TOM - technische und organisatorische Maßnahmen im Datenschutz

Sie umfassen sowohl technische Maßnahmen wie Verschlüsselung, Zugriffsbeschränkungen und Backups als auch organisatorische Regelungen wie Zugriffsrechte, Schulungen oder Verträge mit Auftragsverarbeitern. Ziel der TOMs ist es, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitung sicherzustellen und Risiken für die Rechte und Freiheiten betroffener Personen zu minimieren.

Gemäß Art. 32 DSGVO sind Unternehmen verpflichtet, geeignete TOMs umzusetzen, die dem Risiko der Datenverarbeitung angemessen sind. Sie bilden also die praktische Grundlage für den Datenschutz im Unternehmen, müssen dokumentiert und regelmäßig überprüft werden. Die Wirksamkeit der TOMs ist entscheidend für die Einhaltung der DSGVO und kann bei Verstößen darüber entscheiden, ob und in welcher Höhe Bußgelder verhängt werden.

Sie stellen sicher, dass der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen sicher verarbeitet und die Datenschutzanforderungen eingehalten werden. Im AVV werden konkrete TOMs festlegt, die der Auftragsverarbeiter umsetzt, um ein ähnliches Schutzniveau der Daten zu gewährleisten, wie der Auftraggeber. Dazu gehören Maßnahmen wie Verschlüsselung, Zugriffskontrollen und regelmäßige Audits. Im Falle eines Verstoßes gegen die festgelegten Maßnahmen haftet der Auftragsverarbeiter, weshalb TOMs nicht „einfach unterschrieben“ werden sollten, sondern ihre Umsetzbarkeit überprüft und mit dem Auftraggeber abgestimmt.

Erhöhung der Datensicherheit:
TOMs schützen sensible Unternehmens- und Kundendaten vor Verlust, Diebstahl, Missbrauch oder Manipulation.

Vertrauensgewinn bei Kunden und Partnern:
Ein professioneller Umgang mit Datenschutz stärkt das Vertrauen von Kunden, Geschäftspartnern und Investoren – besonders in datengetriebenen Branchen.

Minimierung von Risiken und Schäden:
Sicherheitsvorfälle wie Datenlecks oder Cyberattacken können frühzeitig erkannt oder verhindert werden, was finanzielle und reputative Schäden reduziert.

Verbesserte interne Prozesse:
Die Einführung von TOMs fördert klare Zuständigkeiten, saubere Abläufe und ein stärkeres Bewusstsein für Datenschutz und IT-Sicherheit im Unternehmen.

Wettbewerbsvorteil:
Datenschutz als Qualitätsmerkmal kann zum echten Differenzierungsmerkmal am Markt werden – besonders bei Ausschreibungen oder internationalen Kooperationen.

Informationssicherheit:
TOMs kommen nicht nur dem Datenschutz nach der DSGVO zugute. Auch im Hinblick auf vertrauliche Information und Geschäftsgeheimnisse sind technische und organisatorische Maßnahmen zu treffen, um Daten zu schützen.

1. Bußgelder nach DSGVO (Art. 83 DSGVO):
   Verstöße gegen die Anforderungen zur Datensicherheit können zu Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des Vorjahres führen – je nachdem, welcher Betrag höher ist. Diese Strafen gelten besonders bei fehlenden oder unzureichenden TOMs gemäß Art. 32 DSGVO (Sicherheit der Verarbeitung).
2. Schadensersatzforderungen:
   Betroffene Personen haben gemäß Art. 82 DSGVO Anspruch auf Schadenersatz für materielle oder immaterielle Schäden, die durch unzureichende Sicherheitsmaßnahmen entstehen.
3. Behördliche Maßnahmen und Auflagen:
   Aufsichtsbehörden können Verarbeitungsverbote verhängen, technische Maßnahmen nachbessern lassen oder unangekündigte Audits und Kontrollen durchführen.
4. Reputationsschaden und Vertrauensverlust:
   Ein Datenschutzverstoß, der öffentlich bekannt wird, kann zu einem massiven Vertrauensverlust bei Kunden und Partnern führen und langfristige negative Auswirkungen auf das Geschäft haben.

Zugriffskontrolle
Technische Zugriffskontrollen für IT-Systeme sind so etwas wie der Burggraben des Datenschutzes. Dazu gehören ein System für Passwortschutz inklusive Richtlinien, die Zwei-Faktor-Authentifizierung oder biometrische Verfahren wie Fingerabdruckscanner.

Zugangskontrolle
Auch der Personenkreis muss limitiert werden: Es gilt das Prinzip des geringsten Zugriffs oder auch Least-Privilege-Principle. Zugriffsrechte von Nutzern sollten auf das Minimum beschränkt werden. Technisch umgesetzt werden kann dieses Prinzip mit Rollenkonzepten und Rechtevergaben (Admin, Bearbeitung, Read only), Zugangsprotokollen oder automatischer Sperre bei Inaktivität.

Datenträgerkontolle
Datenträger sollten ebenso Sicherheitskontrollen unterzogen werden: Festplatten und andere mobile Datenträger wie USB-Sticks, die sichere Löschung und Vernichtung von Altgeräten. Manche Firmen sperren auch USB-Ports auf Firmenrechnern.

Übertragungskontrolle
Auch für die Datenübertragung gibt es verschiedene technische Maßnahmen, um Datenschutz zu gewährleisten. Dazu gehören beispielsweise die HTTPS-Verschlüsselungen von Webseiten, die Verschiedenen Methoden zur Verschlüsselung von E-Mails, VPN für externe Zugriffe oder die TLS-Verschlüsselung bei interner Kommunikation.

Integritätskontrolle
Viele verschiedene Datenübertragungsprozesse erfordern auch technische Maßnahmen, um sicherzustellen, dass Daten nicht unbemerkt verändert werden können. Dazu gehören digitale Signaturen, Änderungsprotokolle für Datenbanken (Logging) oder die Nutzung von Paritätsbits, RAID-Systemen oder Fehlerkorrekturcodes (ECC). Letztere dienen dazu Datenfehler automatisch zu erkennen und zu korrigieren.

Verfügbarkeitskontrolle
Im Falle eines Vorfalls sollte sichergestellt werden, dass Daten zusätzlich auf Cloud-Systemen verfügbar sind, eine Notstromversorgung für Server bereitsteht und auch täglich Backups mit Wiederherstellungstests verfügbar sind.

Netzwerk und Systemsicherheit
hier geht es um allgemeinen Schutz der IT-Infrastruktur, etwa durch Firewalls, Antivirenprogramme, Sicherheitsupdates und Patches und die Segmentierung des Netzwerks.

Datenschutzrichtlinien
Unternehmen sollten sicherstellen, dass interne Datenschutzrichtlinien für den Umgang mit personenbezogenen Daten existieren, wie beispielsweise ein Löschkonzepte mit Fristen und Zuständigkeiten oder das Verfahrensverzeichnisse gemäß Artikel 30 DSGVO.

Verantwortlichkeiten
Das Bestellen eines Datenschutzbeauftragten ist nicht für alle Unternehmen Pflicht, aber überaus hilfreich, um Datenschutz zu gewährleisten und innerhalb des Unternehmens voranzutreiben. Wenn intern keine Ressourcen verfügbar sind, lohnt sich die Bestellung eines externen Datenschutzbeauftragten. 

Schulungen
Um Datenschutz effektiv umsetzen zu können, ist das ganze Unternehmen gefragt. Deswegen sind regelmäßige Schulungen für alle Mitarbeitenden zu den Themen Datenschutz, Informationssicherheit und Cybersecurity unerlässlich. Auch Awareness-Kampagnen zu Phishing und ein spezielles Datenschutz-Onboarding für neue Mitarbeitende können hilfreiche Maßnahmen sein.

Zugriffe und Berechtigungen verwalten
Grundsätzlich sollte jeder Mitarbeitende so viele Zugriffe und Berechtigungen wie nötig erhalten – aber nicht mehr. Alle Rollen- und Rechtevergaben sollten dokumentiert werden, und Benutzerkonten regelmäßig geprüft und nicht mehr benötigte gelöscht werden.

Auftragsbearbeitung
Bei der Prüfung und Auswahl von Dienstleistern sollten auch Datenschutzkriterien eine Rolle spielen. Wenn die Dienste darüber hinaus weisungsgebunden und im Auftrag personenbezogene Daten verarbeiten sollte mit diesen ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden.

Prozesse
Um Datenschutz rechtskonform zu gewährleisten sind eine Reihe von Prozessen nötig. Dazu gehören Verfahren zu Auskunftsersuchen, Löschanfragen und auch Prozesse für den Fall eines Datenschutzvorfälle inklusive Meldung von Verstößen nach Art 33. DSGVO an die zuständigen Behörende.

Kontroll- und Prüfmechanismen
Jedes Unternehmen sollte interne Prozesse für regelmäßige Datenschutz-Audits und Checks haben. Auch die Dokumentation von Datenschutzmaßnahmen sollte gewährleistet werden.

Clean Desk Policy
Datenschutz kann auch einfach sein: Sensible Daten sollten nicht offen auf Schreibtischen oder Ablagen herumliegen, Akten sollten sicher aufbewahrt und vernichtet werden, und der Zutritt für Besucher sollte reglementiert werden.

Zunächst sollte analysiert werden, welche personenbezogenen Daten verarbeitet werden, wie sensibel sie sind und wo sie gespeichert werden. Je sensibler die Daten, desto höher der Schutzbedarf. (Das gilt im Übrigen auch für sensible Information, die nicht personenbezogen ist). Anschließend erfolgt eine Risikoabschätzung: Welche Folgen hätten Datenverluste oder -zugriffe für die betroffenen Personen? Auf dieser Basis werden angemessene technische (z. B. Verschlüsselung, Zugriffskontrollen) und organisatorische Maßnahmen (z. B. Schulungen, klare Prozesse) ausgewählt – immer unter Berücksichtigung von Risiko, Wirtschaftlichkeit und Unternehmensgröße. Wichtig ist außerdem die nachvollziehbare Dokumentation aller TOMs, etwa im Verzeichnis der Verarbeitungstätigkeiten. Schließlich müssen die Maßnahmen regelmäßig auf Aktualität und Wirksamkeit überprüft und bei Bedarf angepasst werden. Eine Entscheidungsmatrix hilft dabei, strukturiert vorzugehen.

Neben den allgemeinen definierten TOMs können auch systembasierte TOMs getroffen werden, die einzelne Risiken von IT Systemen minimieren.

Eine Übersicht mit Best Practices des BayLAD ist hier verfügbar.