Anzeige

Fragezeichen

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. 

Es gilt diese festzulegen und zu dokumentieren. TOM besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit. Diese Maßnahmen müssen alle Unternehmen ergreifen, die personenbezogene Daten verarbeiten, um damit die Betroffenenrechte zu schützen.

„Dies war bereits nach dem alten Bundesdatenschutzgesetz, kurz BDSG, der Fall. Seit Eintreten der EU-DSGVO gelten jedoch darüber hinaus weitreichende Anforderungen an die Auswahl der TOM“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. Die Dokumentation der TOM spielt vor allem im Falle eines Datenlecks oder eines Datenschutzverstoßes eine große Rolle, da sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Schutzmaßnahmen ergreifen und planen

Dabei lässt sich dem Begriff TOM bereits entnehmen, dass die Maßnahmen sowohl technischer als auch organisatorischer Natur sein können. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Art. 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Zudem müssen Unternehmen laut DSGVO sicherstellen, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten rasch wieder zur Verfügung stehen. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch haben Unternehmen die Prüfung durch einen Dritten, also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber Geschäftspartnern oder der Aufsichtsbehörde einen besseren Eindruck.

Kontrolle gehört dazu

Eine Herausforderung stellt für viele Unternehmen allerdings die Beurteilung des Schutzniveaus dar. Laut DSGVO gilt es hier insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung der personenbezogenen Daten verbunden sind. Allerdings legt die DSGVO fest, dass nicht nur das verantwortliche Unternehmen die TOM dokumentieren muss, sondern auch die jeweiligen Auftragsverarbeiter. „Auftraggeber sollten sich die Dokumentation der TOM aushändigen lassen, diese prüfen und ablegen, da sie in der Pflicht stehen, ihre Auftragsverarbeiter zu kontrollieren und im Schadensfall sogar für diese einzustehen“, erklärt Hösel. Auch diese Prüfung übernehmen externe Datenschutzexperten. Sowohl das verantwortliche Unternehmen als auch die Auftragsverarbeiter müssen zudem sicherstellen, dass die ihnen unterstellten Personen, die einen Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung des Verantwortlichen verarbeiten.

www.hubit.de


Weitere Artikel

2022 Security

Das sind die wichtigsten Datenschutz-Trends 2022

Im Hinblick auf die Datenverwaltung und den Datenschutz werden laut Florian Malecki, Vice President International Marketing bei Arcserve, im nächsten Jahr vier wesentliche Trends auf die Unternehmen zukommen.
Data Privacy

70 Prozent würden umfangreiche Daten zur Pandemiebekämpfung zur Verfügung stellen

Zur besseren Bekämpfung der Pandemie wären 71 Prozent bereit, dem Staat umfangreiche personenbezogene Daten zur Verfügung zu stellen. 48 Prozent wären bereit, detaillierte Gesundheitsinformationen inklusive Vorerkrankungen freizugeben. Ein Viertel würde die…
Cookie-Banner

Cookie-Banner – was ab 1.Dezember 2021 zu beachten ist

Jeder kennt das nervige Cookie-Banner. Mit dem Öffnen einer Webseite ploppt sofort ein Fenster auf, bevor es zu den eigentlichen Informationen weiter geht. Es gibt einen fetten Button, um in die Speicherung von Cookies einzuwilligen. Das Ablehnen wird…
Data Breach

Die 5 häufigsten Datenschutzverletzungen

Meldungen von Unternehmen, die von Datenschutzverletzungen und Daten-Leaks betroffen sind, haben in letzter Zeit stark zugenommen. Im Durchschnitt kosten solche Datenschutzverletzungen deutsche Unternehmen stolze 4,11 Millionen Euro – damit liegt Deutschland…
Cookies

Das Aus der Third-Party-Cookies – die Chance für den Neuanfang

Das bevorstehende Ende der Third-Party-Cookies verändert die Spielregeln im Internet. Wir müssen uns von gewohnten Handlungsmustern verabschieden, dürfen uns im Gegenzug aber auf erweiterte Möglichkeiten freuen – von denen nicht zuletzt auch die Nutzer…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.