Was sind technisch-organisatorische Maßnahmen (TOMs)?
Datenschutzpraxis
07. Mai 2020

Was sind technisch-organisatorische Maßnahmen (TOMs)?

Dr. M. Dornbach Profilbild
Dr. M. Dornbach

Nach Art. 32 DSGVO sind alle Stellen, unabhängig davon ob öffentlich oder privat, die personenbezogene Daten erheben, verarbeiten oder nutzen dazu verpflichtet technische und organisatorische Maßnahmen (TOMs) zu treffen, um so sicherzustellen, dass alle Sicherheits- und Schutzanforderungen der DSGVO erfüllt sind.

Technisch-organisatorische Maßnahmen, kurz TOMs, sollen also die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten. Gemäß Art. 32 DSGVO handelt es sich bei solchen Maßnahmen zum einen um die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten, aber auch um Vorkehrungen, welche deren Vertraulichkeit, Integrität und Verfügbarkeit sicherstellen. Die Aufzählung zeigt bereits, dass es bei der Datenverarbeitung nicht nur darum geht, dass Unbefugte keinen Zugriff auf die Daten erhalten. Es werden auch weitere Maßnahmen gefordert, die beispielsweise eine rasche Wiederherstellbarkeit der Daten garantieren. Außerdem, so das Gesetz, sollten die getroffenen TOMs regelmäßig auf ihre Wirksamkeit überprüft und gegebenenfalls angepasst werden.

Für Verantwortliche ist es hierbei wichtig zu wissen, dass diese Maßnahmen im Einzelnen nicht genau festgelegt sind. Sie können sich jedoch daran orientieren, in welchem Umfang, unter welchen Umständen und zu welchem Zweck personenbezogene Daten verarbeitet werden und welche Risiken für die Rechte und Freiheiten der betroffenen Personen damit einhergehen. Auch die Implementierungskosten sowie der derzeitige Stand der Technik müssen berücksichtigt werden. Es wird schnell deutlich, dass sich die TOMs je nach Unternehmensgröße und -struktur stark unterscheiden können, da ein großer Konzern andere Maßnahmen braucht als ein kleiner Handwerksbetrieb. Hierbei gilt: Je mehr Daten verarbeitet werden und je höher das Risiko, desto besser muss das Schutzniveau sein. Es gilt also entsprechend der DSGVO für alle zu treffenden technischen und organisatorischen Maßnahmen (TOMs) ein Verhältnismäßigkeitsprinzip. Hiernach müssen personenbezogene Daten nicht überproportional stark geschützt werden, sondern immer im Rahmen der Wirtschaftlichkeit.

Bei der Dokumentation ist es oft hilfreich, zwischen technischen und organisatorischen Maßnahmen zu differenzieren: Technische Maßnahmen umfassen dabei diejenigen Schutzversuche, die im weitesten Sinne physisch oder aber im Hard- und Softwarebereich umgesetzt werden, wie etwa die Verschlüsselung von Datenträgern oder der Einsatz einer Firewall. Die organisatorischen Maßnahmen hingegen lassen sich durch Handlungsanweisungen oder bestimmte Verfahrens- und Vorgehensweisen umsetzen. Dazu gehört zum Beispiel eine Datenschutzschulung der Mitarbeiter, die Implementierung des Vier-Augen-Prinzips bei relevanten Tätigkeiten oder dass der Zugriff auf vertrauliche Daten nur bestimmten besonders geschulten Personen gestattet ist.

Sind die Maßnahmen einmal dokumentiert, können Sie den einzelnen Verfahren zugeordnet werden. Dabei ist es empfehlenswert für verschiedene Standorte, wie beispielsweise Ladenflächen, Büro-Räumlichkeiten oder Außenstellen, getrennte Dokumentationen zu führen, da jeder Standort unterschiedlichen Anforderungen besitzt. Auf diese Weise lassen sich die angewandten technischen und organisatorischen Maßnahmen klarer voneinander trennen und als Nutzer sieht man auf einen Blick, welche Maßnahmen am jeweiligen Standort getroffen wurden. Ein Datenschutztool wie dacoto unterstützt dabei nicht nur bei der Zuordnung, sondern auch bei der Dokumentation der TOMs durch geeignete Vorlagen und durch Abfragen der einzelnen Maßnahmen entsprechend der Themen. Die so erstellten TOMs können dann in weitere Dokumenten wie beispielsweise Auftragsverarbeitungsverträge integriert werden.

Kurz und knapp
  • icon=
    Technisch-organisatorische Maßnahmen (TOMs) sollen die Sicherheit bei der Verarbeitung personenbezogener Daten gewährleisten.
  • icon=
    Die Maßnahmen sind im Einzelnen nicht fest vorgeben, es gilt aber: Je mehr Daten verarbeitet werden und je höher das Risiko, desto besser muss das Schutzniveau sein.
  • icon=
    Ein Datenschutztool wie dacoto unterstützt bei der Dokumentation durch Vorlagen und systematische Abfragen sowie bei der Zuordnung von TOMs zu den entsprechenden Verarbeitungsvorgängen.
  • icon=
    Sauber dokumentierte TOMs bilden die Basis für weitere Dokumente wie Auftragsverarbeitungsverträge.
Icon