DSGVO TOM: So setzen Sie die Maßnahmen effizient um
Technisch-organisatorische Maßnahmen sind das Rückgrat des Datenschutzes. Die DSGVO verpflichtet Unternehmen in Artikel 32, angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu implementieren. In der Praxis überschneiden sich diese Anforderungen erheblich mit denen der Informationssicherheit – eine Chance für effiziente Lösungen.
TOM und Informationssicherheit gehören zusammen
In unserer Beratungspraxis beobachten wir häufig, dass Datenschutz und Informationssicherheit in getrennten Silos bearbeitet werden. Der Datenschutzbeauftragte dokumentiert TOM, die IT-Abteilung implementiert Sicherheitsmaßnahmen – oft ohne systematische Abstimmung.
Das führt zu Doppelarbeit, Inkonsistenzen und Lücken. Dabei zielen beide Bereiche auf dasselbe: den Schutz von Informationen und Systemen vor unbefugtem Zugriff, Verlust oder Manipulation.
Unser Ansatz verbindet Datenschutz und Informationssicherheit zu einem integrierten Konzept. Eine Dokumentation, zwei Ziele erfüllt.
Was Artikel 32 DSGVO verlangt
Die DSGVO definiert in Artikel 32 grundlegende Schutzziele, die durch technisch-organisatorische Maßnahmen erreicht werden müssen. Zusätzlich fordert die DSGVO Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen.
Vertraulichkeit
Vertraulichkeit stellt sicher, dass personenbezogene Daten nur von berechtigten Personen eingesehen werden können. Das umfasst Zugriffskontrollen, Verschlüsselung und physische Sicherheit.
Integrität
Integrität gewährleistet, dass Daten nicht unbefugt verändert werden können. Protokollierung, Hashwerte und Änderungsnachverfolgung sind typische Maßnahmen.
Verfügbarkeit
Verfügbarkeit bedeutet, dass Daten bei Bedarf zugänglich sind. Backup-Konzepte, Redundanz und Notfallpläne adressieren dieses Schutzziel.
Belastbarkeit
Belastbarkeit beschreibt die Fähigkeit von Systemen, auch unter erschwerten Bedingungen funktionsfähig zu bleiben – etwa bei erhöhter Last oder Angriffen.
Die Verbindung zu NIS‒2 und Informationssicherheit
Die Schutzziele der DSGVO entsprechen den klassischen Schutzzielen der Informationssicherheit. Diese Überschneidung ist kein Zufall – und sie bietet Unternehmen eine große Chance zur Effizienzsteigerung.
Wer ein Informationssicherheits‒Managementsystem nach ISO 27001 oder BSI IT-Grundschutz betreibt, hat die DSGVO-TOM bereits weitgehend abgedeckt. Umgekehrt können gut dokumentierte TOM als Ausgangspunkt für ein ISMS dienen.
Mit der NIS‒2‒Richtlinie kommen zusätzliche Anforderungen an die Cybersicherheit hinzu. Auch diese überschneiden sich erheblich mit den TOM-Anforderungen. Wie Sie DSGVO und NIS-2 effizient verbinden, zeigt unser Artikel DSGVO und NIS‒2: Wo sich Datenschutz und Cybersicherheit überschneiden.
Unser Ansatz für effiziente TOM
Wir entwickeln mit Ihnen ein integriertes Maßnahmenkonzept, das sowohl den Datenschutz als auch die Informationssicherheit abdeckt.
1
Bestandsaufnahme
Zunächst erfassen wir die bereits implementierten Maßnahmen. In den meisten Unternehmen existiert mehr, als dokumentiert ist: Firewalls, Zugangskontrollen, Backup-Systeme, Schulungen. Diese Maßnahmen werden systematisch erfasst und den Schutzzielen zugeordnet.
2
Risikobasierte Analyse
Nicht jede Verarbeitung personenbezogener Daten erfordert dasselbe Schutzniveau. Wir analysieren, welche Datenverarbeitungen besonders sensibel sind und wo erhöhter Schutzbedarf besteht. Auf dieser Basis priorisieren wir die Maßnahmen.
Für besonders risikoreiche Verarbeitungen kann eine Datenschutz-Folgenabschätzung erforderlich sein. Wann diese Pflicht greift, erläutert unser Artikel Datenschutz‒Folgenabschätzung: Wann ist sie nach Art. 35 DSGVO Pflicht?
3
Maßnahmenentwicklung
Wo Lücken bestehen, entwickeln wir pragmatische Lösungen. Dabei berücksichtigen wir Ihre vorhandene Infrastruktur, Ihre Ressourcen und den Stand der Technik. Nicht jede Maßnahme muss teuer sein – oft sind organisatorische Regelungen wirksamer als technische Investitionen.
4
Dokumentation
Die Dokumentation der TOM ist nicht nur Pflicht, sondern auch Nachweis gegenüber Aufsichtsbehörden und Geschäftspartnern. Wir erstellen eine Dokumentation, die prüfungssicher ist und gleichzeitig als Arbeitsgrundlage für Ihre IT und Ihren Datenschutzbeauftragten dient.
Besondere Datenschutzthemen
Bestimmte Verarbeitungen erfordern besondere Aufmerksamkeit und spezifische Maßnahmen.
Pseudonymisierung
Pseudonymisierung trennt personenbezogene Daten von der Identität der betroffenen Personen. Sie ermöglicht Datenanalysen bei reduziertem Risiko und kann als Schutzmaßnahme angerechnet werden.
Einen vollständigen Überblick bietet unser Praxisleitfaden Pseudonymisierung.
Anonymisierung
Anonymisierung geht noch weiter: Vollständig anonymisierte Daten fallen nicht mehr unter die DSGVO. Die Umsetzung ist jedoch komplex und muss sorgfältig erfolgen.
Wie Anonymisierung in der Praxis funktioniert, erfahren Sie im Artikel Datenanonymisierung: DSGVO‒Praxisleitfaden.
Synergien systematisch nutzen
Ein typisches Szenario aus unserer Beratungspraxis: Ein Unternehmen muss TOM dokumentieren, plant gleichzeitig eine ISO-27001-Zertifizierung und ist von NIS-2 betroffen.
Ohne integrierte Betrachtung entstehen drei separate Dokumentationen mit erheblichen Überschneidungen. Mit unserem Ansatz entwickeln wir ein einheitliches Maßnahmenkonzept, das alle Anforderungen erfüllt.
Das spart nicht nur Aufwand, sondern erhöht auch die Konsistenz und Qualität. Sie haben ein System, das Sie verstehen und pflegen können.
Die Rolle des Datenschutzbeauftragten
Viele Unternehmen sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Dieser überwacht die Einhaltung der DSGVO und berät zu Datenschutzfragen – einschließlich der TOM.
Die Zusammenarbeit zwischen Datenschutzbeauftragtem und Informationssicherheitsbeauftragtem ist wichtig. Wir unterstützen diese Zusammenarbeit durch klare Schnittstellen und gemeinsame Dokumentation.
Falls Sie einen externen Datenschutzbeauftragten suchen, informiert unser Artikel Externe Datenschutzbeauftragte: Aufgaben, Anforderungen und Qualitätsmerkmale über die wichtigsten Aspekte.
Prüfbare Dokumentation
Aufsichtsbehörden und Wirtschaftsprüfer fragen zunehmend nach TOM-Nachweisen. Auch Geschäftspartner und Kunden verlangen Transparenz über Ihre Sicherheitsmaßnahmen.
Wir erstellen Dokumentationen, die diesen Anforderungen standhalten. Strukturiert, nachvollziehbar und auf dem aktuellen Stand der Technik.
