Wer für den Datenschutz im Unternehmen verantwortlich ist, muss sich auch mit den technischen und organisatorischen Maßnahmen, TOM, auseinandersetzen. Die TOM regeln eine Reihe von Maßnahmen, die die Sicherheit bei der Verarbeitung von personenbezogenen Daten gewährleisten sollen. Kommt es zu Datenverlusten und meldepflichtigen Datenverstößen, so wie aktuell bei dem Autovermieter Buchbinder, bei dem aufgrund eines riesigen Datenlecks über drei Millionen Kundendaten im Internet gelandet sind, dann spielen die TOM eine wichtige Rolle. Sie dokumentieren, welche notwendigen Maßnahmen Sie zum Schutz der Daten Ihrer Kunden, Lieferanten, Mitarbeiter getroffen haben. Jedes Unternehmen sollte seine TOM dokumentieren und regelmäßig anpassen und nicht erst dann, wenn eine Behörde nach ihnen fragt.
Technische und organisatorische Maßnahmen
Es gibt acht Kategorien, in denen Sie technische und organisatorische Sicherheitsmaßnahmen nachweisen müssen:
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Weitergabekontrolle
- Eingabekontrolle
- Auftragskontrolle
- Verfügbarkeitskontrolle
- Trennungsgebot
Die technischen Maßnahmen regeln den Datenverarbeitungsprozess und umfassen alle physischen Maßnahmen. Dazu gehören:
- Bauliche Maßnahmen wie die bauliche Absicherung des Gebäudes durch Zäune, Alarmanlagen, Einbruchsicherungen, Bewegungsmelder, Sicherheitsschlösser, etc.
- Soft- und Hardwareangaben durch passwortgeschützte Benutzerkonten, Identifikationsprozesse z. B. durch ein biometrisches Scanverfahren, automatische Erstellung von Protokollen (sog. Logging), Firewalls, sichere VPN-Verbindungen, Anti-Viren-Software, Regelungen zur Vernichtung von Hardware und Datenträgern, etc.
Die organisatorischen Maßnahmen regeln die Handlungsanweisungen und Vorgehensweisen für die Mitarbeiter, um den Schutz der zu verarbeitenden personenbezogenen Daten zu gewährleisten. Dazu gehören z. B.:
- Vier-Augen-Prinzip für bestimmte Entscheidungen oder Abläufe
- Richtlinie für die Besucheranmeldung
- Regelung für die Nutzung von mobilen Endgeräten
- Anweisungen zur Dokumentation und Vernichtung von Daten
- Verpflichtung auf das Datengeheimnis
Verhältnismäßigkeit
Für den Schutz der Daten gilt das Prinzip der Verhältnismäßigkeit. Das heißt, die zu ergreifenden Schutzmaßnahmen müssen aus wirtschaftlicher Sicht gerechtfertigt sein. So muss ein IT-Dienstleister für ein Kreditinstitut weniger Schutzmaßnahmen vorweisen als die Bank selbst, da er nur auf einen Teilbereich der Daten zugreifen kann. Ein Handwerker, der von seinen Kunden nur Kontaktdaten besitzt, muss weniger Schutzmaßnahmen ergreifen als ein Arzt, der über umfangreiche Patientendaten mit Krankheitsverläufen verfügt. Insgesamt gilt, je sensibler die Daten sind, desto höher müssen die Schutzmaßnahmen sein.
Mit TOM Bußgelder vermeiden
Im Falle eines meldepflichtigen Datenlecks oder Datenschutzverstoßes kommt den TOM eine besondere Bedeutung zu. Können Sie mit Ihren TOM nachweisen, dass Sie alle notwendigen Schutzmaßnahmen ergriffen und ein ausreichendes Schutzniveau erreicht haben, können die TOM dazu dienen, dass Bußgelder geringer oder ganz ausfallen.
