DSGVO TOM: So setzen Sie die Maßnahmen effizient um
Technisch-organisatorische Maßnahmen sind das Rückgrat des Datenschutzes. Die DSGVO verpflichtet Unternehmen in Artikel 32, angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu implementieren. In der Praxis überschneiden sich diese Anforderungen erheblich mit denen der Informationssicherheit – eine Chance für effiziente Lösungen.
Erstgespräch vereinbarenWas Artikel 32 DSGVO verlangt
Die DSGVO definiert grundlegende Schutzziele, die durch technisch-organisatorische Maßnahmen erreicht werden müssen.
Vertraulichkeit
Stellt sicher, dass personenbezogene Daten nur von berechtigten Personen eingesehen werden können. Das umfasst Zugriffskontrollen, Verschlüsselung und physische Sicherheit.
Integrität
Gewährleistet, dass Daten nicht unbefugt verändert werden können. Typische Maßnahmen sind Protokollierung, Hashwerte und Änderungsnachverfolgung.
Verfügbarkeit
Bedeutet, dass Daten bei Bedarf zugänglich sind. Backup-Konzepte, Redundanz und Notfallpläne adressieren dieses Schutzziel.
Belastbarkeit
Beschreibt die Fähigkeit von Systemen, auch unter erschwerten Bedingungen funktionsfähig zu bleiben – etwa bei erhöhter Last oder Angriffen.
TOM und Informationssicherheit gehören zusammen
In unserer Beratungspraxis beobachten wir häufig, dass Datenschutz und Informationssicherheit in getrennten Silos bearbeitet werden. Der Datenschutzbeauftragte dokumentiert TOM, die IT-Abteilung implementiert Sicherheitsmaßnahmen – oft ohne systematische Abstimmung.
Das führt zu Doppelarbeit, Inkonsistenzen und Lücken. Dabei zielen beide Bereiche auf dasselbe: den Schutz von Informationen und Systemen.
Unser Ansatz verbindet Datenschutz und Informationssicherheit zu einem integrierten Konzept. Eine Dokumentation, zwei Ziele erfüllt.
- DSGVO und NIS-2: Wo sich Datenschutz und Cybersicherheit überschneiden
- DSGVO und ISO 27001: Synergien optimal nutzen
Ansatz für effiziente TOM
1. Bestandsaufnahme
Zunächst erfassen wir die bereits implementierten Maßnahmen. In den meisten Unternehmen existiert mehr, als dokumentiert ist: Firewalls, Zugangskontrollen, Backup-Systeme, Schulungen.
2. Risikobasierte Analyse
Nicht jede Verarbeitung personenbezogener Daten erfordert dasselbe Schutzniveau. Wir analysieren, welche Datenverarbeitungen besonders sensibel sind und priorisieren die Maßnahmen.
3. Maßnahmenentwicklung
Wo Lücken bestehen, entwickeln wir pragmatische Lösungen. Oft sind organisatorische Regelungen wirksamer als technische Investitionen.
4. Dokumentation
Wir erstellen eine Dokumentation, die prüfungssicher ist und gleichzeitig als Arbeitsgrundlage für Ihre IT und Ihren Datenschutzbeauftragten dient.
Pseudonymisierung und Anonymisierung
Pseudonymisierung
Pseudonymisierung trennt personenbezogene Daten von der Identität der betroffenen Personen. Sie ermöglicht Datenanalysen bei reduziertem Risiko und kann als Schutzmaßnahme angerechnet werden.
Praxisleitfaden PseudonymisierungAnonymisierung
Anonymisierung geht noch weiter: Vollständig anonymisierte Daten fallen nicht mehr unter die DSGVO. Die Umsetzung ist jedoch komplex und muss sorgfältig erfolgen.
DSGVO-Praxisleitfaden AnonymisierungDie Rolle des Datenschutzbeauftragten
Die Zusammenarbeit zwischen Datenschutzbeauftragtem und Informationssicherheitsbeauftragtem ist entscheidend für effiziente TOM. Wir unterstützen diese Zusammenarbeit durch klare Schnittstellen und gemeinsame Dokumentation.
Mehr zu den Anforderungen an externe Datenschutzbeauftragte: Aufgaben, Anforderungen und Qualitätsmerkmale
Häufige Fragen zu technisch-organisatorischen Maßnahmen
Was sind technisch-organisatorische Maßnahmen (TOM)?
Technisch-organisatorische Maßnahmen sind Sicherheitsvorkehrungen zum Schutz personenbezogener Daten gemäß Artikel 32 DSGVO. Technische Maßnahmen umfassen etwa Verschlüsselung, Firewalls und Zugriffskontrollen. Organisatorische Maßnahmen betreffen Richtlinien, Schulungen und Prozesse. Gemeinsam sollen sie die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit gewährleisten.
Welche TOM schreibt die DSGVO konkret vor?
Die DSGVO macht keine abschließende Liste konkreter Maßnahmen vor. Artikel 32 nennt beispielhaft Pseudonymisierung, Verschlüsselung, die Fähigkeit zur raschen Wiederherstellung nach Zwischenfällen sowie regelmäßige Überprüfung der Wirksamkeit. Welche Maßnahmen angemessen sind, hängt vom Risiko der jeweiligen Datenverarbeitung ab – eine risikobasierte Betrachtung ist daher zwingend erforderlich.
Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?
Bei der Pseudonymisierung werden personenbezogene Daten so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer Person zugeordnet werden können – die Daten bleiben aber personenbezogen und fallen unter die DSGVO. Bei der Anonymisierung ist eine Zuordnung dauerhaft unmöglich – solche Daten fallen nicht mehr unter die DSGVO. Die korrekte Umsetzung ist komplex. Praxisanleitungen findest du in unseren Leitfäden zur Pseudonymisierung und Anonymisierung.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Eine DSFA ist Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das gilt etwa bei systematischer Überwachung, Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang oder automatisierten Einzelentscheidungen mit rechtlicher Wirkung. Die DSFA hilft, angemessene TOM zu identifizieren. Wann genau eine DSFA erforderlich ist, erläutern wir im Artikel DSFA: Wann ist sie Pflicht?
Wie dokumentiert man TOM richtig?
Die Dokumentation muss nachweisen, dass angemessene Maßnahmen implementiert sind. Sie sollte die Schutzziele adressieren, konkrete Maßnahmen beschreiben und deren Wirksamkeit belegen. Wichtig ist die Aktualität – TOM müssen regelmäßig überprüft und bei Bedarf angepasst werden. Eine gute TOM-Dokumentation ist gleichzeitig Arbeitsgrundlage für IT und Datenschutzbeauftragten und Nachweis gegenüber Aufsichtsbehörden.
Welche Strafen drohen bei mangelhaften TOM?
Verstöße gegen die Pflicht zu angemessenen technisch-organisatorischen Maßnahmen können mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Bei Datenschutzverletzungen, die auf mangelhafte TOM zurückzuführen sind, können zusätzlich Schadensersatzansprüche Betroffener und Reputationsschäden hinzukommen. Eine sorgfältige TOM-Umsetzung ist daher auch wirtschaftlich sinnvoll.
TOM effizient umsetzen
Kostenlose Erstberatung — erfahren Sie, wie Sie Ihre technisch-organisatorischen Maßnahmen effizient gestalten können.
Beratungstermin buchen