitsmaßnahmen sind in sogenannte Kontrollkategorien unterteilt und hier zusammengefasst aufgelistet:

  • Zutritts, Zugangs- und Zugriffskontrolle zu Datenverarbeitungsanlagen
  • Eingabe- und Weitergabekontrolle von Daten
  • Auftragskontrolle zur Auftragsdatenverarbeitung
  • Verfügbarkeitskontrolle von Daten
  • Zweckbindungskontrolle der Datenverarbeitung

Welche TOMs nach DSGVO?

Die DSGVO ändert zum TOM Datenschutz vor allem Umschreibungen. Werden in der Anlage §9 BDSG zu treffende Maßnahmen beschrieben, legt die Datenschutz-Grundverordnung den Fokus darauf, bestimmte Datenschutzziele zu formulieren (Artikel 32 DSGVO, Abs. 1). Im Rahmen einer Arbeitsgruppe zu Verzeichnissen für Verarbeitungstätigkeiten nach Art. 30 DSGVO wurde ein DSGVO TOM Muster zur Beschreibung herausgegeben. Darin werden aufgeführt:

  • Gewährleistung der Vertraulichkeit
  • Gewährleistung der Integrität
  • Verschlüsselung
  • Pseudonymisierung
  • Gewährleistung der Verfügbarkeit
  • Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
  • Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
  • Gewährleistung der Belastbarkeit der Systeme

Lesen Sie auch Verfahrensverzeichnis – Datenverarbeitung nach DSGVO
und Verarbeitungsverzeichnis – Was ist zu tun?

TOM Datenschutz: alte Maßnahmen neu beschrieben?

Die in der DSGVO beschriebenen Datenschutzziele gilt es mit technischen und organisatorischen Maßnahmen zu erreichen. Obwohl die Begriffe der TOMs nach DSGVO von den bisherigen abweichen, gibt es inhaltlich jedoch große Schnittmengen zum alten BDSG.

Denn die Zutritts- oder Zugangskontrolle nach BDSG spielt sicherlich eine wichtige Rolle, wenn es darum geht, die Vertraulichkeit der Datenverarbeitung zu gewährleisten. Aber auch eine Neuerung kommt mit der DSGVO: die sogenannte Belastbarkeit. Das bedeutet, dass Sie gewährleisten müssen, dass Ihre Dienste und Systeme ausreichend widerstandsfähig sind – auch bei Spannenungsschwankungen oder Cyberangriffen.

Tipps zur Umsetzung der TOM Datenschutz: TOMs DSGVO – Datenschutz und Datensicherheit

TOM Datenschutz: Überprüfen Sie Ihre Sicherheitsmaßnahmen

Ihr tatsächlicher Aufwand bei der Anpassung der technischen und organisatorischen Maßnahmen ist also abhängig von Ihrem derzeitigen TOM-Datenschutz-Niveau. Ist Ihr Unternehmen hierbei bereits gut aufgestellt, dürften die Anpassungen an die TOMs nach DSGVO nur geringfügig größer und damit überschaubar sein. Deutlich wird jedoch, dass technische Maßnahmen und damit das Thema IT-Sicherheit durch die DSGVO an Bedeutung gewinnen.

Die Dienstleister des IT-SERVICE.NETWORK unterstützen Sie gern dabei, Ihre Sicherheitsmaßnahmen DSGVO-konform aufzustellen. Lesen Sie in unserem Blog, wie Datenschutz durch Technikgestaltung mittels Privacy by Design und Privacy by Default umgesetzt wird.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


Geschrieben von

Weiterlesen

Fragen zum Artikel? Frag den Autor
1 Kommentar

Sara Lage, 28. November 2019 um 20:48

Durch das Verhaltnisma?igkeitsprinzip, welches sich mittelbar in Art. 32 DSGVO wiederfindet, schranken sich die TOM-Vorgaben marginal wieder selbst ein. Art. 32 DSGVO spricht namlich davon, dass die Implementierungskosten der Ma?nahmen zu berucksichtigen sind.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen