Anzeige

Fragezeichen

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. 

Es gilt diese festzulegen und zu dokumentieren. TOM besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit. Diese Maßnahmen müssen alle Unternehmen ergreifen, die personenbezogene Daten verarbeiten, um damit die Betroffenenrechte zu schützen.

„Dies war bereits nach dem alten Bundesdatenschutzgesetz, kurz BDSG, der Fall. Seit Eintreten der EU-DSGVO gelten jedoch darüber hinaus weitreichende Anforderungen an die Auswahl der TOM“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. Die Dokumentation der TOM spielt vor allem im Falle eines Datenlecks oder eines Datenschutzverstoßes eine große Rolle, da sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Schutzmaßnahmen ergreifen und planen

Dabei lässt sich dem Begriff TOM bereits entnehmen, dass die Maßnahmen sowohl technischer als auch organisatorischer Natur sein können. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Art. 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Zudem müssen Unternehmen laut DSGVO sicherstellen, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten rasch wieder zur Verfügung stehen. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch haben Unternehmen die Prüfung durch einen Dritten, also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber Geschäftspartnern oder der Aufsichtsbehörde einen besseren Eindruck.

Kontrolle gehört dazu

Eine Herausforderung stellt für viele Unternehmen allerdings die Beurteilung des Schutzniveaus dar. Laut DSGVO gilt es hier insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung der personenbezogenen Daten verbunden sind. Allerdings legt die DSGVO fest, dass nicht nur das verantwortliche Unternehmen die TOM dokumentieren muss, sondern auch die jeweiligen Auftragsverarbeiter. „Auftraggeber sollten sich die Dokumentation der TOM aushändigen lassen, diese prüfen und ablegen, da sie in der Pflicht stehen, ihre Auftragsverarbeiter zu kontrollieren und im Schadensfall sogar für diese einzustehen“, erklärt Hösel. Auch diese Prüfung übernehmen externe Datenschutzexperten. Sowohl das verantwortliche Unternehmen als auch die Auftragsverarbeiter müssen zudem sicherstellen, dass die ihnen unterstellten Personen, die einen Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung des Verantwortlichen verarbeiten.

www.hubit.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Datenaustausch

Datenschutz und Compliance - Datenaustausch aus dem Homeoffice

Die netfiles GmbH, ein Anbieter von virtuellen Datenräumen in Deutschland, hat die Ergebnisse ihrer aktuellen Trendstudie mit dem Titel „Datenschutz und Compliance beim Datenaustausch aus dem Homeoffice – Herausforderungen für die IT in der Corona-Krise“…
Datenbank Sicherheit

Die Sicherheit von Daten beginnt in der Datenbank

Die Datenbank ist das Herzstück eines Security-Konzepts. Der Datenbank-Pionier Couchbase nennt die vier wichtigsten Sicherheitskriterien, die sie zum Schutz sensibler Daten erfüllen muss.
Datenschutz

Unzertrennbar: CRM und Datenschutz

CRM-Lösungen und der Schutz von Daten passen auf den ersten Blick nicht zusammen, doch der Schein trügt. „Seit der Einführung der Datenschutzgrundverordnung (DSGVO) agieren die beiden Welten so eng wie noch nie miteinander“, sagt Litz, Geschäftsführer der…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!