Anzeige

Anzeige

VERANSTALTUNGEN

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

Anzeige

Anzeige

Fragezeichen

Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. 

Es gilt diese festzulegen und zu dokumentieren. TOM besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit. Diese Maßnahmen müssen alle Unternehmen ergreifen, die personenbezogene Daten verarbeiten, um damit die Betroffenenrechte zu schützen.

„Dies war bereits nach dem alten Bundesdatenschutzgesetz, kurz BDSG, der Fall. Seit Eintreten der EU-DSGVO gelten jedoch darüber hinaus weitreichende Anforderungen an die Auswahl der TOM“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. Die Dokumentation der TOM spielt vor allem im Falle eines Datenlecks oder eines Datenschutzverstoßes eine große Rolle, da sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.

Schutzmaßnahmen ergreifen und planen

Dabei lässt sich dem Begriff TOM bereits entnehmen, dass die Maßnahmen sowohl technischer als auch organisatorischer Natur sein können. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Art. 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.

Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Zudem müssen Unternehmen laut DSGVO sicherstellen, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten rasch wieder zur Verfügung stehen. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch haben Unternehmen die Prüfung durch einen Dritten, also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber Geschäftspartnern oder der Aufsichtsbehörde einen besseren Eindruck.

Kontrolle gehört dazu

Eine Herausforderung stellt für viele Unternehmen allerdings die Beurteilung des Schutzniveaus dar. Laut DSGVO gilt es hier insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung der personenbezogenen Daten verbunden sind. Allerdings legt die DSGVO fest, dass nicht nur das verantwortliche Unternehmen die TOM dokumentieren muss, sondern auch die jeweiligen Auftragsverarbeiter. „Auftraggeber sollten sich die Dokumentation der TOM aushändigen lassen, diese prüfen und ablegen, da sie in der Pflicht stehen, ihre Auftragsverarbeiter zu kontrollieren und im Schadensfall sogar für diese einzustehen“, erklärt Hösel. Auch diese Prüfung übernehmen externe Datenschutzexperten. Sowohl das verantwortliche Unternehmen als auch die Auftragsverarbeiter müssen zudem sicherstellen, dass die ihnen unterstellten Personen, die einen Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung des Verantwortlichen verarbeiten.

www.hubit.de

GRID LIST
DSGVO

Ein Werkzeugkoffer für DSGVO-Anforderungen

Sperren, archivieren, löschen – der von der Datenschutzgrundverordnung (DSGVO) geforderte…
Datenwelt

Bremst Datenblindheit Unternehmen spürbar aus?

Wenig oder gar keine Einsicht in Daten zu haben, was auch als „Datenblindheit“ bezeichnet…
Top Secret

Das neue Gesetz zum Schutz von Geschäftsgeheimnissen

Nicht alle Unternehmensinformationen sind für fremde Ohren bestimmt. Wissen ist Macht,…
Breach

Warum bleiben so viele Datenschutzverstöße so lange unentdeckt?

Obwohl ständig neue Cybersicherheitstechnologien auf den Markt kommen und…
Frau mit Lupe

Kartenzahlungsvorgänge unter der Datenschutzlupe

Anfang September 2018 gab British Airways bekannt, eine massive Datenschutzverletzung…
EU-Flagge und USA-Flagge

CLOUD Act - Schatten über der DSGVO

Nahezu zeitgleich mit der DSGVO ist der US-amerikanische CLOUD Act in Kraft getreten. In…