Technische und organisatorische Maßnahmen

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Folgende Teile dieses Artikels scheinen seit 25. Mai 2018 nicht mehr aktuell zu sein: Das BDSG ist nicht mehr die korrekte Grundlage für TOMs, weiterhin sieht die DSGVO TOMs an mehreren Stellen vor nicht nur bzgl. Sicherheits- und Schutzanforderungen sondern bspw. auch bzgl. der Grundsätze „privacy by design“ und „privacy by default“.
Bitte hilf mit, die fehlenden Informationen zu recherchieren und einzufügen.


Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 Datenschutz-Grundverordnung (DSGVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Anwendungsbereich[Bearbeiten | Quelltext bearbeiten]

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Einige Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Einzelmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Die technisch-organisatorischen Maßnahmen im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:

TOM Ziel Beispiele für eine TOM
Zutrittskontrolle Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Alarmanlage
Pförtner
Zugangskontrolle Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. Passwortverfahren
Verschlüsselung
Zugriffskontrolle Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. Berechtigungskonzepte
Protokollierung
Weitergabekontrolle Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Verschlüsselung
VPN
Eingabekontrolle Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. Protokollierung
Protokollauswertungssysteme
Auftragskontrolle Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. Vertragsgestaltung bei ADV
Kontrollen
Verfügbarkeitskontrolle Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Datensicherung/Backup
Firewall/Virenschutz
Trennungsgebot Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden Mandanten
Trennung der Systeme

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]


Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!