Die DSGVO ist ein umfassendes Regelwerk, das Unternehmen zum Datenschutz verpflichtet. Zur Gewährleistung eines lückenlosen Datenschutzes wird dieser am besten auf Basis eines ganzheitlichen Konzepts angegangen. Im Kern gibt das Konzept die Datenschutzstrategie vor. Neben solch einer strategischen Komponente wird eine operative Komponente benötigt. Hier kommen technisch organisatorische Maßnahmen (TOM) in Spiel.
Gemäß Art. 24 DSGVO sind die TOM umzusetzen, damit die Einhaltung der Verordnung gewährleistet ist. Dies schließt auch die notwendige Dokumentation ein. Die technischen organisatorischen Maßnahmen sind ein Portfolio, bestehend aus ausgewählten Datenschutzinstrumenten. Für Unternehmen ist es entscheidend, solche TOMs auszuwählen und zu implementieren, mit denen die definierten Datenschutzziele erreicht werden.
Ein wichtiger Punkt im Zusammenhang mit technisch organisatorischen Maßnahmen ist der Stand der Technik. Unternehmen haben TOMs zu ergreifen, die als zeitgemäß gelten und damit z.B. im Hinblick auf die Informationssicherheit einen angemessenen Schutz versprechen.
Technische Maßnahmen
Im Fokus der technischen Maßnahmen steht die elektronische Datenverarbeitung. Hardware, Software und Datenverbindungen sind angemessen abzusichern, um die notwendige Datensicherheit zu erreichen. Das Spektrum der Maßnahmen ist breit gefächert und umfasst beispielsweise:
- Festlegen einer Passwortrichtlinie
- Gewährleistung einer Verschlüsselung der Daten
- Einrichtung und Vergabe von Nutzerrechten
Auch wenn IT-Systeme im Mittelpunkt stehen, beschränken sich technische Maßnahmen nicht darauf. Darüber hinaus gewährleisten sie ein angemessenes Datenschutzniveau in anderen Bereichen, wie z.B. der Absicherung von Räumlichkeiten, in denen Daten mit Personenbezug (z.B. in Form von Akten) verarbeitet werden.
Organisatorische Maßnahmen
Die organisatorischen Maßnahmen sind alle nichttechnischen Maßnahmen, die zur Erreichung der Datensicherheit beitragen. Im Fokus stehen die Prozesse und Mitarbeiter der Organisation. Auch hier existiert ein breites Maßnahmenspektrum, wie z.B.
- Datenschutzschulungen
- Vertraulichkeitsverpflichtungen
- Regelung von Verantwortlichkeiten
Welche TOMs müssen Unternehmen anwenden?
Die DSGVO hält keinen Maßnahmenkatalog bereit. Dies hat gute Gründe, schließlich können sich Anforderungen an TOMs ändern, weil beispielsweise neue Technologien Einzug halten oder Geschäftsprozesse angepasst werden. Somit ist jedes Unternehmen dazu angehalten, eigenständig technische und organisatorische Maßnahmen zu identifizieren und zu implementieren, die auf die jeweiligen Anforderungen zugeschnitten sind.
Technisch organisatorische Maßnahmen bei der Auftragsverarbeitung
Zahlreiche Unternehmen übermitteln personenbezogene Daten an externe Partner. Liegt eine Auftragsverarbeitung vor, ist darüber nicht nur ein Vertrag zu schließen. Zugleich muss sichergestellt sein, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift. Die genaue Regelung sollte im Auftragsverarbeitungsvertrag festgehalten sein.
Wir helfen Ihnen
Ganz egal, ob Fragen zu technisch organisatorischen Maßnahmen oder anderen Bestandteilen der DSGVO – wir unterstützen Unternehmen beim Datenschutz. Gerne stehen wir auch Ihnen zur Seite. Für weitere Informationen nutzen Sie unsere kostenlose Erstberatung.
Fragen & Antworten zum Thema
Welche Rolle spielt das BDSG?
Im Vergleich zur DSGVO ist das BDSG (alte Fassung) konkreter, da es einzelne technisch-organisatorische Maßnahmen (z.B. Zugangskontrollen) benennt. Die im BDSG aufgeführten Maßnahmen können hilfreich dabei sein, das eigene Datenschutzkonzept hinsichtlich der Umsetzung zu konkretisieren.
Was ist beim TOMs im Zusammenhang mit Datenschutz-Folgenabschätzungen zu beachten?
Bestimmte Verarbeitungen setzen die Durchführung vorheriger Datenschutz-Folgenabschätzungen (DSFA) voraus. In deren Rahmen werden Risiken identifiziert und bewertet, was bei der Bestimmung der technisch organisatorischen Maßnahmen zu berücksichtigen ist. Es dürfen nur solche TOMs herangezogen werden, welche die ermittelten Risiken eliminieren oder auf eine akzeptable Größe verringern.