Technische und organisatorische Maßnahmen
Registrieren Sie sich jetzt,
um den Generator
kostenlos zu testen.
Technische und organisatorische Maßnahmen (TOMs) – einfach erklärt
Datenschutz klingt oft nach Paragrafen, Bürokratie und komplizierter Technik. Aber keine Sorge – mit den richtigen technischen und organisatorischen Maßnahmen (TOMs) ist es viel einfacher, als man denkt. In diesem Artikel erklären wir ihnen, was TOMs sind, warum sie wichtig sind und wie ihr Unternehmen oder Verein sie sinnvoll umsetzen kann.
Ob kleine Kanzlei, mittelständisches Unternehmen oder Sportverein – jeder, der personenbezogene Daten verarbeitet, muss sich mit TOMs beschäftigen. Das wird so von der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben. Und ja, das gilt wirklich für alle – vom Verein um die Ecke bis zum internationalen Konzern.
Sind TOMs verpflichtend?
Die kurze Antwort: Ja, nach Art. 32 DSGVO.
Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen. Ziel ist es, die Sicherheit der Verarbeitung zu gewährleisten und die Rechte sowie Freiheiten der betroffenen Personen zu schützen.
Das bedeutet:
- Unternehmen, Vereine und jede verantwortliche Stelle müssen sich mit TOMs auseinandersetzen.
- Die Maßnahmen müssen angemessen sein – abhängig von Umfang, Art und Umständen der Datenverarbeitung.
- Es geht nicht darum, alles perfekt zu machen, sondern ein Schutzniveau herzustellen, das zum Risiko passt.
Ein Beispiel:
- Ein Verein, der Mitgliederdaten in einer Excel-Tabelle verwaltet, braucht in der Regel organisatorische Regeln (wer darf zugreifen?) und einfache technische Schutzmaßnahmen (Passwortschutz, regelmäßige Backups).
- Ein Krankenhaus mit hochsensiblen Gesundheitsdaten braucht in der Regel dagegen Verschlüsselung, Pseudonymisierung, Zugriffsprotokolle, IT-Sicherheitskonzepte und Notfallpläne usw..
Fazit: TOMs sind verpflichtend – aber flexibel. Sie werden angepasst an die jeweilige Datenverarbeitung und das Risiko.
Wie lassen sich organisatorische Maßnahmen definieren?
Organisatorische Maßnahmen regeln Abläufe, Verantwortlichkeiten und Strukturen. Sie haben in der Regel weniger mit IT-Systemen oder Technik zu tun, sondern mehr mit Menschen, Regeln und Prozessen.
Beispiele:
- Klare Verantwortlichkeiten: Wer darf Daten einsehen? Welche Person oder Stelle trägt die Verantwortung für die Verarbeitung?
- Vier-Augen-Prinzip: Kritische Tätigkeiten wie Datenlöschung oder -weitergabe dürfen nicht von einer Person allein entschieden werden.
- Schulung der Mitarbeitenden: Mitarbeitende müssen wissen, wie sie mit personenbezogenen Daten umgehen.
- Verarbeitungsverzeichnis führen: Dokumentation der Datenverarbeitungen.
- Verfahren zur regelmäßigen Überprüfung: Sind die Maßnahmen noch wirksam?
- Datenminimierung: Es werden nur so viele Daten verarbeitet, wie unbedingt erforderlich sind.
Organisatorische Maßnahmen sind oft eher kostengünstig, und haben einen großen Effekt. Denn selbst die beste Technik nützt nichts, wenn Mitarbeiter Daten falsch handhaben oder Prozesse unklar sind.
Technische und organisatorische Maßnahmen im Rahmen des Datenschutzes
Unter technischen und organisatorischen Maßnahmen (TOMs) versteht man sämtliche Verfahren und Strategien, die dazu dienen, personenbezogene Daten in Unternehmen, Vereinen und bei Auftragsverarbeitern vor Verlust, Missbrauch sowie unautorisiertem Zugriff zu sichern.
Die DSGVO nennt dabei vier zentrale Ziele:
- Vertraulichkeit – Nur befugte Personen haben Zugriff.
- Integrität – Daten dürfen nicht unbefugt verändert werden.
- Verfügbarkeit – Daten müssen verfügbar sein, wenn sie gebraucht werden.
- Belastbarkeit – Systeme und Dienste müssen auch bei Zwischenfällen funktionieren.
Bei der Auswahl geeigneter TOMs müssen Verantwortliche folgende Faktoren berücksichtigen:
- den derzeitigen Entwicklungsstand der Technik
- die Implementierungskosten,
- Art, Umfang, Umstände und Zwecke der Verarbeitung,
- sowie die Schwere und Eintrittswahrscheinlichkeit möglicher Risiken.
Wichtig: TOMs sind keine festen Vorgaben. Die Maßnahmen müssen immer an das jeweilige Unternehmen, die jeweilige Tätigkeit und die Risiken angepasst werden.
Praktische Beispiele für TOMs (technische und organisatorische Maßnahmen)
Damit es nicht abstrakt bleibt, hier eine Übersicht mit praktischen Beispielen für TOMs:
Technische Maßnahmen
- Verschlüsselung von Daten (z. B. bei E-Mails oder Datenbanken).
- Pseudonymisierung personenbezogener Daten.
- Benutzerkonten mit sicheren Passwörtern für alle Mitarbeitende.
- Firewall und Virenschutz für IT-Systeme.
- Regelmäßige Updates und Patches für Software.
- Alarmsysteme und physische Zutrittskontrollen zu Serverräumen.
- Backups zur Wiederherstellung nach technischen Zwischenfällen.
- Monitoring und Logfiles zur Nachverfolgung von Zugriffen.
Organisatorische Maßnahmen
- Regelmäßige Unterweisung des Personals zum Umgang mit personenbezogenen Daten
- Vier-Augen-Prinzip bei sensiblen Tätigkeiten.
- Verarbeitungsverzeichnis und Dokumentation aller Datenverarbeitungen.
- Regelmäßige Überprüfung und Evaluierung der Maßnahmen.
- Notfallpläne und Verfahren für Datenpannen.
- Datenminimierung: nur die wirklich notwendigen Daten erfassen.
- Vertraulichkeitsvereinbarungen mit Mitarbeitern und Dienstleistern.
Kombination von Maßnahmen
Am wirksamsten ist eine Mischung aus Technik und Organisation.
Beispiel: Ein Unternehmen verschlüsselt sensible Daten (technische Maßnahme) und legt gleichzeitig fest, dass nur bestimmte Mitarbeiter den Schlüssel verwenden dürfen (organisatorische Maßnahme).
Praxis-Tipps für Unternehmen und Vereine
Gerade kleinere Unternehmen oder Vereine fühlen sich schnell überfordert. Hier einige Tipps für den Einstieg:
- Bestandsaufnahme durchführen: Welche Daten verarbeiten wir? Welche Risiken bestehen?
- Einfache Maßnahmen umsetzen: Sichere Passwörter, Zugriff nur für Berechtigte, Backups.
- Mitarbeitende einbeziehen: Schulungen sind oft der Schlüssel zu mehr Sicherheit.
- Dokumentation nicht vergessen: Ein Verarbeitungsverzeichnis ist Pflicht.
- Regelmäßig überprüfen: Technik und Abläufe verändern sich – TOMs müssen aktuell bleiben.
- Schritt für Schritt verbessern: Niemand muss in der Regel alles sofort perfekt machen. Entscheidend ist oft hier, überhaupt den ersten Schritt zu tätigen.
Häufige Fragen (FAQ)
Sind TOMs nur für große Unternehmen relevant?
Nein. Auch kleine Vereine oder Einzelunternehmer müssen TOMs umsetzen. Der Umfang hängt vom jeweiligen Risiko ab.
Überprüfungsintervalle technischer und organisatorischer Maßnahmen
Die DSGVO verlangt eine regelmäßige Überprüfung, Bewertung und Evaluierung der Maßnahmen. Dies sollte mindestens einmal jährlich geschehen – besser öfter.
Was kostet die Umsetzung von TOMs?
Manche Maßnahmen (z. B. Schulungen, klare Prozesse) kosten fast nichts. Andere, wie Verschlüsselungssysteme oder Alarmanlagen, sind aufwendiger. Wichtig ist immer die Verhältnismäßigkeit zu beachten.
Müssen alle TOMs dokumentiert werden?
Ja. Unternehmen und Vereine müssen nachweisen können, dass sie geeignete Maßnahmen ergriffen haben. Die Dokumentation gehört deshalb ins bzw. zum Verarbeitungsverzeichnis.
Was passiert, wenn man keine TOMs umsetzt?
Wer keine TOMs hat, riskiert Bußgelder und Schadenersatzforderungen – aber vor allem den Verlust des Vertrauens wie von Kunden, Mitgliedern und Mitarbeitende.
Fazit: TOMs sind Pflicht, aber auch eine Chance
Technische und organisatorische Maßnahmen sind mehr als nur eine lästige Pflicht der DSGVO. Sie schützen nicht nur Daten, sondern auch ihr Unternehmen, ihre Mitarbeitende und ihre Kunden.
Wer TOMs ernst nimmt, zeigt Verantwortungsbewusstsein, stärkt das Vertrauen und vermeidet hohe Risiken. Und das Beste: Viele Maßnahmen sind einfach umzusetzen und kosten nicht viel – man muss nur anfangen.
Sie wollen wissen, welche TOMs für ihr Unternehmen oder ihr Verein passend sind?
DatenBuddy.de unterstützt Sie bei der Umsetzung – soweit möglich praxisnah und verständlich.
