TOMs: Technisch und organisatorische Maßnahmen

Gemäß Artikel 24 der DSGVO ist es erforderlich, dass der:die Verantwortliche angemessene technische und organisatorische Maßnahmen (TOMs) umsetzt, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können. Die zentrale Bestimmung, die sich mit TOMs befasst, ist Artikel 32 der DSGVO. Gemäß dieser Vorschrift sind sowohl der/die Verantwortliche als auch der/die Auftragsverarbeiter:in dazu verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten.

Artikel 32 DSGVO beschreibt auch die zentralen Schutzziele für die Datensicherheit, nämlich die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.

Was sind technische Maßnahmen?

Technische Maßnahmen beziehen sich auf die Nutzung von Technologie und IT-Systemen, um Sicherheitsrisiken zu minimieren und den Schutz von Informationen zu gewährleisten. Sie umfassen unter anderem:

• Zugriffskontrolle: Dies beinhaltet die Vergabe von Benutzerberechtigungen und die Authentifizierung von Benutzern, um sicherzustellen, dass nur autorisierte Personen Zugriff auf bestimmte Informationen haben.

• Pseudonymisierung und Verschlüsselung: Durch die Pseudonymisierung werden personenbezogene Daten in eine Form umgewandelt, bei der eine Zuordnung zu einer bestimmten Person ohne zusätzliche Informationen nicht mehr möglich ist. Die Verschlüsselung hingegen verwendet kryptografische Verfahren, um die Daten in eine unlesbare Form zu verwandeln, die nur mit einem entsprechenden Entschlüsselungsschlüssel wieder lesbar ist.

• Firewall und Intrusion Detection/Prevention Systems (IDS/IPS): Diese Systeme überwachen den Datenverkehr und erkennen potenzielle Angriffe oder verdächtige Aktivitäten. Sie helfen dabei, unbefugten Zugriff auf das Netzwerk oder die Systeme zu verhindern.

• Datensicherung und Wiederherstellung: Regelmäßige Backups und die Implementierung von Wiederherstellungsmechanismen sind wichtige technische Maßnahmen, um den Verlust von Informationen bei Systemausfällen oder anderen Katastrophen zu vermeiden. Darüber hinaus muss die Gewährleistung einer raschen Wiederherstellung der Daten und Zugänge nach einem physischen oder technischen Zwischenfall gegeben sein um den Betrieb schnellstmöglich wieder aufnehmen zu können.

Was sind organisatorische Maßnahmen?

Organisatorische Maßnahmen konzentrieren sich hingegen auf die Umsetzung von Richtlinien, Verfahren und Kontrollen, um die Sicherheit von Informationen zu gewährleisten. Hierzu gehören:

• Sicherheitsrichtlinien und -verfahren: Es sollten klare Richtlinien und Verfahren vorhanden sein, die den Umgang mit Informationen regeln, beispielsweise zur Passwortrichtlinie, zum Umgang mit sensiblen Daten oder zur Zugriffskontrolle.

• Schulungen und Sensibilisierung: Mitarbeiter:innen sollten regelmäßig über die Bedeutung von Informationssicherheit geschult werden. Dadurch werden sie sich der Risiken bewusst und lernen, wie sie sich verantwortungsvoll verhalten können.

• Risikomanagement: Die Identifizierung, Bewertung und Überwachung von Risiken ist ein wichtiger Bestandteil organisatorischer Maßnahmen. Dafür muss ein Verfahren eingeführt werden, um die regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zu gewährleisten. Dies bedeutet, dass Unternehmen und Organisationen kontinuierlich ihre Sicherheitsmaßnahmen überwachen und bewerten sollten, um sicherzustellen, dass sie den aktuellen Anforderungen entsprechen und effektiv zum Schutz personenbezogener Daten beitragen.

• Incident Management: Es sollten Verfahren zur Meldung und Bearbeitung von Sicherheitsvorfällen etabliert werden, um schnell auf Zwischenfälle reagieren und den Schaden minimieren zu können.

Warum sind technische und organisatorische Maßnahmen für Unternehmen wichtig?

Die Umsetzung geeigneter TOMs ist unerlässlich, um den Schutz von sensiblen Informationen zu gewährleisten und gesetzliche Anforderungen zu erfüllen. Dabei geht es vor allem darum persönliche Kund:innendaten zu schützen. Unternehmen und Organisationen sollten eine ganzheitliche Sicherheitsstrategie entwickeln, die sowohl technische als auch organisatorische Maßnahmen umfasst, um potenzielle Bedrohungen zu erkennen, zu bewerten und entsprechend zu handeln. Durch die kontinuierliche Überwachung und regelmäßige Aktualisierung der TOMs können Unternehmen proaktiv auf Sicherheitsrisiken reagieren und die Integrität und Vertraulichkeit ihrer Informationen sicherstellen.

Was bedeutet das für Unternehmen?

Für Unternehmen und Organisationen bedeutet dies konkret eine erweiterte Dokumentations- und Nachweispflicht. Es müssen alle Maßnahmen dokumentiert werden, um im Schadensfall Aufzeichnungen über die getroffenen Vorkehrungen zu haben.

Wenn es zu Versäumnissen und Verstößen im Rahmen der technischen und organisatorischen Maßnahmen kommt, können Bußgelder verhängt werden. Besonders wichtig ist dabei die Durchführung einer gegebenenfalls erforderlichen Folgenabschätzung und insbesondere die Dokumentation der umgesetzten Maßnahmen. Im Falle von Verstößen in diesem Bereich drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, zusätzlich zu den maximalen Bußgeldern von 300.000 Euro für andere Verstöße. Die Umsetzung wird jedoch durch vage und auslegungsbedürftige Rechtsbegriffe erschwert, die von der Verordnung als Maßstab gefordert werden, wie beispielsweise das Erfordernis, den "Stand der Technik" umzusetzen.