Technisch-organisatorische Maßnahmen
Auch: TOM · Art. 32 DSGVO · Technische und organisatorische Maßnahmen
Technisch-organisatorische Maßnahmen (TOM) sind die konkreten Sicherheitsvorkehrungen – technischer wie organisatorischer Art –, mit denen ein Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten vor Verlust, unbefugtem Zugriff oder Missbrauch schützt. Sie sind ein zentraler Baustein der DSGVO-Compliance und müssen dem jeweiligen Risiko der Verarbeitung angemessen sein.
Ausführliche Erklärung
Für ein Maklerbüro sind TOM keine abstrakte Rechtspflicht, sondern die praktische Basis jeder Datenschutzorganisation – sie werden im Auftragsverarbeitungsvertrag dokumentiert und bei Aufsichtsbehörden-Anfragen als Erstes abgefragt.
Klassische Kategorien (angelehnt an die historische "Acht-Kontrollen"-Systematik der Anlage zu § 9 BDSG a. F., die als Praxisorientierung unter Art. 32 DSGVO fortlebt; das inhaltlich vergleichbare § 64 BDSG gilt dagegen nur für Polizei- und Justizbehörden im Anwendungsbereich der JI-Richtlinie, nicht für Maklerbüros):
- Zutrittskontrolle: Wer darf physisch in Büroräume/Serverräume (Schließsysteme, Alarmanlage, Besucherregelung)?
- Zugangskontrolle: Schutz der IT-Systeme vor unbefugter Nutzung (Passwortrichtlinien, Zwei-Faktor-Authentifizierung, Bildschirmsperre).
- Zugriffskontrolle: Berechtigungskonzepte, die sicherstellen, dass Mitarbeiter nur auf die Daten zugreifen können, die sie für ihre Aufgabe benötigen (Rollenmodelle im CRM).
- Weitergabekontrolle: Schutz bei Übertragung/Transport von Daten (Verschlüsselung von E-Mails und Datenträgern, sichere Übertragungswege).
- Eingabekontrolle: Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat (Logging).
- Auftragskontrolle: Sicherstellung, dass Auftragsverarbeiter nur weisungsgemäß handeln.
- Verfügbarkeitskontrolle: Schutz vor Verlust durch Backups, unterbrechungsfreie Stromversorgung, Notfallpläne.
- Trennungsgebot: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden (z. B. eigene Datenbank für Bewerber vs. Kaufinteressenten).
Praxisrelevanz für Makler: Da Maklerbüros meist keine eigene IT-Abteilung haben, werden TOM oft über Cloud-Dienste "eingekauft" (z. B. verschlüsselte CRM-Systeme, Zwei-Faktor-Login). Wichtig ist trotzdem ein Mindestmaß an eigener Organisation: Passwortrichtlinie, abschließbare Aktenschränke für Papierunterlagen (Ausweiskopien, Bonitätsauskünfte), Regelung des Homeoffice-Zugriffs und ein dokumentiertes Berechtigungskonzept. Die TOM müssen schriftlich dokumentiert und regelmäßig überprüft werden – sie sind fester Bestandteil des Auftragsverarbeitungsvertrags und werden bei einer Datenschutz-Folgenabschätzung explizit bewertet.
Beispiel aus der Praxis
Ein Maklerbüro dokumentiert in seiner Datenschutzorganisation, dass Interessentendaten nur über ein passwortgeschütztes CRM mit Zwei-Faktor-Authentifizierung zugänglich sind, Papierunterlagen mit Ausweiskopien in einem abschließbaren Schrank aufbewahrt werden und tägliche Backups auf einem verschlüsselten Server erfolgen. Diese Maßnahmen werden als TOM im Anhang zum Auftragsverarbeitungsvertrag mit dem CRM-Anbieter aufgeführt.
Rechtsgrundlage
- Art. 32 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen nach Stand der Technik, Implementierungskosten und Risiko der Verarbeitung.
- Art. 28 Abs. 3 lit. c DSGVO – TOM als verpflichtender Bestandteil des Auftragsverarbeitungsvertrags.