DSGVO: Praxistipps zu den TOMs
Was lernen wir aus den bisherigen Strafen der Datenschutzbehörden?
Heute bringen wir im 7. Teil unserer Auffrischungs-Serie zur DSGVO einige Tipps zum Thema TOMs, den technischen und organisatorischen Maßnahmen, die Sie setzen müssen, um die Sicherheit von Systemen und Daten zu erreichen (u.a. Zutritts-, Zugangs- und Zugriffskontrolle, aber auch Data breach und Sicherungskonzept).
Die bisherigen Teile zum Nachlesen:
Teil 6: DSGVO-Megastrafen. Was verurteilten Europäische Datenbehörden? Hier klicken…
Teil 5: Aktuelle Trojaner-Warnung. Erinnerung an TOMs & Sicherungskonzept. Hier klicken…
Teil 4: DSGVO-Tipp: Warnung vor Identitätsdiebstahl. Vorsicht bei Ausweiskopien (eigene, Kunden). Hier klicken…
Teil 3: DSGVO-Verfahren gegen Post. Eigenes Verfahrensverzeichnis prüfen. Folgenabschätzung nötig? Hier klicken…
Teil 2: Worüber beschwerten sich Kunden bei Behörde? Muster-Urteil zur Speicherdauer. Hier klicken…
Teil 1: Monster-Strafen europaweit verhängt. Wegen welcher Verfehlungen? Hier klicken…
DSGVO-Umsetzungs-Tipps zu den TOMs
Wie schon im vorletzten Newsletter angekündigt, hat die portugiesische Datenschutzbehörde über ein Spital eine der höchsten bisher ausgesprochenen DSGVO-Strafen verhängt. Konkret musste das Unternehmen 400.000 Euro bezahlen. Die Strafe war nur deshalb „so“ gering, weil man sich kooperativ gegenüber der Behörde zeigte und aktiv an der Behebung der Mängel mitgearbeitet wurde. Diese Strafe musste tatsächlich bezahlt werden. Die dortigen Verfehlungen betrafen die TOMs, also die technischen und organisatorischen Maßnahmen, die im Zuge der DSGVO-Umsetzung realisiert werden mussten.
Diese Mega-Strafe sollte Motivation genug sein, um sich die Anforderungen der DSGVO bezüglich der TOMs in Erinnerung zu rufen. Und zu checken, ob man nun – also rund ein Jahr nach Start der DSGVO – hier nicht nachbessern sollte.
In vielen Unternehmen wird auf die TOMs vergessen oder man beschäftigte sich kurz und oftmals halbherzig mit dem Thema, in dem man glaubte, man lädt sich das Standard-Formular dazu herunter – dieses können Sie auf der IVVA-Homepage herunter laden – und vergisst jedoch, dass dieser Text dann individuell gestaltet werden muss. D.h. die Textbausteine des TOM-Dokuments sind auf das Unternehmen anzupassen. Es gilt genau zu beschreiben, welche „technischen und organisatorischen Maßnahmen“ – das versteckt sich unter dem Begriff „TOM“ – man im eigenen Haus erarbeitet und umgesetzt hat.
Tipp: Dieses „TOM-Dokument“ sollte man nun, ein Jahr nach dem Ablauf der Schonfrist der DSGVO, kontrollieren, ob es nach wie vor passt (oder man neue Maßnahmen eingeführt hat) bzw. prüfen, ob die damals beschlossenen Maßnahmen auch wirklich befolgt werden.
Klar ist: Die TOMs scheinen in der Praxis für viele Unternehmen schwierig umzusetzen, weil es sich dabei oftmals um (EDV-)technische Anforderungen und Maßnahmen zur EDV-/IT-Sicherheit handelt, die besonders bei Klein- und Mittelbetrieben zu großen Schwierigkeiten führen. Daher wollen wir das Thema nun näher beleuchten und Ihnen Hinweise und Tipps für die tägliche Praxis dazu geben.
[Inhalt ist gesperrt]
Entschuldigung, der komplette Inhalt ist nur für Mitglieder sichtbar!
LOGIN FÜR MITGLIEDER – BITTE HIER KLICKEN >>