Technisch Organisatorische Maßnahmen (TOMs)

Regelungen und Vorgehensweisen für eine möglichst sichere Datenverarbeitung

Zum Schutz der personenbezogenen Daten vor missbräuchlicher Nutzung und Verlust schreibt der Gesetzgeber vor, dass vom Verantwortlichen technische und organisatorische Maßnahmen zu ergreifen sind, um die Eintrittswahrscheinlichkeit eines solchen Vorfalls zu minimieren.

Zu den technischen Maßnahmen zählen beispielsweise:

  • Verschlüsselung aller Datenbestände
  • Verschlüsselte E-Mail-Kommunikation und verschlüsselter Datentransfer
  • Dediziertes Rechtmanagement
  • Segmentierung von Netzwerken
  • Strukturierte Backupstrategie
  • Virenschutzstrategie
  • Monitoring der IT-Infrastruktur und regelmäßige Auswertung von Logfiles
  • Vorhalten von Ersatzsystemen
  • Softwareprodukte zur Sicherstellung der Datenintegrität
  • Durchführung von Penetrationstests
  • Anschaffung datenschutzkonformer Software
  • Anpassung bestehender Software an die datenschutzrechtlichen Vorgaben
  • Brandschutz und Zutrittssicherung

Neben den technischen Maßnahmen fordert der Datenschutz auch viele organisatorische Maßnahmen zum Schutz der Daten. Beispiele hierfür sind:

  • Datenschutzrichtlinie
    Festlegung, wie sich Mitarbeiter und die juristische Person als ganzes Unternehmen sich datenschutzkonform zu verhalten haben
  • IT-Sicherheitsrichtlinie
    Planung und Durchführungsanweisungen zur Entwicklung und Ausgestaltung der IT/TK-Infrastruktur
  • Geheimhaltungsverpflichtung der Mitarbeiter
    Alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind schriftlich auf das Datengeheimnis zu verpflichten
  • Schulung und Sensibilisierung
    Die Mitarbeiter müssen regelmäßig im Umgang mit personenbezogenen Daten und der Anwendung der relevanten Datenschutzgesetzgebung geschult werden. Zudem sollten situationsbezogen Sensibilisierungen am Arbeitsplatz durch den Vorgesetzten stattfinden
  • Schaffung eines Datenschutzgerechten Arbeitsumfelds
    Um datenschutzkonform arbeiten zu können, ist es erforderlich, den Arbeitsplatz der Mitarbeiter und das Arbeitsumfeld datenschutzgerecht zu gestalten
  • Regelmäßige Kontrolle
    Im Datenschutz wird eine regelmäßige Kontrolle der Einhaltung aller Vorgaben verlangt und sollte auch im eigenen Interesse durchgeführt und dokumentiert werden
  • Einweisung Führungskräfte
    Da alle Führungskräfte für die Einhaltung des Datenschutzes in ihrem Bereich haften und dies sogar oftmals mit ihrem Privatvermögen, sollten sie regelmäßig mit ihren Pflichten vertraut gemacht werden