Technische und organisatorische Maßnahmen (kurz TOM genannt) sind Maßnahmen, welche durch Art. 25 und Art. 32 der Datenschutz-Grundverordnung vorgeschrieben sind und die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen. Dabei beschreiben die TOM eine Vielzahl bestimmter Instrumente und Vorkehrungen, welche eine datenschutzkonforme Verarbeitung sicherstellen sollen. Eine entsprechende Dokumentation nach Art. 25 i.V.m. Art. 32 DSGVO ist an dieser Stelle von wesentlicher Bedeutung.
Was sind technische Maßnahmen?
Technische Maßnahmen beziehen sich in der Regel auf verschiedene Hard- und Software sowie Netzwerk-Komponenten, welche für die Verarbeitung von personenbezogenen Daten verwendet werden. Dabei sorgen die implementierten technischen Maßnahmen für die Sicherheit der eingesetzten Systeme. Zu diesen Maßnahmen zählt regelmäßig der Einsatz von Firewalls. Weiterhin können spezielle Vorgaben für die Erstellung von Passwörtern sowie Protokollen einen wichtigen Beitrag leisten. Die Verschlüsselung personenbezogener Daten ist ebenfalls eine häufig verwendete technische Maßnahme. Im weiteren Sinne zählen auch Maßnahmen zur Sicherung der Datenverarbeitungsanlagen zu den TOM. Dies kann eine Erhöhung der Gebäudesicherheit durch Alarmanlagen oder die Anbringung von Türsicherungen sein.
Die technischen Maßnahmen eines Unternehmens sind nach einer entsprechenden Risikoanalyse zu definieren. Hierbei werden die Risiken im Hinblick auf sämtliche gespeicherte und verarbeitete personenbezogene Daten analysiert und Maßnahmen getroffen. Neben einem Benutzermanagement, einem Berechtigungskonzept und Mobile Security können auch die 2-Faktor-Authentifizierung, Monitoring, ein einfaches Log-Konzept sowie viele weitere Lösungen technische Maßnahmen im Sinne der DSGVO sein.
Wie setzt man technische Maßnahmen DSGVO-konform um?
Bei der konkreten Definition der technischen Maßnahmen sind die Ausführungen der DSGVO vergleichsweise zurückhaltend. Für Unternehmen lohnt sich daher ein Blick in § 9 a.F. des Bundesdatenschutzgesetzes. Im Hinblick auf die Umsetzung von TOM werden die Bereiche der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle sowie Verfügbarkeitskontrolle und das Trennungsgebot genannt. In diesen Bereichen können spezielle technische Maßnahmen implementiert werden, welche die datenschutzkonforme Verarbeitung personenbezogener Daten sicherstellen.