aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas

Technische und organisatorische Maßnahmen (TOM): Mehr als nur eine Datenschutzanforderung

/von

Die “technischen und organisatorischen Maßnahmen (TOM)“ werden häufig ausschließlich als eine Anforderung des Datenschutzes gesehen, da es sich um eine Forderung aus Art. 24 Abs. 1 DSGVO gegenüber den Verantwortlichen handelt, geeignete TOM umzusetzen. Auch Art. 32 Abs. 1 DSGVO fordert die Umsetzung solcher Maßnahmen, und dies nicht nur von den Verantwortlichen, sondern auch von den Auftragsverarbeitern. Aber ist das wirklich die einzige Funktion der TOM, sozusagen den Datenschutz „glücklich zu machen“? Sind TOM nicht die wesentliche Komponente für die Informationssicherheit, unabhängig davon, ob es sich bei der Verarbeitung um personenbezogen Daten handelt oder nicht? Werfen wir einen Blick darauf.

Was man unter TOM versteht

Technische und organisatorische Maßnahmen (TOM) sind wesentliche Instrumente im Bereich der Datensicherheit und des Datenschutzes (siehe auch Art. 32 DSGVO). Technische Maßnahmen umfassen dabei alle technischen Lösungen, die dazu dienen, Daten zum Beispiel vor unberechtigtem Zugriff, Manipulation oder Verlust zu schützen. Dies kann den Einsatz von Verschlüsselungstechnologien, Firewalls, die Einrichtung von Backup-Systemen aber auch die Gebäudesicherheit, bis hin zu Türschlössern, umfassen.

Auf der anderen Seite stehen organisatorische Maßnahmen, die sich mit den Prozessen, Richtlinien und Verfahren befassen, die innerhalb eines Unternehmens etabliert werden, um einen sicheren Umgang mit Daten zu gewährleisten. Dazu gehören beispielsweise die Schulung von Beschäftigten im Umgang mit Daten, die Erstellung von Sicherheitsrichtlinien, ein Berechtigungsmanagement oder die Durchführung regelmäßiger Audits.

Die beiden Arten von TOM sind eng miteinander verbunden und bilden zusammen ein robustes Sicherheitsnetz, das nicht nur personenbezogene Daten, sondern alle Informationen eines Unternehmens schützt.

TOM sind mehr als nur Maßnahmen für den Datenschutz

In der heutigen digitalen Landschaft, in der Daten eine immer wichtigere Rolle spielen, bilden die TOM das Rückgrat einer jeden Datenverarbeitung und sind unerlässlich für die Sicherheit, Verfügbarkeit und Integrität aller Arten von Daten. Sie ermöglichen es Unternehmen ihre Geschäftsziele effektiv und sicher zu erreichen.

Hier einige Gründe, warum TOM weit über den Datenschutz hinausgehen und auch als IT-Thema betrachtet werden müssen:

  • Schutz vor Datenverlust: TOM helfen nicht nur, personenbezogene Daten vor unbefugtem Zugriff zu schützen, sondern schützen auch vor generellem Datenverlust. Dieser Verlust kann durch technisches oder menschliches Versagen oder externe Bedrohungen wie Cyber-Angriffe erfolgen. Durch den Einsatz von Backup-Systemen, Redundanzmechanismen und Verschlüsselungstechnologien können Datenintegrität und -verfügbarkeit aller Daten sichergestellt werden.
  • Gewährleistung der Datenqualität: Auch wenn Daten nicht personenbezogen sind, ist ihre Qualität und Genauigkeit für Geschäftsprozesse und die Entscheidungsfindung von entscheidender Bedeutung. TOM wie Datenvalidierungsroutinen und Zugriffskontrollen tragen dazu bei, dass Daten konsistent, vollständig und korrekt sind.
  • Compliance und Risikomanagement: Viele Branchen unterliegen spezifischen gesetzlichen Anforderungen und Standards bezüglich Datensicherheit und Datenschutz. Denken wir beispielsweise nur an NIS-2 oder DORA. TOM sind unerlässlich, um diese Compliance-Anforderungen für sämtliche im Unternehmen vorhandene Daten zu erfüllen und das Risiko von Datenschutzverletzungen und rechtlichen Konsequenzen zu minimieren.
  • Vertrauen und Reputation: Ein Unternehmen, das effektive TOM implementiert hat, signalisiert ihren Geschäftspartnern, dass es die Datensicherheit ernst nimmt. Dies kann zu mehr Vertrauen und einer positiven Reputation führen, was wiederum das Geschäftswachstum fördert.
  • Innovation und Wettbewerbsfähigkeit: Durch den Schutz aller Daten können Unternehmen ein Umfeld schaffen, das Innovationen fördert, ohne die Sicherheit zu gefährden. Dadurch können sie sich flexibel an veränderte Marktbedingungen anpassen und ihre Wettbewerbsfähigkeit steigern.

Welche Daten nicht dem Datenschutz unterfallen würden

Würden wir annehmen, TOM würden ausschließlich zu Datenschutzzwecken umgesetzt, wären beispielsweise folgende Daten nicht schützenswert und es wäre nicht notwendig, Maßnahmen zur Sicherung dieser Daten zu ergreifen, obwohl sie für Unternehmen von immenser Bedeutung sein können:

  • Geschäftsgeheimnisse: Informationen über Produkte, Produktionsprozesse, Konstruktionen, Kundenlisten oder Marketingstrategien sind für Unternehmen von unschätzbarem Wert.
  • Forschungsdaten: In wissenschaftlichen oder akademischen Umgebungen können Forschungsdaten zu neuen Entdeckungen, Technologien oder Erkenntnissen führen. Diese Daten müssen geschützt werden, um die Integrität der Forschung zu gewährleisten und Wettbewerbsvorteile zu sichern.
  • Finanzdaten: Finanzdaten wie Bilanzen, Gewinn- und Verlustrechnungen, Budgets und Investitionspläne sind für Unternehmen von kritischer Bedeutung. Sie enthalten sensible Informationen über die finanzielle Gesundheit und Performance eines Unternehmens.
  • Betriebsdaten: Informationen über interne Abläufe und Lieferketten sind für Unternehmen von strategischer Bedeutung. Der Schutz dieser Daten ist entscheidend, um die Effizienz und Wettbewerbsfähigkeit eines Unternehmens zu erhalten.
  • Geistiges Eigentum: Dazu gehören Patente, Urheberrechte, Marken und Designs, die das Ergebnis kreativer oder intellektueller Arbeit sind. Der Schutz des geistigen Eigentums ist entscheidend für den langfristigen Erfolg und die Innovationskraft eines Unternehmens.

Diese (sicher nicht vollständigen) Beispiele verdeutlichen, dass nicht alle schützenswerten Daten personenbezogen sind. Vielmehr gibt es eine Vielzahl von nicht personenbezogenen Informationen, die für Unternehmen von großem Wert sind und daher vor unbefugtem Zugriff oder Missbrauch geschützt werden müssen.

Wie man geeignete TOM auswählen kann

Wir haben in unserem Blogbeitrag Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) ausgeführt, wie ein Prozess aussehen kann, um geeignete TOM zu definieren. Bei ZAWAS handelt es sich um einen Prozess, der vom Landesbeauftragten für Datenschutz Niedersachsen (LfDI) empfohlen wird.

Fazit

Insgesamt wird deutlich, dass technische und organisatorische Maßnahmen weit über den Schutz personenbezogener Daten hinausgehen. Sie sind auch integraler Bestandteil einer umfassenden IT-Sicherheit, die die Integrität, Vertraulichkeit und Verfügbarkeit von Daten aller Art gewährleistet.

Angemessen umgesetzte TOM, verbessern nicht nur das Datenschutzniveau, sie bilden auch die Grundlage für eine sichere und vertrauenswürdige Dateninfrastruktur aller Daten, die in der heutigen digitalen Welt unerlässlich ist.


Diesen Beitrag teilen