Zu den wichtigsten Maßnahmen laut Datenschutzgrundverordnung, kurz DSGVO, gehört neben dem Verzeichnis von Verarbeitungstätigkeiten und der Datenschutz-Folgeabschätzung auch die Dokumentation der sogenannten TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift.
Es gilt diese festzulegen und zu dokumentieren. TOM besitzen sowohl im gesamten Unternehmen als auch für einzelne Abteilungen und Mitarbeiter Gültigkeit. Diese Maßnahmen müssen alle Unternehmen ergreifen, die personenbezogene Daten verarbeiten, um damit die Betroffenenrechte zu schützen.
„Dies war bereits nach dem alten Bundesdatenschutzgesetz, kurz BDSG, der Fall. Seit Eintreten der EU-DSGVO gelten jedoch darüber hinaus weitreichende Anforderungen an die Auswahl der TOM“, so Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG. Die Dokumentation der TOM spielt vor allem im Falle eines Datenlecks oder eines Datenschutzverstoßes eine große Rolle, da sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.
Schutzmaßnahmen ergreifen und planen
Dabei lässt sich dem Begriff TOM bereits entnehmen, dass die Maßnahmen sowohl technischer als auch organisatorischer Natur sein können. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie der Schutz des Unternehmensgebäudes, zum Beispiel durch ein Schloss. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin einzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Art. 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“.
Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Zudem müssen Unternehmen laut DSGVO sicherstellen, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten rasch wieder zur Verfügung stehen. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch haben Unternehmen die Prüfung durch einen Dritten, also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen etwa gegenüber Geschäftspartnern oder der Aufsichtsbehörde einen besseren Eindruck.
Kontrolle gehört dazu
Eine Herausforderung stellt für viele Unternehmen allerdings die Beurteilung des Schutzniveaus dar. Laut DSGVO gilt es hier insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung der personenbezogenen Daten verbunden sind. Allerdings legt die DSGVO fest, dass nicht nur das verantwortliche Unternehmen die TOM dokumentieren muss, sondern auch die jeweiligen Auftragsverarbeiter. „Auftraggeber sollten sich die Dokumentation der TOM aushändigen lassen, diese prüfen und ablegen, da sie in der Pflicht stehen, ihre Auftragsverarbeiter zu kontrollieren und im Schadensfall sogar für diese einzustehen“, erklärt Hösel. Auch diese Prüfung übernehmen externe Datenschutzexperten. Sowohl das verantwortliche Unternehmen als auch die Auftragsverarbeiter müssen zudem sicherstellen, dass die ihnen unterstellten Personen, die einen Zugang zu personenbezogenen Daten haben, diese auch nur auf Anweisung des Verantwortlichen verarbeiten.
www.hubit.de