Worum geht's?
Datensicherheit und Datenschutz sind für alle Unternehmen von entscheidender Bedeutung. Wer in seinem Unternehmen mit sensiblen Informationen arbeitet, muss angemessene Vorkehrungen treffen, um die Daten vor Missbrauch, Manipulation und Verlust zu schützen. Die DSGVO schreibt dafür sogenannte technische und organisatorische Maßnahmen (TOM) vor. Was damit gemeint ist, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen können, um für die Sicherheit der Daten zu sorgen und worauf Sie bei der Umsetzung achten sollten, erklären wir Ihnen jetzt.
1. Was sind technische und organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen, oft auch als TOM oder TOMs abgekürzt, sind bestimmte Schritte und Vorkehrungen, die Unternehmen ergreifen müssen, um die Sicherheit von Daten zu gewährleisten. TOMs spielen immer dann eine Rolle, wenn ein Unternehmen personenbezogene Daten verarbeitet. Das können zum Beispiel Bestellinformationen von Kunden, E-Mailadressen für Newsletter, Bankdaten von Mitarbeitern oder Arbeitszeugnisse von Bewerbern sein.
INTERESSANT
Weil nahezu alle Unternehmen solche personenbezogenen Daten verarbeiten, gilt auch für alle die Datenschutzgrundverordnung (DSGVO). Die Größe des Unternehmens spielt dabei keine Rolle. Ob Freelancer oder Weltkonzern: Jeder muss sich an die Datenschutzvorschriften bei der Verarbeitung halten.
Die DSGVO legt in Art. 25 fest, dass Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gewährleistet werden muss. Dazu gehören auch geeignete technische und organisatorische Maßnahmen, die sich detaillierter im Art. 32 DSGVO finden lassen.
Ist Ihr Unternehmen datenschutzrechlich abgesichert? Mit unserem Datenschutz-Management-System DatenschutzPro auf eRecht24 können Sie dies überprüfen.
Was gehört zu den technischen und organisatorischen Maßnahmen?
Technische Maßnahmen umfassen technologische Datenschutzlösungen wie Verschlüsselung, Firewalls, Zugriffskontrollen und Datensicherungen. Organisatorische Maßnahmen beziehen sich auf Prozesse, Richtlinien und Schulungen, die Unternehmen einsetzen können, um für einen sicheren Umgang mit personenbezogenen Daten zu sorgen.
Die Maßnahmen sollen gewährleisten, dass Daten von Kunden, Mitarbeitern, Bewerbern und Geschäftspartnern dem neuesten Stand der Technik nach geschützt sind. So bringt beispielsweise auch eine DSGVO-konforme Datenschutzerklärung wenig, wenn die im Newsletter-Anmeldeformular eingegebenen Daten anschließend ohne Verschlüsselung übertragen werden.
Auch wenn die korrekte Umsetzung von technischen und organisatorischen Maßnahmen zusätzlichen Aufwand bedeutet, profitieren Unternehmen davon: Sie können nicht nur nachweisen, dass sie den rechtlichen Anforderungen der Datenschutz-Grundverordnung entsprechen, sondern zugleich auch das Vertrauen ihrer Kunden in den Schutz ihrer Daten stärken.
2. Welche Maßnahmen zählen zu den TOMs?
Als Unternehmer können Sie unterschiedliche technisch organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten.
Beispiele für technische Maßnahmen gemäß DSGVO
Zu den technischen Maßnahmen gehören beispielsweise:
- Verschlüsselung: Verschlüsselungstechnologien helfen dabei, sensible Daten vor unbefugtem Zugriff zu schützen. Sowohl die Datenübertragung als auch die Speicherung sollten verschlüsselt werden. Personenbezogene Daten sind wo möglich zu pseudonymisieren. Mehr-Faktor-Authentifizierungen und sichere Passwortverfahren sorgen ebenfalls für Datensicherheit.
- Firewalls: Firewalls sind eine erste Verteidigungslinie gegen unerlaubte Zugriffe auf das Unternehmensnetzwerk. Sie überwachen den Datenverkehr und blockieren potenziell schädliche Aktivitäten. Eine VPN-Verbindung erhöht die Sicherheit bei der Datenübertragung.
- Zugriffskontrollen: Durch Zugriffskontrollen kann Ihr Unternehmen sicherstellen, dass nur autorisierte Personen auf bestimmte Daten zugreifen können. Dies umfasst die Vergabe von Benutzerkonten, Passwörtern und Berechtigungen. Unbefugte Personen sollten keine Möglichkeit erhalten, sensible Dokumente zu lesen, zu bearbeiten, kopieren oder zu löschen.
- Zutrittskontrolle: Nicht nur der technische, sondern auch der physische Zugriff auf Daten muss unbefugten Personen verwehrt bleiben – etwa der Zutritt zum Serverraum. Technische Maßnahmen wie Zäune, elektronische Zutrittssysteme oder der kontrollierte Einlass durch einen Pförtner sind hierbei denkbar.
- Backups: Regelmäßige Datensicherungen sind entscheidend, um im Falle eines Datenverlusts oder einer Beschädigung eine Wiederherstellung zu ermöglichen. Geht z. B. eine Festplatte kaputt und lässt sich nicht reparieren, muss das Unternehmen sicherstellen, dass es von allen betroffenen Daten ein sicheres Backup gibt.
Beispiele für organisatorische Maßnahmen gemäß DSGVO
Organisatorische Maßnahmen umfassen unter anderem:
- Richtlinien und Verfahren: Unternehmen sollten klare Richtlinien und Verfahren für den Umgang mit Daten entwickeln und sicherstellen, dass alle Mitarbeiter diese verstehen und befolgen. Beispiele sind etwa das Vier-Augen-Prinzip für bestimmte Prüfungen, Vereinbarungen zur privaten Internetnutzung am Arbeitsplatz oder Richtlinien für die Besucheranmeldung im Unternehmen.
- Schulungen und Sensibilisierung: Durch Schulungen und Workshops können Sie Ihre Mitarbeiter für Datenschutz, Sicherheitspraktiken und die Rechte von Betroffenen sensibilisieren. Informieren Sie Ihre Angestellten über aktuelle Bedrohungen und entwickeln Sie Leitfäden zu sicheren Datenverarbeitungen sowie zur datenschutzkonformen Löschung und Entsorgung dieser Daten.
- Auftragskontrolle: Verarbeitet Ihr Unternehmen fremde personenbezogene Daten oder haben Sie einen Dienstleister mit der Datenverarbeitung Ihrer Kundendaten beauftragt, liegt eine Auftragsverarbeitung vor. Für diese brauchen Sie laut Datenschutzgrundverordnung einen Auftragsverarbeitungsvertrag, der die Datenverarbeitungen regelt.
- Risikomanagement: Führen Sie in Ihrem Unternehmen regelmäßige Risikobewertungen durch, um Schwachstellen zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu ergreifen. Durch eine Datenschutz-Folgeabschätzung können Sie einschätzen, wie hoch das Risiko einer Datenschutzverletzung ist, wenn Sie gewisse Prozesse und Technologien einsetzen.
Durch eine Risikoanalyse wissen Sie, was im Falle eines Datenschutzverstoßes passieren könnte. Mit diesem Wissen können Sie leichter entscheiden, welche technischen organisatorischen Maßnahmen für Ihr Unternehmen geeignet sind, um das Risiko einzudämmen. Eine detaillierte Auflistung möglicher TOMs hat das Bayrische Landesamt für Datenschutzaufsicht in einem Best-Practice-Katalog zusammengestellt.
3. Worauf müssen Unternehmen bei der Umsetzung von TOMs achten?
Im Zuge der Umsetzung der TOM in Ihrem Unternehmen trifft Sie (bzw. die verantwortliche Person) eine erweiterte Dokumentations- und Nachweispflicht. Das heißt, dass Sie sämtliche Maßnahmen, die Sie für den Schutz der Daten einsetzen, in einem DSGVO-Verarbeitungsverzeichnis dokumentieren müssen.
Die Dokumentation ist zum einen wichtig, um die Einhaltung der DSGVO-Vorschriften nachweisen zu können. Zum anderen haben Sie dadurch im Falle einer Datenschutzverletzung einen Überblick über die ergriffenen Maßnahmen.
Wichtig ist auch: Technologien und deren potenzielle Bedrohungen ändern sich ständig.
Sowohl technische als auch organisatorische Maßnahmen müssen geeignet sein, den Schutz der Daten zu gewährleisten. Stellen Sie daher unbedingt sicher, dass die TOMs in Ihrem Unternehmen auf dem neuesten Stand sind und regelmäßig von der zuständigen Stelle (etwa von der IT-Abteilung oder dem DSGVO-Datenschutzbeauftragten) überprüft und aktualisiert werden.
GUT ZU WISSEN
Wer das Thema technisch organisatorische Maßnahmen nicht ernst nimmt, weil keine angemessenen TOMs für Datenschutz und Datensicherheit sorgen oder diese nicht ausreichend dokumentiert werden, muss als Unternehmen mit empfindlichen DSGVO-Bußgeldern rechnen.
Es besteht aber das Verhältnisprinzip: Kosten und Nutzen der eingesetzten Maßnahmen müssen in einem angemessenen Verhältnis zueinanderstehen. Klar ist, dass ein 3-Personen-Betrieb nicht die gleichen Standards in Sachen Datenschutz leisten kann wie ein weltweit tätiger Großkonzern.
4. Checkliste: So setzen Sie technische und organisatorische Maßnahmen DSGVO-konform um
- 1. Identifizieren Sie die Datenkategorien und deren Schutzanforderungen.
- 2. Benennen Sie Verantwortliche im Unternehmen (z. B. Datenschutzbeauftragter, IT-Leiter etc.)
- 3. Führen Sie regelmäßige Risikobewertungen durch, um potenzielle Schwachstellen zu identifizieren.
- 4. Wählen Sie angemessene technische Maßnahmen wie Verschlüsselung, Firewalls und Zugriffskontrollen, um den Schutz der Daten und die IT-Sicherheit zu gewährleisten.
- 5. Setzen Sie organisatorische Maßnahmen wie Richtlinien, Schulungen und Sensibilisierungsmaßnahmen Ihrer Mitarbeiter ein.
- 6. Stellen Sie eine Liste mit technischen und organisatorischen Maßnahmen zusammen.
- 7. Sorgen Sie für eine regelmäßige Dokumentation, Überprüfung und Aktualisierung der eingesetzten TOM.
- 8. Ziehen Sie weitere Ansprechpartner oder Dienstleister wie externe Datenschutzbeauftragte hinzu, wenn Sie bei der konkreten Umsetzung unsicher sind.
Bitte denken Sie jedoch auch an Folgendes: Da die Datenschutz-Grundverordnung in Art. 32 keine konkreten TOMs vorgibt, sind Checklisten, die Sie im Netz finden, immer nur als Beispiel und Orientierung zu verstehen. Welche technischen und organisatorischen Maßnahmen Sie wählen, um personenbezogene Daten zu schützen, ist abhängig von der Tätigkeit und den konkreten Gegebenheiten in Ihrem Unternehmen.
Eine Checkliste kann daher leider nicht ersetzen, dass Sie sich individuell mit den Vorschriften der DSGVO und TOMs auseinandersetzen. Möchten Sie sicherstellen, dass Ihr Unternehmen in Sachen Datenschutz auf dem neuesten Stand ist, nutzen Sie zur Risikoeinschätzung unser Datenschutz-Managementsystem DatenschutzPro auf eRecht24 Premium.
5. FAQ: Häufige Fragen zu TOMs