Skip to main content

Technische und organisatorische Maßnahmen 

Die technischen und organisatorischen Maßnahmen, auch kurz „TOM“, dienen zur Beurteilung der Datenschutzsicherheitsmaßnahmen eines Unternehmens.  

Zunächst werden alle aktuellen Maßnahmen zur Sicherung der Daten erfasst. Im Anschluss wird geprüft, ob diese ausreichen, um die Sicherung der Daten zu gewährleisten. Wenn Maßnahmen unzureichend sind, müssen sie von den Verantwortlichen erweitert werden.  

In einem abschließenden Dokument werden alle Maßnahmen beschrieben, die dafür sorgen, dass die personenbezogenen Daten gesichert sind. Hierzu gehören nach Artikel 32 DSGVO:  

Die Vertraulichkeit

  • Zutrittskontrolle zu den Gebäuden (beispielsweise durch Alarmanlage oder Pförtner), 
  • Zugangskontrolle zu den Computern und Servern (beispielsweise durch passwortgeschützte Computer oder Benutzerrollen),  
  • Zugriffskontrolle (beispielsweise durch Protokollierung oder Berechtigungskonzepte), 
  • Trennungskontrolle (beispielsweise durch getrennte Test- und Produktivumgebungen),
  • Pseudonymisierung 

Die Integrität 

  • Weitergabekontrolle (beispielsweise durch E-Mail-Verschlüsselung oder die Nutzung von VPN), 
  • Eingabekontrolle (beispielsweise durch Versionsverwaltung und Protokollierung) 

Die Verfügbarkeit und Belastbarkeit 

  • Verfügbarkeitskontrolle (beispielsweise durch Rauch- und Brandmeldeanlagen oder Backup-Konzepte), 
  • Belastbarkeitskontrolle (beispielsweise durch Penetrationstests) 

Die regelmäßige Überprüfung und Evaluierung 

  • Datenschutzmanagement (beispielsweise durch einen Datenschutzbeauftragten oder Zertifikate), 
  • Auftragskontrolle (beispielsweise durch sorgfältige Prüfung der Auftragsnehmer oder das Abschließen von Auftragsverarbeitungsverträgen),  
  • Privacy by Design und Privacy by Default (beispielsweise durch Voreinstellungen zur Einschränkung bei der Datenerhebung), 
  • Incident-Response-Management, also der Umgang mit Sicherheitsverletzungen (beispielsweise durch regelmäßige Sicherheitsupdates oder eine dokumentierte Vorgehensweise für die Mitarbeiter) 

Insgesamt sollte ein an das Risiko angepasstes Schutzniveau herrschen. Die Maßnahmen müssen regelmäßige überprüft und an den Stand der Technik angepasst werden. Wenn Sicherheitszertifizierungen durchgeführt wurden, sollten die Zertifikate ebenfalls als Anhang an die TOM angefügt werden.  Zu diesen Zertifizierungen gehört zum Beispiel die ISO 27001. 

Die TOM sind ein wichtiger Bestandteil der Auftragsverarbeitung und des Verzeichnisses von Verarbeitungstätigkeiten. 

DSGVO-Serie: So geht es weiter

In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:

Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager -Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.

Der DSGVO-Manager

Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.


Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.

Isabelle Puttrus

Isabelle Puttrus

Jahrgang 1993, geboren und aufgewachsen in Schleswig-Holstein. Isabelle kam 2012 für ihr Studium der Wirtschaftsinformatik nach Kiel. Ein Auslands-Semester verbrachte sie bei spannenden Themen im kühlen finnischen Turku. Seit 2017 ist Isabelle Teil des Dicide Teams und kümmert sich schwerpunktmäßig um Themen, die mit Daten aller Art zu tun haben. Hierzu gehört die Aufbereitung und Auswertung von Geschäftsdaten über Business Intelligence Tools, wie z.B. PowerBI aber auch per SQL, genauso wie die Sicherheit von personenbezogenen Daten im Zusammenhang mit der DSGVO. In ihrer Freizeit lebt sie ihre Kreativität beim Malen und Fotografieren aus. Auch Gesellschafts- und Lateintanz gehört zu ihren Leidenschaften. Kontaktieren Sie Isabelle Puttrus auf Xing oder LinkedIn.

Kommentiere den Beitrag