Technische und organisatorische Maßnahmen für den Datenschutz

Zur Unterstützung der praktischen Umsetzung von Datenschutz im Unternehmen sehen die Datenschutzgesetze die Einführung verschiedener Maßnahmen vor. Mit diesen „technischen und organisatorischen Maßnahmen“ (abgekürzt „TOM“) soll die sichere Verarbeitung von personenbezogenen Daten vereinfacht werden. Diese Maßnahmen gab es auch schon im alten Bundesdatenschutzgesetz, sie sind also keine Neuerung, die aus der DSGVO hervorgeht. Allerdings ist seit Inkrafttreten der DSGVO ihre Relevanz durch verschärfte Strafandrohungen gewachsen.

In Art. 32 DSGVO wird zum Schutz personenbezogener Daten auf die Möglichkeit der Verschlüsselung und der Pseudonymisierung der personenbezogenen Daten verwiesen, deren sichere Verarbeitung, Verfügbarkeit und Wiederherstellung nach einem Vorfall angemahnt und eine Vorgehensweise zur Überprüfung der Wirksamkeit der TOM gefordert.

Zur Verarbeitung und Speicherung von personenbezogenen Daten werden IT-Systeme verwendet, die unterschiedlichen Gefährdungen ausgesetzt sind. Nicht nur gezielte Angriffe können Schaden verursachen, auch versehentliche Datenlöschungen oder Offenlegungen gehören dazu. Um diese Risiken zu minimieren, sollen die TOM eingeführt und dokumentiert werden.

Technische Maßnahmen

Als technische Maßnahmen werden hier alle Vorkehrungen zum Schutz gegen physische Angriffe oder Datenverlust verstanden. Dazu gehört etwa die Sicherung von Gebäuden, also beispielsweise Schließsysteme und Sicherheitsschlösser in Türen und Schränken oder Alarmanlagen. Diese Systeme verhindern den Zutritt unbefugter Personen zu Räumen, in denen Daten aufbewahrt oder gespeichert werden. Ein Notstromaggregat kann im Fall eines Stromausfalls verhindern, dass Daten unwiederbringlich verloren gehen. Weitere technische Maßnahmen wie eine Firewall, eine Passwortvergabe oder ein VPN unterbinden den Zugang zu EDV-Systemen für Unbefugte, unabhängig vom Zutritt zu den Räumen, in denen sie sich befinden.

Organisatorische Maßnahmen

Organisatorische Maßnahmen geben mit festgelegten Abläufen und Prozessen einen Handlungsrahmen für den sicheren Umgang mit personenbezogenen Daten. Hierzu gehören Regeln wie die Personenkontrolle beim Pförtner, Testkonzepte nach einer Datenwiederherstellung und die Bestimmung der zugriffsberechtigten Personen für Ordnersysteme und Dateien, beispielsweise als Zugriffsmatrix. Auch Notfallpläne, eine dokumentierte Schlüsselausgabe, ein Konzept für Datenschutzschulungen und die Vertraulichkeitsverpflichtungen der Mitarbeiter sind organisatorische Maßnahmen.

Sie wünschen mehr Informationen oder professionelle Unterstützung beim Datenschutz? Dann freuen wir uns über den persönlichen Kontakt mit Ihnen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.