Technische und organisatorische Maßnahmen – kurz TOMs –  sind von der DSGVO vorgeschrieben, um eine sichere datenschutzkonforme Verarbeitung personenbezogener Daten zu gewährleisten. In jedem Unternehmen sollten daher solche Maßnahmen implementiert werden, damit eine sichere Datenverarbeitung nachgewiesen werden kann.

Technische Maßnahmen umfassen dabei alle Maßnahmen, welche der Absicherung der IT-Systeme sowie den Hard- und Softwarekomponenten dienen. Es soll gegen Angriffe von innen wie außen Schutz geboten werden und beinhaltet beispielsweise Firewalls und Antivirensoftware. Zu den technischen Maßnahmen zählt aber auch die Absicherung der Anlagen von außen z.B. durch Alarmanlagen und andere Systeme, welche das Gebäude vor unbefugtem Zutritt absichern.

Die organisatorischen Maßnahmen beinhalten dabei folglich alle nicht-technischen Maßnahmen, um die Datensicherheit zu gewährleisten. Hier werden Maßnahmen ergriffen, welche Prozesse und die Personen betreffen, welche die Datenverarbeitung durchführen. Beispielhaft dafür sind der Einsatz von Berechtigungskonzepten, Schulungen oder Vertraulichkeitsverpflichtungen. Aber auch die Wahl des Serverstandortes zählt zu den organisatorischen Maßnahmen.

Technische und organisatorische Maßnahmen gehen allerdings Hand in Hand und sind in der Regel schwierig voneinander abzugrenzen.

Durch den Einsatz von TOMs sollen die folgenden Punkte gewährleistet werden:

• Vertraulichkeit der Daten (Verarbeitung nur durch Befugte)
• Integrität der Daten und Anwendungen (Schutz vor unbefugter/unrechtmäßiger Veränderung)
• Verfügbarkeit der Systeme und Anwendungen (Systeme sind jederzeit betriebsbereit/Sicherstellung durch z.B. Virenschutzsoftware und Brandschutzmaßnahmen)
• Belastbarkeit der Systeme und Anwendungen (Schutz der Systeme vor massiven internen/externen Störungen durch z.B. IT-Notfallplan)

Um nun festzustellen und auszuwählen, welche technischen und organisatorischen Maßnahmen am besten implementiert werden, gibt die DSGVO in Art. 32 einige Kriterien vor, nach denen man sich richten kann.

Angemessenes Schutzniveau

Das heißt TOMs sollen risikobasiert eingesetzt werden zur Eindämmung möglicher negativer Konsequenzen für Betroffene. Es sollte also vor jeder Verarbeitung eine Risikoanalyse gemacht werden, um Schwere und Eintrittswahrscheinlichkeit von Risiken festzustellen und dementsprechende TOMs eingesetzt werden.

Risiko

Das Risiko für Betroffene bemisst sich nach der Art der verarbeiteten Daten (z.B. nach DSGVO besonders sensible Daten wie Gesundheitsdaten), den Eigenschaften der konkreten Verarbeitung, die Schwere eines möglichen Schadens für Betroffene und Eintrittswahrscheinlichkeit. Ist der Schaden lediglich eine kleine Unannehmlichkeit für den Betroffenen oder ist dadurch ein finanzieller Schaden entstanden oder kommt es gar zu Identitätsdiebstahl? Und wie wahrscheinlich oder unwahrscheinlich tritt dieser Schaden ein? Diese Fragen sind hier zu klären

Stand der Technik

Die Auswahl der TOMs muss nicht nur dem Risiko angemessen sein, sondern auch dem Stand der Technik entsprechen.

Wirtschaftliche Erwägungen

Bei der Auswahl der TOMs dürfen auch wirtschaftliche Überlegungen mit einfließen. Der Verantwortliche darf also eine Wirtschaftlichkeitsanalyse vornehmen. Hierbei gilt bei der Auswahl der TOMs, dass sie in einem angemessenen Verhältnis zum Risiko stehen. Hier müssen also nicht die teuersten Maßnahmen ergriffen werden.

Nun haben Sie einen kleinen Überblick zur datenschutzkonformen Implementierung von technischen und organisatorischen Maßnahmen bekommen und können entsprechend prüfen, inwieweit diese bei Ihnen umgesetzt sind bzw. ob Nachbesserungsbedarf besteht. Denn Fakt ist, technische und organisatorische Maßnahmen müssen gemäß DSGVO ergriffen werden. Diese kleine Zusammenfassung soll Ihnen dabei helfen.