TOM - Technisch-organisatorische Massnahmen
Gemäß Art 24 der DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO zu dokumentieren. Weiterhin soll, gem. Artikel 32 mit den TOMs die Sicherheit der Verarbeitung gewährleistet werden. Die TOMs sind im Verzeichnis der Verarbeitungtätigkeiten zu dokumentieren. Dieses Verzeichnis ist von jedem zu erstellen, der personenbezogene Daten verarbeitet.
Artikel 32 der DSGVO gibt dabei erste Anregungen, was für Maßnahmen man sich unter den technischen und organisatorischen Maßnahmen vorstellen kann. Eine gute Unterstützung bei der Entwicklung der Einzelmassnahmen bietet die Checkliste von Stephan Hansen-Oest, der auf dieser Webseite ein eigener Beitrag gewidmet ist.
Der Landesdatenschutzbeauftrage Niedersachsen (LfD) hat hierzu einen Leistungskatalog zusammengestellt, der dem ZAWAS-Prinzip folgt und einen guten Einstieg in das Thema und den Weg zu DSGVO-konformen TOM bietet. In Zweifelsfällen kann es jedoch ratsam sein, hierfür die Unterstützung eines Experten zu suchen.
ZAWAS-Prinzip
Das ZAWAS-Prinzip ist ein Prozess zur Auswahl angemessener Sicherungsmaßnahmen. Die LfD will dadurch eine Hilfestellung für Unternehmen bieten, die bei der Umsetzung der TOM Schwierigkeiten haben. Genauso gut kann der Leitfaden aber auch von Unternehmen genutzt werden, die ihre bereits etablierten TOM überprüfen wollen. Dabei sollen immer die gleichen 8 Schritte verwendet werden:
- Verarbeitungstätigkeit beschreiben
Fassen Sie zusammen, welche Zwecke mit der Verarbeitung verfolgt werden, welche Daten die Verarbeitung betrifft und beschreiben Sie den Ablauf der Verarbeitung. - Rechtliche Grundlagen prüfen
Stellen Sie sicher, dass die Verarbeitung auf einer zulässigen Rechtsgrundlage basiert und die Grundsätze der DSGVO eingehalten werden. - Strukturanalyse durchführen
Ermitteln und beschreiben Sie die zu schützenden Objekte der Verarbeitungstätigkeit. Geben Sie außerdem deren Beziehung zueinander an. Zum Beispiel die IT-Systeme, das Gebäude oder spezifische Räume. - Risiken identifizieren und Schadenswerte einschätzen
Bestimmen Sie Ereignisse, die zu einem Schaden führen können und bestimmen Sie den Schadenswert des Risikos anhand der Eintrittswahrscheinlichkeit und der Schwere des Risikos. - Maßnahmen auswählen
Suchen Sie unter Berücksichtigung der oben genannten Kriterien nach geeigneten Maßnahmen, um die identifizierten Risiken einzudämmen. Achten Sie dabei auf die bestimmten Schadenswerte und wählen Sie geeignete Maßnahmen zur Prävention aus. Sie können sich am IT-Grundschutz-Kompendium, oder an den Maßnahmen des Standard-Datenschutzmodells orientieren. - Restrisiko bewerten
Ermitteln Sie die bestehenden Restrisiken, wenn die nach Punkt 5 ausgewählten Maßnahmen implementiert wären. Sollte weiterhin ein hohes Risiko bestehen, müssen Sie neue Maßnahmen bestimmen, oder den Verarbeitungsprozess anpassen. - Maßnahmen konsolidieren
Hierbei sollen nun alle Maßnahmen als Einheit betrachtet werden. Es kann sein, dass Maßnahmen überflüssig sind, weil eine andere Maßnahme ein besseres Schutzniveau gewährleistet. Konkretisieren Sie außerdem Maßnahmen, wenn bei der Gesamtbetrachtung das Ziel der Maßnahme nicht klar ist. - Maßnahmen realisieren
Verteilen Sie Aufgaben und Verantwortlichkeiten und priorisieren Sie bei Budget- bzw. Personalknappheit Ihre Maßnahmen. Setzen Sie nun die festgelegten Maßnahmen um.
Hier anmelden und keinen Blogartikel mehr verpassen! Oder gleich Termin zum kostenlosen telefonischen Erstgespräch vereinbaren: Zur Terminvereinbarung