Datenschutzrecht
Organisation (TOM)
Die Organisation technischer und organisatorischer Maßnahmen (TOM) ist ein zentraler Bestandteil des Datenschutzes und dient dem Schutz personenbezogener Daten. Sie ist erforderlich, um den Anforderungen der DSGVO gerecht zu werden und sicherzustellen, dass personenbezogene Daten vor unbefugtem Zugriff und Missbrauch geschützt sind.
Spezialwissen, das im Detail entscheidet.
IT-Sicherheitsarchitektur, Datensicherheit und Resilienz: Rechtssichere Skalierung und strategische Steuerung durch ausgewiesene Experten für IT-Recht
Technische und organisatorische Maßnahmen, kurz TOM, sind ein zentraler Bestandteil der Datenschutzorganisation. Sie dienen dazu, personenbezogene Daten vor unbefugtem Zugriff, Verlust, Veränderung, Offenlegung oder sonstiger unrechtmäßiger Verarbeitung zu schützen. Nach der DSGVO müssen Unternehmen ein dem Risiko angemessenes Schutzniveau sicherstellen. Wir beraten Unternehmen bei der rechtlichen Bewertung, Auswahl und Dokumentation geeigneter TOM. Dabei achten wir darauf, dass Datenschutz, IT-Sicherheit und betriebliche Abläufe sinnvoll zusammengeführt werden. Ziel ist eine praxistaugliche Sicherheitsorganisation, die rechtliche Anforderungen erfüllt und im Unternehmensalltag funktioniert.
Leistungen im Überblick
Was wir konkret für Sie tun.
Technische Kontrollregime, Krypto-Konzepte & Zugriffsschutz
- Prüfung & Zertifizierung von TOM: Strategische Prüfung bestehender TOM-Konzepte auf lückenlose Vollständigkeit, Angemessenheit und DSGVO-Konformität sowie Erstellung von Dokumentationen nach Art. 32 DSGVO.
- Zutritts-, Zugangs- & Zugriffskontrollen: Fachanwaltliche Beratung zur rechtssicheren Ausgestaltung von physischen Zutrittskontrollen, logischen Zugangskontrollen und granularen, nachvollziehbaren Weitergabekontrollen.
- Berechtigungs- & Rollenkonzepte: Rechtliche Prüfung von komplexen Berechtigungs-, Rollen- und administrativen Zugriffskonzepten zur Durchsetzung des Need-to-know-Prinzips im Unternehmen.
- Identitätsmanagement & Authentifizierung: Beratung zu DSGVO-konformen Passwortvorgaben, Multi-Faktor-Authentifizierung (MFA), Single Sign-On (SSO) und der rechtssicheren, zentralisierten Benutzerverwaltung.
- Kryptografie & Datentrennung: Beratung zu Verschlüsselungsverfahren (at rest und in transit), systemischen Pseudonymisierungs- und unwiderruflichen Anonymisierungstechniken für personenbezogene Daten.
- Protokollierung & IT-Monitoring: Rechtliche Prüfung von systemseitigen Protokollierungs-, automatisierungsgestützten Monitoring- und kontinuierlichen Kontrollmaßnahmen zur Erkennung unbefugter Zugriffe.
System-Infrastruktur, Cloud-Sicherheit & Business Continuity
- Resilienz & Belastbarkeit von IT-Systemen: Umfassende Beratung zu datenschutzrechtlichen Anforderungen an die Verfügbarkeit, systemische Belastbarkeit und langfristige Resilienz geschäftskritischer IT-Infrastrukturen.
- Business-Continuity- & Backup-Konzepte: Rechtliche Prüfung von Backup-Strategien, Disaster-Recovery-Plänen, Wiederherstellungs-Prozessen und dokumentierten Notfallkonzepten.
- Sichere Cloud- & SaaS-Nutzung: Beratung zur rechtssicheren Einbindung und Nutzung von externen Cloud-Diensten, SaaS-Lösungen und internationalen IT-Dienstleistern unter Sicherheitsaspekten.
- Vendor-TOM-Audits: Tiefgehende Prüfung und rechtliche Bewertung der technischen und organisatorischen Sicherheitsmaßnahmen von externen Auftragsverarbeitern und Tech-Providern.
- Gestaltung von Vertrags-TOM-Anlagen: Rechtssichere Formulierung und taktische Verhandlung von spezifischen, einklagbaren TOM-Anlagen im Rahmen von Auftragsverarbeitungsverträgen (AVV).
- Daten-Lifecycle-Organisation: Unterstützung bei der operativen und rechtssicheren Organisation von automatisierten Lösch-, Sperr- und revisionssicheren Archivierungsprozessen im System-Lifecycle.
Privacy by Design, Incident-Response & Human Compliance
- Privacy by Design & by Default: Strategische Unterstützung bei der Einführung und Umsetzung von Prozessen zur datenschutzfreundlichen Technikgestaltung und datenschutzfreundlichen Voreinstellungen.
- Ganzheitliche Datenkreis-Sicherheit: Beratung zur durchgängig sicheren, isolierten Verarbeitung von Beschäftigten-, Kunden-, Bewerber- und sensiblen Geschäftspartnerdaten im operativen Betrieb.
- Incident-Response- & Eskalationsprozesse: Rechtliche Prüfung, Aufbau und Simulation von Melde-, Dokumentations- und Eskalationsprozessen bei akuten IT-Sicherheitsvorfällen und Datenpannen.
- Interne Governance & Richtlinien: Aufbau und Verankerung von organisatorischen Zuständigkeiten im Datenschutzmanagement sowie die Erstellung interner IT-Richtlinien und Arbeitsanweisungen.
- Human-Risk-Compliance: Beratung zur strategischen Sensibilisierung, Verpflichtung auf das Datengeheimnis und Durchführung nachweisbarer Schulungsmaßnahmen von Mitarbeitern im Umgang mit Systemen.
- Wirksamkeitskontrollen & Auditierung: Unterstützung bei der rechtssicheren Dokumentation regelmäßiger, gesetzlich vorgeschriebener TOM-Prüfungen, Audits und kontinuierlicher technologischer Wirksamkeitskontrollen.
„Technische Maßnahmen allein reichen nicht. Erst wenn Organisation, Verantwortlichkeit und Dokumentation zusammenwirken, entsteht ein Schutzniveau, das vor Behörden und vor Gericht besteht."
Rechtsanwalt · Fachanwalt für IT-Recht
Schwerpunkte
Vertieft. Geordnet. Durchdacht.
Häufige Fragen
Antworten, bevor Sie fragen.
Ihre Ansprechpartner
Persönliche Mandatsführung.
Ihr Ansprechpartner
Hendrik Schade
Geschäftsführer
Rechtsanwalt
Gründer und Geschäftsführer von @legal. Fachanwalt für Handels- und Gesellschaftsrecht sowie für Informationstechnologierecht.
Aktuelle Beiträge & Insights
Aktuelle Beiträge & Insights zum Thema.
Weitere Schwerpunkte im Datenschutzrecht