Technische und organisatorische Maßnahmen (TOM, Art. 32 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, personenbezogene Daten nicht nur rechtskonform, sondern auch sicher zu verarbeiten. Ein zentrales Element dafür sind die sog. technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO.

Warum das wichtig ist: Datenpannen oder Hackerangriffe können nicht nur zu hohen Bußgeldern, sondern auch zu erheblichem Vertrauensverlust bei Kunden und Partnern führen. Mit den richtigen TOM schützen Sie Ihr Unternehmen vor diesen Risiken.

Rechtliche Grundlage: Art. 32 DSGVO

Technische und organisatorische Maßnahmen sind alle Vorkehrungen, die Unternehmen treffen müssen, um personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff zu schützen. Sie bilden die Grundlage für die IT-Sicherheit und den Datenschutz im Unternehmen.

Artikel 32 DSGVO verpflichtet Unternehmen, geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei sind insbesondere folgende Punkte zu berücksichtigen:

1. Stand der Technik:
   • Maßnahmen müssen dem aktuellen technischen Standard entsprechen.
2. Implementierungskosten:
   • Der Aufwand muss in einem angemessenen Verhältnis zum Risiko stehen.
3. Art, Umfang und Zweck der Verarbeitung:
   • Sensible Daten (z. B. Gesundheitsdaten) erfordern strengere Sicherheitsmaßnahmen.
4. Eintrittswahrscheinlichkeit und Schwere möglicher Risiken:
   • Risikoanalysen sind Pflicht.

Grundsatz: Der Schutz muss dem Risiko angemessen sein.
Je sensibler die Daten und je größer die potenziellen Schäden, desto höher müssen die Schutzmaßnahmen ausfallen.

Ziele der TOM nach Art. 32 DSGVO

Die DSGVO nennt in Art. 32 vier konkrete Ziele, die durch TOM erreicht werden sollen:

1. Vertraulichkeit:
   • Schutz vor unbefugtem Zugriff auf Daten.
   • Beispiel: Zugriff nur für bestimmte Mitarbeiter über Rollen- und Rechtekonzepte
2. Integrität:
   • Sicherstellen, dass Daten nicht unbemerkt verändert werden können.
   • Beispiel: Einsatz von Protokollierungs- und Kontrollsystemen
3. Verfügbarkeit:
   • Daten und Systeme müssen bei Bedarf zugänglich und funktionsfähig sein.
   • Beispiel: Notfall-Backup-Systeme und redundante Server
4. Belastbarkeit:
   • Systeme müssen auch bei Angriffen oder Störungen widerstandsfähig sein.
   • Beispiel: Schutz vor DDoS-Angriffen und technische Redundanzen

„Standard-TOM“ (Auszug)

Technische Maßnahmen:

Technische Maßnahmen dienen dem Schutz der Datenverarbeitungssysteme. Typische Maßnahmen sind:

• Verschlüsselung: Datentransfers und Speicherungen werden verschlüsselt, z. B. TLS oder AES.
• Firewalls und Virenschutz: Schutz vor externen Angriffen und Schadsoftware
• Sichere Passwortrichtlinien: Komplexe, regelmäßig aktualisierte Passwörter
• Zugangskontrollen: Systeme nur für autorisierte Personen zugänglich machen.
• Backups und Notfallpläne: Schutz vor Datenverlust durch regelmäßige Sicherungen

Organisatorische Maßnahmen:

Organisatorische Maßnahmen sorgen dafür, dass Mitarbeiter und Prozesse datenschutzkonform arbeiten: Typische Maßnahmen sind:

• Datenschutzrichtlinien und klare Zuständigkeiten
• Schulungen und Sensibilisierungen für Mitarbeiter
• Verträge zur Auftragsverarbeitung mit externen Dienstleistern
• Dokumentation aller Prozesse im Verzeichnis der Verarbeitungstätigkeiten
• Notfallmanagement und Meldeverfahren für Datenschutzvorfälle

Pflichten und Risiken für Unternehmen

Pflichten

Aus dem oben Gesagten können folgende Pflichten für Unternehmen als Verantwortliche der Datenverarbeitung abgeleitet werden:

• Risikoanalysen durchführen, um die passenden TOM festzulegen.
• Dokumentieren, welche Maßnahmen umgesetzt wurden (z. B. im Datenschutzkonzept).
• Regelmäßig prüfen und aktualisieren, ob die TOM noch dem Stand der Technik entsprechen.
• Nach einem Sicherheitsvorfall innerhalb von 72 Stunden die Aufsichtsbehörde informieren (Art. 33 DSGVO).

Risiken

Wer keine angemessenen Maßnahmen umsetzt, riskiert:

• Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes
• Schadensersatzforderungen durch Betroffene
• Imageschäden und Vertrauensverlust
• Betriebsunterbrechungen durch Sicherheitsvorfälle

Beispiel: Ein Unternehmen ohne funktionierendes Backup-System verliert Kundendaten nach einem Hackerangriff. Folge: Bußgeld der Aufsichtsbehörde und erhebliche Reputationsschäden.

Unsere Leistungen: Sichere TOM für Ihr Unternehmen

Als erfahrene externe Datenschutzbeauftragte bzw. Datenschutzberater unterstützen wir dich bei der Umsetzung der Anforderungen aus Art. 32 DSGVO.

1. Risikoanalyse
   Wir bewerten, welche Datenverarbeitungen besonders sensibel sind und welches Risiko besteht.
2. Erstellung eines TOM-Konzepts
   Wir entwickeln ein maßgeschneidertes Konzept für technische und organisatorische Maßnahmen.
3. Implementierung und Dokumentation
   Wir helfen Ihnen, die Maßnahmen praktisch umzusetzen und rechtssicher zu dokumentieren.
4. Schulungen und Sensibilisierung
   Wir schulen Ihr Team, damit Datenschutz und IT-Sicherheit im Alltag gelebt werden.
5. Laufende Betreuung
   Wir prüfen regelmäßig, ob Ihre TOM noch dem Stand der Technik entsprechen.

Technische und organisatorische Maßnahmen sind mehr als nur eine gesetzliche Pflicht. Sie sind essentiell für die Sicherheit Ihres Unternehmens.Mit einem klaren Konzept und professioneller Unterstützung stellen Sie sicher, dass personenbezogene Daten geschützt und Risiken minimiert werden.

Checkliste: Haben Sie alle Anforderungen erfüllt?

• Sind alle Zugriffe auf Systeme und Daten kontrolliert und dokumentiert?
• Werden sensible Daten verschlüsselt gespeichert und übertragen?
• Gibt es aktuelle Datenschutzrichtlinien für Mitarbeiter?
• Werden regelmäßige Backups erstellt und getestet?
• Wurde ein Notfallplan für Datenschutzvorfälle entwickelt?
• Sind alle Maßnahmen dokumentiert und aktuell?

Wenn Sie hier Lücken entdecken, besteht dringender Handlungsbedarf. Wir helfen Ihnen dabei.