Technisch organisatorische Maßnahmen [TOM] nach Art 32 DSGVO – Definition, Vorlagen, Beispiele & Checklisten

Jan 27, 2020 | Allgemein, Technisch organisatorische Maßnahmen [TOM]

Was meint die Datenschutzgrundverordnung eigentlich mit technisch organisatorischen Maßnahmen (TOM)? Ein Betrieb, der personenbezogene Daten verarbeitet sowie jegliche Auftragsverarbeiter, mit denen er zusammenarbeitet, sind verpflichtet den Schutz der personenbezogenen Daten sicherzustellen. Hierzu müssen laut DSGVO geeignete und zumutbare technische und organisatorische Maßnahmen getroffen werden.

Gesetzliche Grundlage nach Art. 32 der DSGVO

Laut Absatz 1 des Artikel 32 DSGVO umfassen die TOM unter anderem ein System für die Datenverarbeitung zu installieren, dass nicht nur zuverlässig arbeitet. Es muss zudem Vertraulichkeit gewährleisten, also die personenbezogenen Daten vor dem Zugriff Betriebsfremder schützen. Und auch Integrität und Belastbarkeit des Systems spielen eine wichtige Rolle. Sollten aus irgendeinem Grund bei einem technischen Zwischenfall Daten verloren gehen, müssen diese wieder herstellbar sein.

Definition – Was sind technisch organisatorische Maßnahmen (TOM)?

Bereits Artikel 24 Absatz 1 DSGVO verlangt von Unternehmen technische organisatorische Maßnahmen und Vorkehrungen zu treffen, um die DSGVO einzuhalten. Es wird auch ein Nachweis der Einhaltung für technisch organisatorische Maßnahmen DSGVO gerecht verlangt. Weiter erläutert Artikel 32 genauer, was mit den Maßnahmen gemeint ist. Generell sind die TOM aber nur Anstöße für Maßnahmen und geben Spielraum für die Umsetzung.

DSGVO, TOM und Dokumentation

Technisch organisatorische Maßnahmen müssen DSGVO konform schriftlich erfasst werden. Die Datenschutzgrundverordnung verpflichtet Unternehmen zur Dokumentation im Umgang mit personenbezogenen Daten. Fragen Sie sich: Wo im Unternehmen sind personenbezogenen Daten, wie werden sie erfasst, verarbeitet, weitergeleitet, von wem und wer hat Zugriff? All dies sollten Sie schriftlich festhalten.

Auftragsverarbeitung und TOM

Wenn Sie sich nun hingesetzt haben und jegliche Verarbeitung personenbezogener Daten in ihrem Betrieb identifiziert und notiert haben, dann ist damit nur die halbe Arbeit getan. Sie müssen auch von allen Auftragsverarbeitern, mit denen Sie zusammenarbeiten die TOM anfordern. Auftragsverarbeiter können Web Analyse Tools wie Google Analytics, ihr Steuerberater für die Lohnabrechnung oder der Zahlungsdienstleister ihres Online-Shops sein. Priolan hilft Ihnen gerne, all diese wichtigen und gesetzlich geforderten Informationen zusammenzusammeln.

Beispiele & Checkliste aus der Praxis

Online finden sich viele Beispiele und auch die ein oder andere TOM Vorlage lässt sich ergooglen. Doch die Vertrauenswürdigkeit und Vollständigkeit einer TOM Vorlage ist nicht immer gewährleistet. Bei einem so wichtigen Thema wie dem Datenschutz sollte man sich für Beispiele und Checklisten an eine zuverlässige Quelle wenden. Priolan hat langjährige Erfahrung und Know-How im Bereich Datenschutz und hilft Ihnen gerne mit Beispielen und Checklisten aus der Praxis.

Nutzung von Kundendatenbanken auf Servern

Manch einer denkt sich noch immer: Wir haben gar keine personenbezogenen Daten im Betrieb. Oder vielleicht: Unsere Kundendaten gelangen nicht ins Internet, daher trifft die DSGVO nicht auf uns zu. Bedenken Sie hierbei bitte, dass auch Kundendaten, die auf internen Servern gespeichert werden laut Art. 4 Nr.1 DSGVO als personenbezogene Daten gelten und dem Schutz der DSGVO unterliegen.

Nutzung von externen Tools, wie Google-Analytics (Auftragsverarbeitung)

Ein weiterer oft vergessener Punkt, wenn es um Datenschutz geht, ist die Verwendung von Google Analytics und anderen Tools zur Analyse des Nutzerverhaltens auf Webseiten. Der Einsatz dieser Tools ist heutzutage so gang und gäbe, man könnte bei der Implementierung glatt vergessen, dass hier personenbezogenen Daten erhoben werden und diese zwingend der DSGVO unterstehen. Auftragsverarbeiter ist an dieser Stelle Google, was die Sache nicht einfacher macht.

Um Artikel 25 Abs. 1 und 2 der DSGVO zu entsprechen ist im Umgang mit Google Analytics eine IP-Anonymisierung zwingend erforderlich. Denn es gilt seit der DSGVO das Prinzip Privacy by default. Dies besagt, dass es auch weniger technisch versierten Internetnutzern möglich sein muss ihre Privatsphäre zu schützen. Dies wird sichergestellt, indem Software, Hardware oder Services datenschutzfreundlich voreingestellt sind. Ergänzt wird diese Idee durch das Prinzip von Privacy by design. Von der Entwicklungs-(Design-)Phase an, wird Technik so konzipiert, dass Datenschutzrichtlinien und -anforderungen eingehalten werden.

Was sollten Vereine & Unternehmen zwingend beachten?

Seit Inkrafttreten der DSGVO ist es für Vereine und Unternehmen essentiell wichtig, sich über die personenbezogenen Daten im Betrieb und deren Verarbeitung bewusst zu sein. Doch das Wissen darüber allein genügt nicht. Es muss auch dokumentiert werden und geeignete technische und organisatorische Maßnahmen müssen im Umgang mit personenbezogenen Daten getroffen werden, um folgende Punkte einzuhalten:

  • Pseudonymisierung von personenbezogenen Daten
  • geeignete Verschlüsselung personenbezogener Daten
  • Vertraulichkeit der Daten gewährleisten
  • Integrität gewährleisten
  • Verfügbarkeit sicherstellen
  • Belastbarkeit der Systeme, die mit personenbezogenen Daten arbeiten
  • die Möglichkeit nach Ausfällen Daten wieder herzustellen und erneut verfügbar zu machen
  • angemessene Implementierung von Verfahren zur Prüfung, Bewertung und Evaluierung der Wirksamkeit aller vorher genannten Maßnahmen

Folgen bei Verstößen

Damit die DSGVO auch eingehalten wird, sind die Sanktionen bei Verstößen entsprechend hoch angesetzt. Bußgelder können laut Art. 83 DSGVO bis zu 10.000.000 Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes des Vorjahres eines Unternehmens umfassen, je nachdem, welcher Betrag höher ist. Bei besonders schweren oder wiederholten Verstößen können Bußgelder bis zu 20.000.000 Euro oder 4 Prozent des Jahresumsatzes (global, anhand Vorjahr) angesetzt werden.

 

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!

Referenzen:

Wissenswertes