Umfassender Datenschutz mit Prävention.

TOM(s)

Prävention. Sicherheit. Verantwortung.
Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Jetzt beraten lassen!

Pflicht und Praxis: TOM(s) im Datenschutz verantwortungsvoll umsetzen

Wer personenbezogene Daten verarbeitet ist nach Artikel 32 der Datenschutzgrundverordnung dazu verpflichtet technische und organisatorische Maßnehmen (TOM) umzusetzen.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Dabei ist unerheblich ob es sich um ein etabliertes Unternehmen, Start-up oder Selbstständige handelt. Zusätzlich verpflichtet Artikel 25 der Datenschutzgrundverordnung dazu eine entsprechende Datenschutz-Dokumentation zu erstellen.

Mit uns stellen Sie sicher, dass Ihre technischen und organisatorischen Maßnahmen die Sicherheit der Datenverarbeitung gewährleisten. 

Risikoanalyse

Zehn Jahre Erfahrung im Datenschutz und ein breites Wissensspektrum ermöglichen uns einen klaren Blick auf aktuelle Datenflüsse und Maßnahmen. 

Ganzheitliche Beratung

Unabhängig, neutral und qualifiziert beraten wir umfassend und identifizieren die richtigen Maßnahmen.

Aktualisierung & Pflege

Integrierte Maßnahmen erfordern kontinuierliche Überwachung und gegebenenfalls Anpassungen. Wir übernehmen dies gerne – sowohl projektbasiert als auch dauerhaft als externer Datenschutzberater.

Warum sind TOM(s) so wichtig?

Technische Maßnahmen umfassen technologische Lösungen wie Verschlüsselung, Firewalls, Zugriffskontrollen und Datensicherungen. Organisatorische Maßnahmen beziehen sich auf Prozesse, Richtlinien und Schulungen, die Unternehmen implementieren, um den sicheren Umgang mit personenbezogenen Daten zu gewährleisten. Ziel dieser Maßnahmen ist es, Daten von Kunden, Mitarbeitenden, Bewerbern und Geschäftspartnern stets nach dem neuesten Stand der Technik zu schützen. 

Verstöße gegen die technischen und organisatorischen Maßnahmen (TOM) können dabei erhebliche Konsequenzen haben – von Bußgeldern in Höhe von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.

Was sind technische Maßnahmen?

Je nach Umfang der Risikoanalyse müssen verschiedene technische Maßnahmen integriert werden. Sie dienen als technisches Grundgerüst zum Schutz der personenbezogenen Daten innerhalb der IT-Systeme.

Typische Beispiele für technische Maßnahmen:

  • Authentifizierungsverfahren (Zwei-Faktor-Authentifizierung)
  • Datenverschlüsselung (bei Transfer und Speicherung)
  • Regelmäßige Backups und Prozesse zur Wiederherstellung
  • Zugriffsbeschränkungen durch Rollen- und Berechtigungskonzepte
  • Monitoring und Protokollierung von Zugriffen und Verarbeitungsvorgängen
  • Firewall- und Virenschutzsysteme
  • Getrennte Produktiv- und Testsysteme
  • Schutz von Netzwerken und Servern vor unbefugtem Zugriff

Was sind organisatorische Maßnahmen?

Ergänzend zu den technischen Maßnahmen bilden die organisatorischen diejenigen ab die den sicheren Umgang mit personenbezogenen Daten im Arbeitsalltag sicherstellen. Sie dienen nicht der sicheren Verarbeitung, sondern auch präventiv durch Sensibilisierung beim Datenschutz innerhalb des Unternehmens.

Typische Beispiele für organisatorische Maßnahmen: 

  • Definition der Zuständig- und Verantwortlichkeiten
  • Stetige Überwachung und Aktualisierung von Datenschutzmaßnahmen
  • Lösch- und Aufbewahrungskonzepte
  • Definition von Datenschutzrichtlinien und Verfahrensanweisungen
  • Regelungen zum Umgang mit Datenschutzvorfällen
  • Geheimhaltungs- und Vertraulichkeitspflicht
  • Schulungen und Sensibilisierung der Mitarbeitenden
  • Prozesse zur Umsetzung von Betroffenenrechten

Risikoanalyse im Rahmen der TOM(s)

Grundlage für die Identifizierung der richtigen technischen und organisatorischen Maßnahmen bildet die Risikoanalyse. Hierbei werden die Risiken für die Rechte und Freiheiten betroffener Personen bewertet und durch die gewonnenen Erkenntnisse entsprechende Maßnahmen definiert.

Zur Risikobewertung müssen nicht nur die Verarbeitungstätigkeiten, Zugriffsberechtigungen, Datentransfer oder externe Dienstleister einbezogen werden. Auch der Zweck, Umfang und in welchen Systemen (Software/Tools) die Daten verarbeitet werden. Eine weitere Besonderheit gilt außerdem bei der Bewertung des Risikos bei Vor-Ort- oder im Home-Office.

Typische Beispiele für Risiken:

  • unbefugter Zugriff/Zutritt
  • Datenverlust
  • Manipulation von Daten
  • unzulässige Offenlegung

Wurden die Risiken identifiziert, folgt die Bewertung der Eintrittswahrscheinlichkeit und Schwere des Schadens für die betroffene Person. Die Risikoanalyse muss mit all ihren Erkenntnissen dokumentiert und regelmäßig überprüft werden. Mit der Analyse wird eine solide Basis geschaffen mit der technische und organisatorische Maßnahmen passgenau, praktisch umsetzbar und wirksam sind.  

Wir wissen genau wie man tragfähige technische und organisatorische Maßnahmen entwickelt. Mit Weitblick und langjähriger datenschutzrechtlicher Erfahrung schaffen wir passgenaue Lösungen. Nicht nur mit Fingerspitzengefühl für Unternehmensprozesse, sondern auch für Ihre Teams.  

Analyse

Von Verarbeitungstätigkeiten:
systematische Erfassung aller relevanten Datenverarbeitungen, inklusive Datenarten, Zwecke, Systeme, Zugriffsberechtigungen und Verarbeitungsszenarien wie mobile Arbeit (Home-Office) oder Cloud-Nutzung.

Identifikation

Identifikation und Bewertung von Datenschutzrisiken:
Ermittlung konkreter Risiken für die Rechte und Freiheiten betroffener Personen sowie realistische Bewertung von Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe.

Definition

Auswahl und Konzeption technischer Schutzmaßnahmen nach dem Stand der Technik, etwa Zugriffskontrollen, Verschlüsselung, Backup-Strategien oder Protokollierungen – passgenau zum jeweiligen Risiko.

Entwicklung

Entwicklung organisatorischer Maßnahmen wie Berechtigungs- und Rollenkonzepte, interne Richtlinien, Meldeprozesse und Zuständigkeiten zur nachhaltigen Absicherung der Datenverarbeitung.

Integration

Einbettung der Maßnahmen in die bestehende IT- und Prozesslandschaft, sodass Datenschutz nicht isoliert, sondern wirksam und alltagstauglich umgesetzt wird.

Dokumentation

Strukturierte Dokumentation der Risikoanalyse und der TOM als Nachweis gegenüber Aufsichtsbehörden sowie regelmäßige Überprüfung und Anpassung bei Prozessänderungen oder neuen Risiken.

Jetzt unverbindlich beraten lassen!

Sie haben Fragen?
Wir beantworten sie gerne.

Kontakt