Logo LDI NRW

TOM

Datenschutz im KMU

TOM ist eine Abkürzung, sie steht für "technische und organisatorische Maßnahmen", die vom Unternehmen zum Schutz der verarbeiteten Daten getroffen werden.

Typische technische Maßnahmen sind zum Beispiel:

  • Verwendung einer Firewall,
  • Verwendung aktueller Anti-Viren-Software,
  • Verschlüsselung von Daten beim Datentransfer,
  • Verschlüsselung von Massenspeichern/Datenträgern,
  • regelmäßige Datensicherungen,
  • Umsetzung eines Rollen- und Berechtigungskonzepts,
  • Umsetzung eines Löschkonzepts,
  • Einsatz sicherer Authentifizierungsverfahren
  • (automatisiertes) Einspielen von Sicherheitsupdates,
  • Einbruchssicherungen wie Alarmanlagen,
  • Sicherungen von Türen und Fenstern.

Typische organisatorische Maßnahmen sind zum Beispiel:

  • Protokollierung von Besuchern,
  • Verpflichtung Beschäftigter auf das Datengeheimnis,
  • Bereitstellung von Datenschutzhinweisen,
  • Bearbeitung von Anfragen Betroffener,
  • Organisation eines Notfallmanagements für Datenpannen
  • Mitarbeiterschulungen.

Die DS-GVO sieht eine Dokumentation aller TOM vor. Die Dokumentation dient dem Nachweis, dass das Unternehmen "angemessene" Maßnahmen zum Schutz der Daten umgesetzt hat.

Digital.Sicher.NRW hat für Unternehmen aus Nordrhein-Westfalen ein Angebot für eine Erstberatung, wie der Betrieb digital sicher gemacht werden kann. 

Um zu klären, was "angemessen" ist, muss vorab eine Risikoanalyse erfolgen. Dabei hilft ein Instrument der niedersächsischen Datenschutzbehörde: der "Prozess zur Auswahl angemessener Sicherungsmaßnahmen" (ZAWAS) ist ein praktischer Leitfaden zu den nötigen TOM in acht Schritten.