DSGVO: Was sind technische u. organisatorische Maßnahmen „TOMs“ und wozu werden sie gebraucht?

18.03.2020
2 Minuten Lesezeit

Die sog. TOMs, also technische und organisatorische Maßnahmen, dienen der Überwachung und Sicherung des Datenschutzes innerhalb eines Unternehmens. Zu den technischen und organisatorischen Schutzmaßnahmen gehören z. B. Zutrittskontrollen durch eine Alarmanlage, Videoüberwachung oder Wachdienste; oder auch Zugangskontrollen durch eine Passwortverschlüsselung.

Unter technischen Maßnahmen sind physisch umsetzbare Maßnahmen zu verstehen, wie die Umzäunung eines Geländes; die Sicherung von Türen und Fenstern; oder Alarmanlagen.
Organisatorische Maßnahmen sind zumeist mit der Umsetzung bestimmter Handlungsanweisungen an Mitarbeitende verbunden, wie z. B. eine Richtlinie für die Besucheranmeldung oder Anweisungen zur datenschutzkonformen Entsorgung von Dokumenten.

TOMs sind dabei gewiss für Unternehmen kein neuer Begriff, da sie bereits in § 9 S.1 BDSG aufgelistet wurden. Seit der Einführung der DSGVO sind TOMs allerdings deutlich relevanter für die Datenschutzpraxis geworden. Die TOMs werden in Art. 32 DSGVO „Sicherheit der Verarbeitung“ zusammengefasst:

Alle Unternehmen, die personenbezogene Daten verarbeiten, erheben oder nutzen, sind hiernach dazu verpflichtet, TOMs zu treffen, um den gesetzlichen Sicherheits- und Schutzanforderungen nachzukommen. Für die TOMs besteht wiederum gem. Art. 32 DSGVO eine schriftliche Dokumentationspflicht im Verarbeitungsverzeichnis des Unternehmens. Die Dokumentationspflicht ist hierbei für Unternehmen durchaus als positiv anzusehen, da bei einem Vorwurf eines Datenschutzverstoßes so bewiesen werden kann, dass ordnungsgemäße Schutzmaßnahmen getroffen worden sind.

Welche TOMs sind konkret vorgesehen?

In der DSGVO wurde keine konkrete Auflistung möglicher TOMs verankert. Im Internet werden eine Vielzahl von Kurzvorlagen zur Dokumentation zu den TOMs bereitgestellt, die zusammenfassend folgende Punkte beinhalten:

1. Pseudonymisierung erfolgt, wenn persönliche Daten, z. B. durch Zahlenfolgen, ersetzt werden. Im Anschluss daran werden die Zuordnungsdaten zunächst getrennt und sodann separat in verschlüsselten Systemen aufbewahrt. Kommt z. B. bei medizinischen Studien im Hinblick auf Patientengruppendaten zum Einsatz.

2. Verschlüsselung, z. B. durch Passwörter

3. Gewährleistung der Integrität durch eine Weitergabekontrolle, um zu verhindern, dass personenbezogene Daten bei elektronsicher Übertragung/ während des Transports unbefugt an Dritte gelangen und durch Dritte gelesen, kopiert, weitergegeben werden können; und durch eine Eingangskontrolle i.S.v. Protokollierungen, sodass nachträglich geprüft werden kann, ob und vom wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

4. Gewährleistung der Verfügbarkeit: Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen Zufallszerstörungen geschützt sind, z. B. Brandschutzmaßnahmen oder Maßnahmen gegen potenzielle Cyberangriffe.

5. Gewährleistung der Vertraulichkeit, durch Zugangs-, Zugriffs- u. Zutrittskontrollen, z. B. Regelung, dass nur bestimmte Personen Zugang zum Archiv haben können.

6. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM’s (1-7)

An dieser Liste kann man sich gut orientieren, um sich zunächst einen groben Überblick zu verschaffen. Natürlich sollten Sie hierbei stets beachten, dass die TOMs immer unternehmensspezifisch ausgestaltet werden müssen. Daher ist empfehlenswert, die TOMs und das ebenfalls erforderliche Verarbeitungsverzeichnis durch einen Profi erstellen zu lassen.

Sie möchten auch Ihr Unternehmen DSGVO-konform gestalten? Unsere Kanzlei Hämmerling von Leitner-Scharfenberg mit Sitz in Berlin und Hamburg wird bundesweit im Bereich des Datenschutzrechts tätig. Herr Hämmerling ist als Fachanwalt und für IT-Recht, als geprüfter Datenschutzbeauftragter und Datenschutzauditor mit sämtlichen rechtlichen Fragestellungen der DSGVO vertraut und hilft Ihnen gerne bei der Erstellung Ihres Verarbeitungsverzeichnisses. Wir unterstützen auch Ihr Unternehmen gerne bei der schrittweisen Einführung der Vorgaben der DSGVO!

Rechtstipp aus dem Rechtsgebiet

Datenschutzrecht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Lars Hämmerling

Veröffentlicht von:

Rechtsanwalt Lars Hämmerling

Datenschutzrecht

Gewerblicher Rechtsschutz • Wettbewerbsrecht • IT-Recht • Markenrecht • Urheberrecht & Medienrecht • Designrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Lars Hämmerling

Abmahnung d. BluePort Legal wg. Verwendung Fortuna Düsseldorf aufetsy.com / Markenrecht

Uns liegt mal wieder eine Abmahnung der Kanzlei BluePortLegal wegen einer angeblichen Markenrechtsverletzung vor. Die aktuelle Abmahnung wurde für den Düsseldorfer Turn- und Sportverein Fortuna ... Weiterlesen
Abmahnung der Scheidler GmbH durch RA Thiemo Wenck, rechtswidrige Angaben zu Futtermittel - ZeckenSchutz

Wir hatten bereits über die Abmahntätigkeit der Scheidler GmbH und Rechtsanwalt Thiemo Wenck aus Winsen (Luhe) berichtet. Weiterlesen
Internetsystem Vertrag über 48 Monate mit der Stuttgarter Zeitung Online-Service GmbH für 529,- € kündigen

Haben auch Sie eine Vereinbarung über die Erstellung eines Internetauftrittes über 48 Monate und z einem monatlichen Preis von 529,- € netto/629,51 € brutto mit der Stuttgarter Zeitung ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Lars Hämmerling

Weitere

Ihre Spezialisten

Rechtsanwalt Hamburg