Lernmodul 4 von 6
4. Technische und organisatorische Maßnahmen (TOMs)
Die Datenschutz-Grundverordnung (DSGVO) verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter gemäß Artikel 32 DSGVO dazu, geeignete technische und organisatorische Maßnahmen – sogenannte TOMs – zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten. Ziel dieser Maßnahmen ist es, ein dem Risiko angemessenes Schutzniveau zu schaffen, das sicherstellt, dass personenbezogene Daten vor unbefugtem Zugriff, Verlust, unzulässiger Veränderung oder unbeabsichtigter Zerstörung geschützt sind. Dabei geht es nicht um absolute Sicherheit, sondern um ein ausgewogenes Verhältnis zwischen dem Schutzniveau und dem Risiko für die Rechte und Freiheiten der betroffenen Personen.
Die Auswahl dieser Maßnahmen hat stets unter Berücksichtigung verschiedener Faktoren zu erfolgen. Dazu gehören der Stand der Technik, die mit der Implementierung verbundenen Kosten, die Art und der Umfang der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und die potenzielle Schwere möglicher Risiken. Je sensibler die verarbeiteten Daten sind oder je größer der Kreis betroffener Personen ist, desto höher ist auch das erforderliche Schutzniveau. So bedarf etwa die Verarbeitung von Gesundheitsdaten oder Daten über politische Überzeugungen eines deutlich strengeren Schutzes als die Verarbeitung einfacher Kontaktdaten.
Technische Maßnahmen betreffen vor allem die eingesetzte IT-Infrastruktur und sollen die Systeme gegen äußere Angriffe oder interne Fehlbedienungen absichern. Dazu gehören beispielsweise die Verschlüsselung personenbezogener Daten sowohl bei der Übertragung als auch bei der Speicherung, der Einsatz moderner Firewall- und Antivirenlösungen, regelmäßige Sicherheitsupdates, die Einführung mehrstufiger Authentifizierungsverfahren oder auch die Implementierung zuverlässiger Backup- und Wiederherstellungssysteme, um Datenverluste im Katastrophenfall zu vermeiden.
Organisatorische Maßnahmen hingegen zielen auf innerbetriebliche Regelungen und Prozesse ab, die den sicheren Umgang mit personenbezogenen Daten gewährleisten sollen. Dazu zählen etwa verbindliche Datenschutzrichtlinien, strukturierte Zugriffsregelungen, die den Zugriff auf personenbezogene Daten nur befugten Personen ermöglichen, sowie regelmäßige Schulungen der Mitarbeitenden, um ein Bewusstsein für datenschutzrechtliche Anforderungen zu schaffen. Ebenso wichtig sind klar definierte Zuständigkeiten im Falle eines Datenschutzvorfalls, die im Rahmen eines Notfallmanagements geregelt sein sollten, sowie vertragliche Vorkehrungen bei der Zusammenarbeit mit externen Auftragsverarbeitern.
Letztlich verlangt die DSGVO, dass all diese Maßnahmen regelmäßig überprüft und bei Bedarf angepasst werden, um einem sich ständig wandelnden technischen und rechtlichen Umfeld gerecht zu werden. Nur durch die kontinuierliche Pflege und Weiterentwicklung der TOMs lässt sich langfristig ein angemessenes Schutzniveau im Sinne der Verordnung sicherstellen.