Um personenbezogene Daten zu schützen, sollen Verantwortliche und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen“ (TOMs) treffen. Doch was genau sind eigentlich TOMs? Und welche machen Sinn?
TOMs in der DSGVO
In der DSGVO ist an vielen Stellen von „technischen und organisatorischen Maßnahmen“ die Rede. Was genau darunter zu verstehen ist, ist in den Erwägungsgründen zur DSGVO beschrieben. Gemeint sind alle Maßnahmen, die zum Schutz personenbezogener Daten beitragen und die insbesondere den Grundsätzen „data protection by design“ und „data protection by default“ (Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen) folgen sollen. Diese können beispielsweise darin bestehen, dass weniger Daten erfasst werden, dass die Daten schnellstmöglich pseudonymisiert werden oder mehr Transparenz und Überwachungsmöglichkeiten für die Betroffenen geschaffen werden. Es zählen jedoch auch Maßnahmen zu den TOMs, welche den Zugriff von außen verhindern sollen.
Konkrete Umsetzung – Bestandsaufnahme
Diese Beschreibungen sind eher theoretisch. Unternehmen müssen jedoch konkrete Maßnahmen treffen, die sich vor Ort umsetzen lassen und sinnvoll sind. Für den Anfang hilft eine Bestandsaufnahme: Schließlich lässt kein Unternehmer die Daten seiner Kunden einfach offen herumliegen. Dokumente werden in Ordnern und Schränken verstaut, Computer sind meist passwortgeschützt und Bürotüren abschließbar. Diese Maßnahmen stellen noch kein besonderes Datenschutzniveau sicher, sind jedoch ein Anfang und zählen auch zu den TOMs.
Konkrete Umsetzung – Ziele
Wenn der Status Quo ermittelt wurde, sollte ein Blick ins Verarbeitungsverzeichnis geworfen werden. Wichtig ist, dieses stets aktuell und vollständig zu halten, um es als Arbeitsgrundlage nutzen zu können. Für jede Verarbeitungstätig sollte geprüft werden, durch welche Maßnahmen die betroffenen Daten geschützt werden. So kann festgestellt werden, wo noch Nachbesserungsbedarf besteht. Gerade, wenn es um besonders sensible oder besonders große Mengen von personenbezogenen Daten geht oder auch um besondere Risiken bei der Verarbeitung, z.B. durch neue Technologien, müssen entsprechende Schutzmaßnahmen getroffen werden. Welche konkreten Maßnahmen angemessen sind, hängen dabei ganz vom Einzelfall ab. Die möglichen Risiken für die Betroffenen sollen dabei so weit wie möglich verringert werden.
Fazit
Geeignete TOMs festzulegen, ist nicht immer ganz einfach. Wer sich jedoch einen Überblick verschafft, was im Unternehmen bereits umgesetzt wurde und wo noch Nachbesserungsbedarf besteht und diesen dann aktiv angeht, hat bereits eine solide Grundlage für den Datenschutz durch TOMs in seinem Unternehmen geschaffen.