4 TOMs für dich und dein Unternehmen

TOM
Teile diesen Blogbeitrag

Ein kurzer Reminder: Was sind nochmal technisch und organisatorische Maßnahmen (TOM)?

Wenn personenbezogene Daten verarbeitet werden, gilt hier die höchste Sicherheitsstufe. Beispielsweise Unternehmen unterliegen der Verantwortung, die Daten ihrer Kunden, Mitarbeiter, Stake,- und Shareholder zu schützen. Demnach wird vorausgesetzt, dass verantwortliche Personen Maßnahmen treffen, die die Daten schützen. Hierbei können diese Maßnahmen technische Aspekte umfassen, wie z.B. die Vergabe von Kennwörtern oder Benutzerrechten oder auch die Verschlüsselung von verschiedenen Devices. Diese Maßnahmen können sich aber auch auf organisatorische Aspekte beziehen. Dann geht es vor allem um beispielsweise Mitarbeiterschulungen in Bezug auf den Umgang mit sensiblen Daten oder die Vertraulichkeit. Das heißt, dass TOMs technische und organisatorische Maßnahmen sind, die getroffen werden, um personenbezogene Daten ausreichend zu schützen. Werden diese ignoriert oder nicht ausreichend implementiert und es kommt zu einem Missbrauch von Daten, dann kann dies mit einem Bußgeld sanktioniert werden. Und das will doch wirklich niemand! Wenn du dazu nochmal mehr wissen möchtest, findest du hier einen passenden Artikel auf unserem Blog dazu.

Bereiche der Schutzmaßnahmen

Um das Schutzniveau der DSGVO zu erreichen, gibt es verschiedene Bereiche, die es zu beachtet gilt. 

Darunter zählen zum Beispiel die Verschlüsselung personenbezogener Daten. Das sollte eigentlich jedem klar sein, der mit hochsensiblen Daten arbeitet. Diese gilt es besonders zu schützen und dazu zählt nun mal eine Verschlüsselung, sodass nicht jeder Zugriff auf diese hat. Weiterhin ist es wichtig, dass die Systeme und (Online)-Dienste, die Unternehmen verwenden, auch voraussetzen, dass die Verarbeitung und auch Speicherung von personenbezogenen Daten nur unter dem größtmöglichen Schutz erfolgt. Diese Systeme und Dienste müssen vertrauensvoll sein. Bedeutsam ist auch, dass ein Verfahren implementiert wird, welches für die stetige Überwachung und Kontrolle der TOM dient. Das führt dazu, dass Datenpannen und Sicherheitslücken entweder erst gar nicht entstehen oder frühzeitig entdeckt werden. Dazu zählt auch, dass die verantwortlichen Personen eines Unternehmens stetig über den Stand der TOM in Kenntnis gesetzt werden.

4 wichtige TOMs

Benutzerkontrolle: Durch die Benutzerkontrolle soll sichergestellt werden, dass nur befugte Personen Verarbeitungssysteme nutzen können. Dazu zählt u.a. eine Anti-Viren-Software, Verschlüsselung von Daten. Das wären technische Maßnahmen, die getroffen werden können. Organisatorische Maßnahmen beziehen sich auf wiederkehrende Kontrollen hinsichtlich der Berechtigungen aber auch die zielgerichtete und richtige Zuteilung von Benutzerprofilen in der IT.

Speicherkontrolle: Hierbei geht es darum, dass personenbezogene Daten richtig gespeichert werden und somit keine wichtigen Daten aufgrund unzureichender Speicherung gelöscht werden können. Genauer betrachtet zielt die Speicherkontrolle darauf ab, dass die Daten nicht unbefugt verarbeitet werden.

Trennungskontrolle: Natürlich kann es vorkommen, dass verschiedene Daten gleichzeitig verarbeitet werden. Um hier den Schutz und die Sicherung dieser zu wahren, können technische Maßnahmen wie die Verschlüsselung von Datensätzen dazu dienen, dass die Daten getrennt voneinander behandelt werden. Organisatorisch gesehen würde als Maßnahme z.B. eine Mandantentrennung in Betracht gezogen werden können.

Eingabekontrolle:

Die Eingabekontrolle umfasst die Überprüfung der Verarbeitung von Daten. Dabei werden Maßnahmen eingesetzt, die gewährleisten sollen, dass Datenveränderungen oder Eingaben, aber auch Datenlöschungen kontrolliert werden.

Dabei kann jeder Schritt nachvollziehbar gemacht und somit auch erkennbar gemacht werden, welche Person an den Daten gearbeitet hat. 

Die Maßnahmen könnten sein, dass ein Protokoll oder eine Liste angefertigt wird, in der sich jede Person, die mit den Daten gearbeitet hat, eintragen muss. Das kann natürlich auch über ein digitales Tracking-Tool erfolgen, welches anzeigt, welcher Benutzer wann an den Daten gearbeitet hat.

Organisatorisch gesehen könnten hier auch Zugriffsberechtigungen erfolgen, damit verantwortliche Personen somit automatisch wissen, wer nur die Möglichkeit hat, an den Daten zu arbeiten. 

Wie du diese Maßnahmen am besten dokumentieren kannst, kannst du in diesem Artikel nachlesen.

Datenschutzbeauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?

Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.
Mehr Blogbeiträge
EU/USA Datenabkommen
DSGVO

EU/USA Datenabkommen

Das Wichtige vorab: Bis Juli 2020 war es möglich, dass personenbezogene Daten auf der Grundlage des Privacy-Shield Abkommens in die USA übermittelt werden konnten. Anschließend

Datenschutz-Folgeabschätzung
DSGVO

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgeabschätzung ist ein Instrument der DSGVO. Es bedeutet, dass ein Verantwortlicher vor Verarbeitung von sensiblen Daten eine Abschätzung der Folgen vornehmen muss und diese

Möchtest du dein Unternehmen Datenschutzkonform aufstellen?

Wir helfen dir gerne!