Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden – auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.
Welche Bedeutung haben TOM?
Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, technische und organisatorischer Maßnahmen zum Schutz der Daten und zur Einhaltung des Datenschutzrechts zu implementieren. Dazu gehören Maßnahmen wie:
- Anonymisierung und Verschlüsselung von Daten.
- Sicherstellung der Integrität und Verfügbarkeit von Daten und zugehörigen Systemen.
- Kontinuierliche Überwachung und Bewertung der implementierten Maßnahmen.
Ziele der TOM im Datenschutz
Ziel der TOM ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.
TOM im Unternehmenskontext
Mit der DSGVO steigen die Anforderungen an Unternehmen im Bereich des Datenschutzes. Es besteht die Pflicht, alle umgesetzten Schutzmaßnahmen ordnungsgemäß zu dokumentieren. Bei Nichteinhaltung können Unternehmen mit empfindlichen Geldstrafen rechnen.
Wie lässt sich der Datenschutz durch TOM verbessern?
- Zutrittskontrolle: Verhindern den unkontrollierten Zugang zu Orten, in denen sich IT-Systemen befinden.
- Zugangskontrolle: Stellt sicher, dass nachvollzogen werden kann, wer Zugang zu IT-Systemen hatte.
- Zugriffskontrolle: Beschränkter stellt sicher, dass nur für autorisierte Personen auf personenbezogene Daten zugreifen können.
- Weitergabekontrolle: Schutz der Daten während der Übertragung.
- Eingabekontrolle: Stellt sicher, dass jeder Dateneingabe nachvollzogen werden kann.
- Auftragskontrolle: Stellt sicher, dass Auftragnehmer nur in kontrollierter Weise mit personenbezogenen Daten umgehen.
- Verfügbarkeitskontrolle: Stellt sicher, dass personenbezogene Daten verfügbar sind und nicht bei IT-Fehlern nicht dauerhaft verloren gehen.
- Trennungsgebot: Stellt sicher, dass personenbezogenen Daten für verschiedene Zwecke getrennt verarbeitet werden.
Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.