Kostenlose Ratgeber
Icon Shop
Shop
Icon Ratgeber
Ratgeber
Suche
Suche
Suche
Alle Ergebnisse anzeigen
Grafik zu technisch-organisatorischen Maßnahmen im Datenschutz

Technisch-organisatorische Maßnahmen (TOM) gemäß DSGVO und BDSG

IT-Sicherheit
8 min | Stand 19.10.2023
Redaktion PrivacyXperts
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass die Verarbeitung personenbezogener Daten einheitlich geschützt werden muss. Dazu zählen auch die Technisch-organisatorischen Maßnahmen, kurz „TOM“. Worum es sich dabei genau handelt und was beachtet werden muss, erfahren Sie in unserem Artikel.
Inhaltsverzeichnis

Was sind technisch-organisatorische Maßnahmen?

TOM steht für technische und organisatorische Maßnahmen, die im Rahmen der neuen DSGVO von Unternehmen und Selbstständigen ergriffen und eingehalten werden müssen, um die Sicherheit personenbezogener Daten zu gewährleisten. Technisch-organisatorische Maßnahmen sind demnach eine essenzielle Komponente im Datenschutz, die dazu dienen, personenbezogene Daten vor unerlaubtem Zugriff, Verlust oder Missbrauch zu schützen.

Was ist der Unterschied zwischen technischen und organisatorischen Schutzmaßnahmen?

TOM sind ein facettenreiches Konzept und umfassen sowohl technische als auch organisatorische Schutzmaßnahmen.

  • Die technischen Maßnahmen beziehen sich auf die Nutzung von IT- und Sicherheitstechnologien, um Daten sicher zu speichern und zu übertragen. Dies kann Verschlüsselung, Firewall-Systeme, Zugriffskontrollen und regelmäßige Software-Updates umfassen.
  • Die organisatorischen Maßnahmen hingegen beziehen sich auf die Gestaltung von Prozessen und Richtlinien, um die Sicherheit der Daten zu gewährleisten. Dazu gehören Datenschutzrichtlinien, Schulungen für Mitarbeiter, die Sicherstellung von Berechtigungen und die regelmäßige Überprüfung und Aktualisierung von Datenschutzmaßnahmen.

TOM sind maßgeblich für die Einhaltung der Datenschutzgesetze und tragen dazu bei, das Vertrauen der Betroffenen in den Umgang mit ihren persönlichen Informationen zu stärken.

Technisch-organisatorische Maßnahmen gemäß DSGVO

In Art. 32 DSGVO werden einige technisch-organisatorische Schutzmaßnahmen bzw. deren Ausprägungen beschrieben. Dazu gehören folgende Punkte:

  • die Verschlüsselung und Pseudonymisierung von personenbezogenen Daten,
  • die Sicherstellung der Integrität, Vertraulichkeit, Fähigkeit, Belastbarkeit und Verfügbarkeit der entsprechenden Systeme im Kontext der Datenverarbeitung,
  • dauerhafte Verfügbarkeit und Zugang zu den Daten im Falle von technischen oder physischen Vorfällen sowie bei Ausfällen die zügige Wiederherstellung,
  • kontinuierliche Überwachung und Evaluierung der Wirksamkeit der TOM .

Ursprünglich waren die technisch-organisatorischen Maßnahmen jedoch im § 9 BDSG-alt festgehalten. Diese TOM-Auflistung findet sich nun im § 64 BDSG.

Unterschied zwischen TOM in DSGVO und BDSG

Die technischen und organisatorischen Maßnahmen (TOM) gemäß der DSGVO unterscheiden sich in einigen Punkten von denen im BDSG-alt. Dennoch gibt es bedeutende Gemeinsamkeiten, wie beispielsweise Zugangs- und Zutrittskontrollen, die bereits im alten Bundesdatenschutzgesetz verankert waren.

Eine neue Anforderung, die die DSGVO einführt, betrifft die Belastbarkeit. Unternehmen sind nun dazu verpflichtet, ihre Systeme und Netzwerke so widerstandsfähig zu gestalten, dass sie selbst bei Notfällen, Überlastung und Hackerangriffen standhalten können.

Datenschutz und Datensicherheit waren schon im alten BDSG von großer Bedeutung. Mit der Einführung der europaweit geltenden Datenschutzgrundverordnung (DSGVO) wurden die Anforderungen jedoch weiter verschärft, und Verstöße oder Nichteinhaltung können mit höheren Sanktionen geahndet werden.

Auflistung an technisch-organisatorischen Maßnahmen im BDSG

Im § 64 Abs 3 BDSG findet man ebenfalls verschiedene technisch-organisatorische Schutzmaßnahmen, die Unternehmen im Kontext des Datenschutzes ergreifen können:

  1. Zugangskontrolle
  2. Datenträgerkontrolle
  3. Speicherkontrolle
  4. Benutzerkontrolle
  5. Zugriffskontrolle
  6. Übertragungskontrolle
  7. Eingabekontrolle
  8. Transportkontrolle
  9. Wiederherstellbarkeit
  10. Zuverlässigkeit
  11. Datenintegrität
  12. Auftragskontrolle
  13. Verfügbarkeitskontrolle
  14. Trennbarkeit

Ich erkläre Ihnen eben diese nun noch etwas genauer:

Zugangskontrolle

Die Zugangskontrolle ist eine grundlegende technisch-organisatorische Maßnahme im Datenschutz, die sicherstellt, dass nur befugte Personen oder Systeme Zugriff auf bestimmte Daten, Ressourcen oder Bereiche erhalten. Ziel der Zugangskontrolle ist es, zu verhindern, dass unberechtigte Personen Computer und Datenverarbeitungsanlagen nutzen können.

  • Technische Maßnahmen: Zur Minimierung von Risiken die Verwendung von Passwörtern, Einsatz von Chipkarten, Verschlüsselungsverfahren usw.
  • Organisatorische Maßnahmen: Arbeitsanweisung zur Nutzung von Computern und zum Umgang mit Passwörtern usw.

Datenträgerkontrolle

Die Datenträgerkontrolle befasst sich mit der physischen Sicherheit von Datenträgern, um sicherzustellen, dass sie nicht gestohlen, beschädigt oder unautorisiert kopiert werden.

Dies kann beispielsweise die sichere Aufbewahrung von Festplatten oder USB-Sticks umfassen.

  • Technische Maßnahmen: Verschlüsselte Festplatten, Regelmäßige Datenlöschung usw.
  • Organisatorische Maßnahmen: Richtlinien für sichere Datenträgerentsorgung sowie Schulung der Mitarbeiter über Datenträgerverwaltung

Speicherkontrolle

Bei der Speicherkontrolle stet die sichere Datenspeicherung sowie der Schutz vor Verlust oder Beschädigung im Fokus. Dies kann durch regelmäßige Backups und redundante Speicherlösungen erreicht werden.

  • Technische Maßnahmen: Einsatz redundanter Speichersysteme, regelmäßige Datensicherungen usw.
  • Organisatorische Maßnahmen: Klassifizierung von Daten für sichere Speicherung, Überwachung der Speicherauslastung etc.

Benutzerkontrolle

Unternehmen sollten die Aktivitäten der Benutzer überwachen, um sicherzustellen, dass sie keine unbefugten Aktionen durchführen. Dies beinhaltet die Überwachung von Benutzeraktivitäten und das Erkennen von verdächtigem Verhalten.

  • Technische Maßnahmen: Implementierung von Zwei-Faktor-Authentifizierung, Zugriffsbeschränkungen und Berechtigungen
  • Organisatorische Maßnahmen: Schulung der Mitarbeiter in sicherer Datenverwendung, Erstellung und Aktualisierung von Zugangsrichtlinien etc.

Zugriffskontrolle

Mit der Zugriffskontrolle soll verhindert werden, dass eine zwar grundsätzlich berechtigte Person Systeme und Anlagen zur Verarbeitung von personenbezogenen Daten in einer Art und Weise nutzen kann, die über die ihr vom Unternehmen eingeräumten Berechtigungen hinausgeht.

  • Technische Maßnahmen: Ausblenden von Funktionen und Abfragen für Unberechtigte, Schreib-/Leseschutz bei Dokumenten und Dateien, Einrichtung passwortgeschützter Verzeichnisse; Protokollierung der Systemnutzung, Einsatz von Verschlüsselung usw.
  • Organisatorische Maßnahmen: Schulung von Mitarbeitern über die zulässige Anwendung; Arbeitsanweisung zur Benutzung der Systeme; Benennung von Verantwortlichen, Auswertung von Protokollen usw.

Übertragungskontrolle

Bei der Übertragungskontrolle geht es um den sicheren Transfer von Daten zwischen Systemen und Standorten. Verschlüsselung und sichere Datenübertragungsprotokolle sind Beispiele für Maßnahmen zur Übertragungskontrolle.

  • Technische Maßnahmen: Verwendung von sicheren Datenübertragungsprotokollen, Verschlüsselung von Übertragungskanälen und mehr
  • Organisatorische Maßnahmen: Überwachung der Datenübertragung und -protokollierung, Festlegung von Richtlinien für sichere Datenübertragung usw.

Eingabekontrolle

Mit der Eingabekontrolle soll sichergestellt werden, dass auch im Nachhinein überprüft werden kann, ob und durch wen personenbezogene Daten in Datenverarbeitungsprogramme eingegeben, verändert oder gelöscht worden sind.

  • Technische Maßnahmen: Protokollierung der Aktionen, Implementierung von Passwortrichtlinien usw.
  • Organisatorische Maßnahmen: Schulung der Mitarbeiter, regelmäßige Auswertung der Protokolle, Überprüfung und Aktualisierung von Zugangsrichtlinien usw

Transportkontrolle

Die Transportkontrolle betrifft den physischen Transport von Datenträgern oder Daten zwischen Standorten. Sicherheitsmaßnahmen wie Transportverschlüsselung oder Transportbehälter sind hier relevant.

  • Technische Maßnahmen: Transportverschlüsselung, sichere Verpackung und Versendung usw.
  • Organisatorische Maßnahmen: Schulung der Mitarbeiter für sicheren Datentransport, Erstellung von Notfallplänen für sicheren Daten-Transport und Co.

Wiederherstellbarkeit

Die Fähigkeit, Daten im Falle eines Datenverlusts oder einer Störung wiederherzustellen, ist entscheidend. Regelmäßige Backups und Wiederherstellungspläne sind Bestandteile der Wiederherstellbarkeit.

  • Technische Maßnahmen: Regelmäßige Datensicherungen, Einrichtung von Notfallwiederherstellungsstandorten und Co.
  • Organisatorische Maßnahmen: Erstellung von Notfall- und Wiederherstellungsplänen, Schulung der Mitarbeiter für Notfallprozeduren

Zuverlässigkeit

Bei der Zuverlässigkeit geht es darum, die ständige Verfügbarkeit und Funktionsfähigkeit von Systemen und Diensten sicherzustellen, um Datenverlust oder -ausfälle zu minimieren.

  • Technische Maßnahmen: Einsatz ausfallsicherer Hardware, Überwachung der Systemverfügbarkeit usw.
  • Organisatorische Maßnahmen: Wartungspläne für die Hardware, Mitarbeiterschulung für den Umgang mit Systemausfällen etc.

Datenintegrität

Maßnahmen zur Datenintegrität gewährleisten, dass gespeicherte Daten nicht unbemerkt verändert oder beschädigt werden. Dies wird oft durch Hash-Funktionen und Überprüfungsmechanismen erreicht.

  • Technische Maßnahmen: Verwendung von Hashfunktionen sowie Fehlererkennung und -korrekturmechanismen
  • Organisatorische Maßnahmen: Regelmäßige Überprüfung der Datenintegrität und Implementierung von Datenvalidierungsprozessen

Auftragskontrolle

Die Auftragskontrolle betrifft Unternehmen, die externe Dienstleister, sogenannte Auftragsverarbeiter, mit der Verarbeitung personenbezogener Daten beauftragt haben. In diesem Fall müssen sowohl der Auftraggeber als auch der Auftragsverarbeiter die Auftragskontrolle beachten und einhalten. Der Auftraggeber ist verpflichtet, klare und eindeutige Anweisungen zu geben und den Auftragnehmer entsprechend zu überwachen. Dies liegt daran, dass der Auftraggeber selbst bei einer solchen Auslagerung weiterhin die Verantwortung für alle Vorgänge trägt und für mögliche Schäden haftet, die durch den Auftragnehmer verursacht werden könnten.

Auf der anderen Seite muss der Auftragnehmer die Anweisungen und Vorgaben des Auftraggebers genau befolgen und diesem bei Bedarf die notwendigen Kontrollen ermöglichen. Zudem ist der Auftragnehmer dazu verpflichtet, sein Personal angemessen zu schulen, um sicherzustellen, dass sie die Aufgaben korrekt ausführen und die Datenschutzrichtlinien einhalten.

  • Technische Maßnahmen: Implementierung sicherer Übertragungsmethoden, Einsatz von Verschlüsselungstechnologien und Zugriffskontrollen
  • Organisatorische Maßnahmen: Konzeption deutlicher Verträge und Vereinbarungen, die Verantwortlichkeiten klären, regelmäßige Überprüfung der Leistung des Aufrtagnehmers

Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle bezieht sich darauf, sicherzustellen, dass Daten und Dienste kontinuierlich und ohne nennenswerte Unterbrechungen verfügbar sind. Mit geeigneten Maßnahmen muss sichergestellt werden, dass personenbezogene Daten vor zufälliger Zerstörung oder vor Verlust geschützt sind. Typische Ereignisse, die zu Zerstörung und Verlust führen, sind Wasserschäden, Feuer, Blitz, Stromausfall.

  • Technische Maßnahmen: Unterbrechungsfreie Stromversorgung, redundante Speichersysteme, Sicherungskopien, dezentrale Aufbewahrung von Notfalldatenträgern usw.
  • Organisatorische Maßnahmen: Notfallpläne, Verhaltensanweisungen, usw.

Trennbarkeit

Trennbarkeitsmaßnahmen zielen darauf ab, verschiedene Arten von Daten voneinander zu trennen, um beispielsweise sensible Daten von öffentlich zugänglichen Daten zu isolieren und so das Risiko unbefugten Zugriffs zu minimieren. Von Ihrem Unternehmen muss sichergestellt sein, dass personenbezogene Daten, die für einen bestimmten Zweck erhoben wurden, nicht für einen anderen Zweck verwendet oder mit anderen Daten vermischt werden.

  • Technische Maßnahmen: Technische Trennung von Datenbeständen
  • Organisatorische Maßnahmen: Schulungen, Arbeitsanweisungen usw.

Checkliste & Mustervorlage: Welche technisch-organisatorischen Maßnahmen sind nötig?

Eine klare Definition, welche technischen und organisatorischen Maßnahmen ausgeführt und eingehalten werden müssen, gibt es nicht. Allerdings orientieren sich die deutschen Aufsichtsbehörden an bestimmten Begriffen, die in der DSGVO aufgeführt werden, um die Vorgaben für Informationssicherheit zu veranschaulichen.

Danach wurde eine Art Mustervorlage entwickelt, die folgende Punkte beinhaltet:

  • Pseudonymisierung
  • Verschlüsselung
  • Gewährleistung der Verfügbarkeit
  • Gewährleistung der Vertraulichkeit
  • Gewährleistung der Integrität
  • Gewährleistung der Belastbarkeit von Systemen
  • Verfahren, um die Verfügbarkeit von personenbezogenen Daten nach technischen oder physischen Vorfällen schnell und einfach wiederherzustellen
  • Verfahren, um die Wirksamkeit der TOM regelmäßig zu überprüfen und zu bewerten

Ein bekanntes Problem bei der Definition stellen die schlecht voneinander unterscheidbaren Begriffe dar, die wenig aussagekräftig sind. Somit ist jedes Unternehmen beim Schutz personenbezogener Daten auf sich alleine gestellt, um diese Ziele bzw. Maßnahmen entsprechend gesetzeskonform zu ergreifen und die Vorschriften einzuhalten.

Norm ISO 27002 als Leitfaden zur Umsetzung der TOM

Experten raten, sich Hilfe in der Norm ISO 27002 zu suchen, wenn Sie sich unsicher sind, welche technisch organisatorischen Maßnahmen in Ihrem Unternehmen entwickelt und umgesetzt werden müssen. Die Norm dient als hilfreicher Leitfaden für Maßnahmen zur Informationssicherheit, die zudem auch international anerkannt ist. Besonders ab Kapitel 5 wird konkret darauf eingegangen, welche Maßnahmen allgemein akzeptiert und anerkannt werden, um den Schutz von Informationen sicherzustellen. Wenn Sie sich also an dieser Norm orientieren, gehen Sie auf Nummer sicher, dass keine wesentlichen Punkte bei der Umsetzung der TOM übersehen werden.

FAQ – Antworten auf die häufigsten Fragen zu den TOM

Noch Fragen? Wir liefern Ihnen die Antworten!

Die Abkürzung "TOM" steht für "technisch-organisatorische Maßnahmen". Dabei handelt es sich um gezielte Schritte und Vorkehrungen, die Unternehmen und Organisationen ergreifen, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten. Diese Maßnahmen umfassen sowohl technische als auch organisatorische Aspekte und dienen dazu, Datenschutzbestimmungen und Datenschutzrichtlinien zu erfüllen.
Die organisatorischen Schutzmaßnahmen im Datenschutz beschreiben die organisatorischen Rahmenbedingungen, die nötig sind, um den Datenverarbeitungsvorgang DSGVO-konform durchzuführen. Gemeint sind hier vor allem Richtlinien, Anweisungen und Regelungen, die es einzuhalten gilt.
Technische Schutzmaßnahmen beziehen sich auf den Vorgang der Datenverarbeitung. Inbegriffen sind beispielsweise alle technischen oder physischen Maßnahmen, um die Verarbeitung der personenbezogenen Daten bestmöglich zu schützen. Das kann unter anderem die Installation von Software oder Alarmanlagen sein, ebenso wie die Einrichtung entsprechender Nutzerkonten mit Passwortschutz.
Technisch-organisatorische Schutzmaßnahmen im Rahmen der DSGVO sind von entscheidender Bedeutung, um Datenschutz und Datensicherheit zu gewährleisten, rechtliche Anforderungen zu erfüllen, das Vertrauen der Stakeholder zu gewinnen und das Risiko von Datenschutzverletzungen zu minimieren. Dies ist nicht nur eine rechtliche Verpflichtung, sondern auch ein Schlüssel zu einem nachhaltigen und verantwortungsvollen Geschäftsbetrieb.
Zu den technischen Schutzmaßnahmen im Datenschutz gehören beispielsweise: der Einsatz von Verschlüsselungstechnologien, Zugangskontrollen sowie Authentifizierungsprogramme und die regelmäßige Aktualisierung von Sicherheitssoftware wie Firewalls oder Antivirenprogrammen. Beispiele für organisatorische Schutzmaßnahmen sind wiederum: Mitarbeiterschulungen, Festlegung von Zugriffsrichtlinien und -berechtigungen sowie die Implementierung von Prozessen zur Datensicherung und Datenwiederherstellung.
Die technisch-organisatorischen Maßnahmen werden im § 43 DSGVO und ergänzend im § 64 BDSG geregelt.
Von: Redaktion PrivacyXperts

PrivacyXperts ist Ihr zuverlässiger Ansprechpartner für Datenschutz und IT-Sicherheit. Das Redaktionsteam von PrivacyXperts besteht aus erfahrenen IT-Experten und Datenschutz-Spezialisten, die ihre jahrelange Berufserfahrung praxisnah mit Ihnen teilen. Hierbei verfolgen die Privacy-Xperten eine praxisnahe Herangehensweise und folglich das Ziel, komplexe Datenschutz- und IT-Sachverhalte auf verständliche Weise darzulegen.

Redaktion PrivacyXperts
Mehr zum Thema IT-Sicherheit
Einführung neuer Software zur Verarbeitung personenbezogener Daten + Checkliste
Mit der DSGVO sind höhere Anforderungen an die Datenschutzbewertung von Datenverarbeitungen entstanden, indem der risikobasierte Ansatz betont wird. Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte von...
Datensicherung im Unternehmen: Daten mit Backups sichern
In der heutigen Zeit kann kaum ein Unternehmen noch ohne Daten, insbesondere personenbezogene Daten, bestehen. Selbst wenn diese nur unbeabsichtigt beschädigt oder verloren gehen, kann dies für viele...
IT-Grundschutz implementieren | Pflicht, Inhalte & Standards
Der IT-Grundschutz ist für jedes Unternehmen, welches datenschutzrechtlich auf der sicheren Seite sein möchte, essenziell. Doch welche Inhalte umfasst der IT-Grundschutz und auf welchen Standards basiert eben dieser?...
Hinweis: Selbstverständlich können Sie unsere kostenlosen Sonder-Reports auch ohne einen E-Mail-Newsletter anfordern. Schreiben Sie uns dafür einfach eine kurze Email. Wenn Sie den schnellsten Weg beibehalten wollen gilt wie immer unser Versprechen: Alle ausgewiesenen Sonder-Reporte sind zu 100% kostenlos und jeden Newsletter können Sie sofort am Ende des Newsletters wieder abbestellen.