03.06.2019

TOM-Audits: So gelingt die Umsetzung in fünf Schritten

Der Begriff TOM, kurz für Technische und Organisatorische Maßnahmen, ist für viele Unternehmen nichts Neues. Schon im alten Bundesdatenschutzgesetz (BDSG) in §9 wird von der Erforderlichkeit technischer und organisatorischer Maßnahmen bei der Verarbeitung personenbezogener Daten gesprochen.

Diese Erforderlichkeit wird seit dem 25.05.2019 in der Datenschutz-Grundverordnung (DSGVO) im Artikel 32, Sicherheit der Verarbeitung, geregelt. Auch hier werden geeignete TOM gefordert, um ein dem Risiko angemessenes Schutzniveau für die Datensicherheit zu gewährleisten. Angesichts der erhöhten Aufmerksamkeit, die das Thema Datenschutz durch das Inkrafttreten der DSGVO erhalten hat sowie des stark gestiegenen Bußgeldrahmens, hat auch das Thema TOM eine viel höhere Relevanz gewonnen als bisher. Im Rahmen einer Zertifizierung nach Artikel 42 DSGVO werden sich Unternehmen in Zukunft im Bereich der TOM ebenfalls auditieren lassen müssen.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 4 und 6?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Warum ein TOM-Audit?

Während sich viele Unternehmen dem Thema TOM im eigenen Haus mittlerweile gewidmet haben, ist vielen gar nicht bewusst, dass sie in einem Auftragsverarbeitungsverhältnis auch für die Kontrolle der TOM bei Ihren Auftragsverarbeitern zuständig sind. Der reine Abschluss eines Auftragsverarbeitungsvertrags ist hier nicht ausreichend, um die datenschutzrechtlichen Pflichten zu erfüllen. Verantwortliche müssen hingegen sicherstellen, dass sie nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichende Garantien dafür bieten, dass die Verarbeitung im Einklang mit Artikel 32 DSGVO steht.

Zur Überprüfung von TOM wählen mittlerweile viele Unternehmen das Vor-Ort-Audit als Mittel der Wahl. Im Gegensatz zu schriftlichen Compliance-Checks oder Telefonaudits kann sich der Auditor selbst beim Auditierten von dem Vorhandensein der TOM überzeugen.

In der Regel wird in Vorbereitung eines Audits eine Aufstellung der TOM erstellt, die im Anschluss vom unabhängigen internen oder externen Auditor überprüft wird.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

TOM-Audit in fünf Schritten:

Ein exemplarischer Ablauf eines Vor-Ort-Audits von der Vorbereitung und Durchführung bis zur Auswertung könnte folgendermaßen aussehen:

  • Zunächst wird die Dokumentation der zu prüfenden TOM gesichtet und auf Angemessenheit und Schlüssigkeit geprüft.
  • Daraus wird ein Fragen- und Prüfungskatalog erstellt, der zum einen eine generelle Überprüfung beinhaltet und zum anderen offene Punkte miteinschließt, die sich bei der Dokumentationsprüfung ergeben haben.
  • Bei der Vor-Ort-Prüfung findet eine Begehung der relevanten Räumlichkeiten statt, wobei die angegebenen technischen Maßnahmen, wie z. B. die Zutrittskontrolle oder die Sicherheit der Serverräume, mit der übermittelten Dokumentation abgeglichen und auf Eignung überprüft werden.
  • Dann werden Richtlinien und Auftragsverarbeitungsverträge geprüft und Mitarbeiter befragt. Zum Abschluss werden in einem gemeinsamen Gespräch noch offene Punkte geklärt.
  • Im Anschluss fertigt der Auditor einen Bericht an, der eine Zusammenfassung der Durchführung des Audits, sowie unter Umständen aufgetretene Mängel und empfohlene Maßnahmen zur Verbesserung enthält.

Unsere Empfehlung

Ein externes Audit der TOM bedeutet für Mitarbeiter und Unternehmen meist auch eine psychologische Belastung. Deshalb empfehlen wir, dass sich Unternehmen dem Thema frühzeitig widmen und sich im Bedarfsfall externe Beratung dazu zu holen.

Für die proaktive Durchführung von Audits der TOM im eigenen Unternehmen sprechen außerdem folgende Dinge:

  • Erfüllung der Rechenschaftspflicht der DSGVO (Art. 5 (2) DSGVO)
  • Verfügbarkeit eines Auditberichts zum Nachweis für Kunden
  • Erfassung des Ist-Zustands im eigenen Unternehmen
  • Anhebung des Datenschutz- und IT-Security-Niveaus

Die ISiCO Datenschutz GmbH bietet dabei folgende Leistungen an:

  • Analyse des IST-Zustandes bei den TOM
  • Überprüfung bereits implementierter TOM
  • Vorbereitung auf Audits
  • Coaching der Mitarbeiter
  • Durchführung von Audits
  • Im Unternehmen beim Verantwortlichen selbst
  • Bei Auftragsverarbeitern
  • Dokumentation aller relevanten Maßnahmen
  • Unterstützung bei der Identifikation besonders risikoreicher Verarbeitungstätigkeiten
  • Zertifikat zur Vorlage beim Verantwortlichen

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …