Ein wichtiger Aspekt der DSGVO sind die Technisch-Organisatorischen Maßnahmen (TOM), die dazu dienen, personenbezogene Daten zu schützen und die Datenschutzprinzipien der Verordnung umzusetzen.
Die Herkunft von TOM in der DSGVO
Die Ursprünge von TOM in der DSGVO liegen in der Anerkennung der Tatsache, dass der Schutz personenbezogener Daten nicht allein durch rechtliche Bestimmungen gewährleistet werden kann. Die technischen und organisatorischen Aspekte sind von entscheidender Bedeutung, um Datenschutzverletzungen zu verhindern und das Vertrauen der Personen, deren Daten verarbeitet werden, zu erhalten.
In Artikel 32 der DSGVO wird die Verpflichtung zur Umsetzung von TOM festgelegt. Dieser Artikel besagt, dass Verantwortliche und Auftragsverarbeiter geeignete Maßnahmen ergreifen müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Verordnung bietet jedoch keine detaillierte Liste von Maßnahmen, sondern legt den Schutz personenbezogener Daten in die Hände der Organisationen, die sie verarbeiten.
Die Verpflichtung zur Führung einer Dokumentation der eigenen Technisch-Organisatorischen Maßnahmen (TOM) ergibt sich aus Artikel 32 der Datenschutz-Grundverordnung (DSGVO). Diese Verpflichtung betrifft den Verantwortlichen, der personenbezogene Daten verarbeitet. Hier ist, warum und wer verpflichtet ist, eine solche Dokumentation zu führen:
Warum ist man verpflichtet, eine TOM-Dokumentation zu führen?
- Rechenschaftspflicht: Die DSGVO legt großen Wert auf die Rechenschaftspflicht des Verantwortlichen. Das bedeutet, dass Organisationen nachweisen müssen, dass sie die Datenschutzprinzipien und -vorschriften einhalten. Die TOM-Dokumentation dient als Nachweis dafür, dass angemessene technische und organisatorische Maßnahmen ergriffen wurden, um personenbezogene Daten zu schützen.
- Transparenz: Die Dokumentation ermöglicht es nicht nur der Datenschutzbehörde, sondern auch betroffenen Personen und Kunden, Einblick in die Datenschutzpraktiken einer Organisation zu erhalten. Dies fördert das Vertrauen und die Transparenz im Umgang mit personenbezogenen Daten.
- Datenschutz-Folgenabschätzungen (DSFA): Bei bestimmten Verarbeitungstätigkeiten, insbesondere solchen, die ein hohes Datenschutzrisiko darstellen, sind Datenschutz-Folgenabschätzungen (DSFA) erforderlich. Die TOM-Dokumentation ist eine wichtige Grundlage für die Durchführung dieser Abschätzungen.
Wer ist verpflichtet eine TOM Dokumentation zu führen?
Der Verantwortliche ist verpflichtet, eine Dokumentation der eigenen Technisch-Organisatorischen Maßnahmen zu führen. Der Verantwortliche ist die Organisation oder Einrichtung, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Dies kann Unternehmen, Behörden, gemeinnützige Organisationen oder andere rechtliche Entitäten einschließen, die personenbezogene Daten verarbeiten.
In einigen Fällen kann auch ein Auftragsverarbeiter verpflichtet sein, bestimmte Informationen über die von ihm durchgeführten Verarbeitungstätigkeiten zur Verfügung zu stellen. Dies geschieht jedoch normalerweise im Rahmen der Verträge zur Auftragsverarbeitung mit dem Verantwortlichen.
Die TOM-Dokumentation sollte detaillierte Informationen darüber enthalten, wie die Organisation personenbezogene Daten verarbeitet und welche Maßnahmen zum Schutz dieser Daten ergriffen werden. Dies ist entscheidend, um die Einhaltung der DSGVO sicherzustellen und die Datenschutzbehörde bei Bedarf über die Datenschutzpraktiken zu informieren.
Umsetzung von TOM
Die Umsetzung von Technisch-Organisatorischen Maßnahmen erfordert eine sorgfältige Planung und Berücksichtigung der spezifischen Anforderungen einer Organisation. Hier sind einige wichtige Schritte bei der Umsetzung von TOM:
- Risikobewertung: Der erste Schritt besteht darin, eine umfassende Risikobewertung durchzuführen. Dies beinhaltet die Identifizierung von Datenschutzrisiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Die Risikobewertung bildet die Grundlage für die Festlegung geeigneter TOM.
- Maßnahmenauswahl: Basierend auf der Risikobewertung müssen geeignete Maßnahmen ausgewählt werden, um die identifizierten Risiken zu minimieren. Dies kann die Implementierung von Verschlüsselung, Zugriffskontrollen, Datenschutzschulungen und anderen technischen oder organisatorischen Maßnahmen umfassen.
- Dokumentation: Alle getroffenen Maßnahmen müssen dokumentiert werden. Dies umfasst die Erstellung von Datenschutzrichtlinien und -verfahren, die Festlegung von Verantwortlichkeiten und die Aufzeichnung von Datenschutzvorfällen.
- Regelmäßige Überprüfung: TOM sollten regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass sie den sich ändernden Risiken und Anforderungen gerecht werden. Dies sollte Teil eines kontinuierlichen Datenschutzmanagements sein.
- Sensibilisierung und Schulung: Die Mitarbeiter müssen in die Umsetzung der TOM eingebunden werden. Schulungen und Sensibilisierungsmaßnahmen sind entscheidend, um sicherzustellen, dass alle Beteiligten die Datenschutzanforderungen verstehen und umsetzen.
- Zusammenarbeit mit Aufsichtsbehörden: Bei bestimmten Verarbeitungstätigkeiten, die ein hohes Datenschutzrisiko bergen, kann es erforderlich sein, die Zusammenarbeit mit den Datenschutzbehörden zu suchen und deren Zustimmung einzuholen.
Gliederung der Dokumentation der TOM nach Schutzzielen
Bei der Formulierung der eigenen TOM wird normalerweise eine Gliederung nach Schutzzielen zugrunde gelegt. Diese könnte so aussehen:
1. Vertraulichkeit gem. Art. 32 Abs. 1 lit. b DSGVO
- 1.1 Zutrittskontrolle
- Verfahren zur Kontrolle des physischen Zugangs zu Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden
- Zugangsbeschränkungen und -berechtigungen
- Überwachung und Protokollierung von Zutritten
- 1.2 Zugangskontrolle
- Mechanismen zur Verwaltung und Kontrolle des Zugriffs auf digitale Systeme und Daten
- Benutzer- und Berechtigungsmanagement
- Authentifizierung und Autorisierung von Benutzern
- 1.3 Verschlüsselung von Daten und Kommunikation
- Einsatz von Verschlüsselungstechnologien, um personenbezogene Daten vor unbefugtem Zugriff zu schützen
- Verschlüsselung von Daten im Ruhezustand (at rest) und während der Übertragung (in transit)
- Schlüsselverwaltung und Sicherheitsrichtlinien für Verschlüsselung
2. Integrität gem. Art. 32 Abs. 1 lit. b DSGVO
- 2.1 Datenintegritätsschutz
- Maßnahmen zur Gewährleistung der Integrität von personenbezogenen Daten
- Verhinderung von unautorisierten Änderungen oder Manipulationen
- Einsatz von Prüfsummen und kryptographischen Hash-Funktionen
- 2.2 Change-Management
- Prozesse und Verfahren zur Verwaltung von Änderungen an IT-Systemen und Datenbanken
- Überprüfung und Dokumentation von Änderungen
- Notfallpläne im Falle von unerwarteten Auswirkungen von Änderungen
- 2.3 Datensicherung und Wiederherstellung
- Sicherung von personenbezogenen Daten, um deren Verfügbarkeit und Wiederherstellbarkeit sicherzustellen
- Backup-Richtlinien und -Verfahren
- Tests der Wiederherstellungsfähigkeit von Backups
3. Verfügbarkeit gem. Art. 32 Abs. 1 lit. b DSGVO
- 3.1 Notfall- und Ausfallplanung
- Entwicklung von Notfallplänen zur Aufrechterhaltung der Verfügbarkeit von Systemen und Daten im Notfall
- Identifizierung kritischer Geschäftsprozesse und Ressourcen
- Schulung der Mitarbeiter für den Umgang mit Notfällen
- 3.2 Redundanz und Ausfallsicherheit
- Implementierung von Redundanzmechanismen, um Ausfälle zu verhindern oder abzumildern
- Einsatz von hochverfügbaren Systemarchitekturen
- Monitoring und Alarmierung bei Ausfällen
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen (Artikel 32 Absatz 1 lit. d DSGVO)
- 4.1 Datenschutzmanagement
- Maßnahmen zur Überprüfung und Bewertung der Einhaltung der Datenschutzvorschriften
- 4.2 Incident-Response Management
- Maßnahmen zur Reaktion auf Vorfälle im Zusammenhang mit der Verarbeitung personenbezogener Daten
- 4.3 Datenschutz freundliche Voreinstellungen
- Maßnahmen zur Sicherstellung, dass personenbezogene Daten standardmäßig nur verarbeitet werden, wenn dies für den jeweiligen Verarbeitungszweck erforderlich ist
- 4.4 Auftragskontrolle
- Verfahren zur Kontrolle der Auftragsverarbeitung personenbezogener Daten
- Überwachung und Überprüfung von Auftragsverarbeitungsvereinbarungen
- Sicherstellung, dass Auftragsverarbeiter die Datenschutzanforderungen einhalten
Technisch Organisatorische Maßnahmen Vorlage
Neben unserem TOM Generator, der ihnen Vorschläge macht, können Sie auch gerne hier unsere .docx Vorlage für technisch-organisatorische Maßnahmen herunterladen.
Fazit
Die Technisch-Organisatorischen Maßnahmen (TOM) sind ein wesentlicher Bestandteil der DSGVO und dienen dazu, personenbezogene Daten wirksam zu schützen. Organisationen sind aufgefordert, ihre individuellen Datenschutzrisiken zu bewerten und geeignete Maßnahmen zu ergreifen, um diesen Risiken zu begegnen. Die Umsetzung von TOM erfordert eine ganzheitliche und proaktive Herangehensweise an den Datenschutz, die sowohl technische als auch organisatorische Aspekte berücksichtigt. Durch die effektive Umsetzung von TOM können Organisationen nicht nur die Anforderungen der DSGVO erfüllen, sondern auch das Vertrauen ihrer Kunden und Partner stärken. Falls Sie nun selbst mit dem Gedanken spielen TOM für Ihr Unternehmen zu definieren, empfehlen wir unseren TOM Generator, der Ihnen mit vielen vordefinierten Bausteinen hilft, eine belastbare Dokumentation zu erstellen.