Das Kürzel „TOM“ steht im Datenschutzrecht im Bereich Datensicherheit für „technische und organisatorische Maßnahmen“. Diese dienen dem Schutz von personenbezogenen Daten.
Welche Maßnahmen es hier gibt und was Ihr Unternehmen dabei beachten sollte, erfahren Sie hier.
Ziele von TOM
Technische und organisatorische Maßnahmen (TOM) spielen eine große Rolle dabei, sowohl analog als auch elektronisch gespeicherte personenbezogene Daten zu schützen. Sie umfassen dabei alle Vorkehrungen, die zum Schutz dieser Daten getroffen werden müssen.
In erster Linie gewährleisten die Maßnahmen die sichere Verarbeitung der personenbezogenen Daten. Das bedeutet vor allem, dass unbefugter Zugriff verhindert wird. Die DSGVO fordert, dass man schriftlich dokumentiert, welche technischen und organisatorischen Maßnahmen das Unternehmen ergreift, um diesen Schutz zu gewährleisten.
Auch physische Schutzmaßnahmen zählen zu den TOM: Alarmanlagen, Zugangskontrollen oder ähnliches können erforderlich sein.
Zudem ist es auch wichtig, die Mitarbeiter des Unternehmens regelmäßig zu schulen. Diese Schulungen müssen an den Arbeitsbereich und die dort anfallenden Daten und Sicherheitsrisiken angepasst sein.
Alle Schutzmaßnahmen müssen dabei immer dem aktuellen Stand der Technik entsprechen.
TOM auswählen
Um zu entscheiden, welche Maßnahmen angemessen sind, müssen regelmäßig Risikoeinschätzungen durchgeführt werden. Hierbei identifiziert das Unternehmen mögliche Risiken und ihre Eintrittswahrscheinlichkeit. Daran wird nach dem Verhältnismäßigkeitsprinzip abgemessen, welche Schutzmaßnahmen angemessen sind.
Beispiele
Beispiele für technische Schutzmaßnahmen finden sich in der IT. Die Informationssicherheit kann zum Beispiel durch Maßnahmen aus dem IT-Grundschutz Komendium entsprechend des vorliegenden Schutzbedarfs gwährleistet werden. Zudem kann das Unternehmen den Zugriff auf Daten in IT Systemen durch Rechte und Rollenkonzepte reglementieren. Daten sollten zudem verschlüsselt verarbeitet werden z.B. beim Transport auf Datenträgern oder über Datenverbindungen.
Als rein physische Maßnahme bieten sich Eingangskontrollen an. Auch Systeme zur Absicherung der Räumlichkeiten und sensiblen Bereichen können angemessen sein, z.B. Alarmanlagen und Videoüberwachung.
Organisatorisch sind Schulungen des Personals sehr wichtig. Mitarbeiter sollten darin geschult werden, was bei einer Datenschutzpanne zu tun ist und wie sie mit Verdachtsfällen von unberechtigtem Zugriff umgehen sollen.
Welche Schutzmaßnahmen ein Unternehmen laut DSGVO ergreifen muss, ist einzelfallabhängig und richtet sich unter anderem Risiken, rechtlichen Anforderungen sowie dem Schutzbedarf. Es muss ein angemessenes Schutzniveau erreicht werden. Hierbei spielen Faktoren wie die Wahrscheinlichkeit des Eintrittes eines Risikos und dessen Schwere sowie Rechte und Freiheiten der Betroffenen Personen eine Rolle.
Sie benötigen Beratung dazu, welche technischen und organisatorischen Maßnahmen in Ihrem Unternehmen ergriffen werden müssen und wie diese umzusetzen sind? Unser Team an Experten übernimmt diese Fragen gerne für Sie. Auch beim Thema Schulungen helfen wir Ihnen gerne individuell weiter. Kontaktieren Sie uns einfach hier.