Technische und organisatorische Maßnahmen im Datenschutz
Wer den Datenschutz in seiner Organisation richtig umsetzen will, der kommt um sie nicht herum: die technischen und organisatorischen Maßnahmen. Die Datenschutzgrundverordnung (DS-GVO) gibt vor, in welchem Maße Maßnahmen getroffen werden müssen, um personenbezogene Daten zu schützen. Was hier zu beachten ist und welche ersten Schritte Sie einhalten sollten, lesen Sie in unserem aktuellen Datenschutz-Blog für Köln, Bonn, Düsseldorf, Siegen, Siegburg und ganz NRW.
Was sind TOM nach DS-GVO?
Jeder, der sich mit den gesetzlichen Vorgaben des Datenschutzes in seinem Unternehmen schon einmal beschäftigt hat, ist bereits auf die sogenannten technischen und organisatorischen Maßnahmen (TOM) gestoßen. Aber was versteht man unter den TOM? Wie der Name schon sagt, meint dies die Maßnahmen, die getroffen werden, um personenbezogene Daten von Betroffenen vor einem unbefugten Zugriff zu schützen.
Sie spielen aber auch eine große Rolle, wenn es um die Vermeidung von Datenpannen geht. Besonders wichtig werden sie, wenn es darum geht bei einem möglichen Datenleck oder einer/einem Datenpanne/-verstoß, die Vorgänge und die nötigen Maßnahmen zum Schutz der Daten zu dokumentieren. Zuerst stellt sich jeder die Frage: Was sind personenbezogene Daten und wann verarbeitet man personenbezogene Daten? Lesen Sie dazu unseren Blogartikel.
Die TOM stellen sicher, wie an verschiedenen Stellen bei der Verarbeitung von personenbezogenen Daten deren Sicherheit gewährleistet wird. Dazu gehören nicht nur IT-Sicherheit und andere technische Verarbeitungen. Auch dazu gehören die abschließbaren Büros oder Eingangspforten, Besucherkontrolle oder die richtige Vernichtung von Daten.
Dokumentation der TOM im Datenschutz
Zu den technischen und organisatorischen Maßnahmen nach DS-GVO gehört nicht nur die Sicherstellung, dass es diese gibt, sondern auch eine ausreichende Dokumentation der TOM.
Wie bereits geschrieben, wird diese Dokumentation besonders dann wichtig, wenn es um Datenpannen geht. Sollte es doch einmal vorkommen, dass eine Datenpanne „passiert“ oder ein Datenschutzverstoß vorliegt, muss eine Organisation darlegen, wie der Schutz der personenbezogenen Daten möglichst gut sichergestellt wurde.
Ein Unternehmen, ein Verein, eine Schule, eine Praxis etc. sollte die Dokumentation der TOM aber auch dafür nutzen, den Datenschutz in den eigenen Abläufen regelmäßig einer Prüfung zu unterziehen. Mit der regelmäßigen Überprüfung der dokumentierten TOM und dem Hinzufügen neuer Maßnahmen, setzt sich der Verantwortliche somit auch immer wieder mit der Frage auseinander, ob der Datenschutz ausreichend sichergestellt ist. Mögliche Schwachstellen können erkannt und Datenpannen vorgebeugt werden.
Technisch und organisatorisch – Maßnahmen im Datenschutz
Wir haben bereits thematisiert, dass die TOM immer die IT-bezogenen, aber auch die manuellen Verarbeitungen von personenbezogenen Daten berücksichtigen sollten. Was genau meint aber technisch und organisatorisch? Mit einem kurzen Beispiel kann man das leicht klären:
Eine technische Maßnahme ist es, die Büroschränke, in dem die personenbezogenen Daten aufbewahrt werden, entsprechend zu sichern und abzuschließen. Damit die Daten vor dem Zugriff von unbefugten Dritten geschützt werden, werden die zugehörigen Schlüssel nur an jene Mitarbeiter ausgegeben, welche auch eine Befugnis zur Verarbeitung der Daten haben. Dies wird durch eine Listebund die persönliche Ausgabe gegen Unterschrift durch den Mitarbeiter dokumentiert. Hierbei handelt es sich dann um die organisatorische Maßnahme.
In einer Organisation können die Vorgänge natürlich auch viel komplexere Vorgänge beinhalten, welche entsprechend dokumentiert werden. Auch die Belastbarkeit und die Integrität der Systeme sollte dabei betrachtet werden. Ebenso stellt die Pseudonymisierung der Daten und die Wiederherstellungsmöglichkeit nach technischen Pannen hierbei eine Aufgabe dar.
Was gehört in die TOM nach DS-GVO?
Die technischen und organisatorischen Maßnahmen gewährleisten also vor allem das angemessene Schutzniveau bei dem Umgang mit personenbezogenen Daten. Die TOM können dabei als ein zentrales Dokument geführt werden oder aber auch je Vorgang in dem Verzeichnis von Verarbeitungstätigkeiten (VVT) eingefügt werden. Auch Abweichungen von der Standart-TOM (z.B. wegen eines besonders hohen Sicherheitsrisikos) können im jeweiligen Dokument im VVT dokumentiert werden.
Wählt man ein oder mehrere zentrale Dokumente, so sollte der Verantwortliche mindestens eine Aufteilung nach folgenden Gesichtspunkten berücksichtigen:
- Allgemeine Einrichtungen zur Sicherheit: Dokumentation z.B. von Schließsystemen
- Allgemeine IT-Sicherheit
- Spezielle Einrichtungen
Komplexe Sachverhalte erfordern Betrachtung durch einen Fachmann
Die Umsetzung und die Dokumentation der technischen und organisatorischen Maßnahmen können unter Umständen recht komplex sein. Hinzu kommt, dass Sie regelmäßig geprüft, weiterentwickelt und ergänzt werden. Dies gibt die DS-GVO vor.
Um diesen fachlich anspruchsvollen Vorgang gezielt umzusetzen, macht es Sinn, sich einen Fachmann an die Hand zu holen. Ein externer Datenschutzbeauftragter kann unterstützend bei der Erstellung der TOM tätig werden. Er hat den Überblick über die gesetzlichen Vorgaben und kann die unterschiedlichen Ebenen in einem Unternehmen miteinander verknüpfen.
Der externe Datenschutzbeauftragte kann Ihnen Musterbeispiele für die TOM erstellen, mit denen Sie DS-GVO-konforme Dokumentationen sicherstellen können. Er kann aber auch die bereits angelegten TOM bewerten und unterstützend bei der Vervollständigung nötiger Maßnahmen tätig sein.
Das Team von Datenschutzberater.NRW besteht aus Fachleuten des Datenschutzes, der IT und dem Steuerrecht und kann Ihnen bei der Umsetzung des Datenschutzes helfen. Zu unserem Portfolio gehören:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Projektbezogener Datenschutz
- GoBD-Beratung – Verfahrensdokumentation
- IT-Audit
- DS-GVO-Scan Ihrer Homepage
- Mitarbeiterschulungen
Wir stellen einen externen Datenschutzbeauftragten (TÜV). Durch die Unterstützung durch eine Datenschutzfachkraft (TÜV) ist eine Betreuung von kleinen und mittleren Unternehmen, Schulen, Vereinen, Praxen und anderen Mandanten im Bereich Köln, Düsseldorf, Siegburg, Bonn, Siegen und in ganz Nordrhein-Westfalen möglich.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO für NRW eingehalten haben, dann lassen Sie sich von uns professionell beraten. Weitere Handlungsempfehlungen für KMU in NRW finden Sie hier.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.