Technische und organisatorische Maßnahmen

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen


Technische und organisatorische Maßnahmen (TOM) sind die nach Art. 32 Datenschutz-Grundverordnung (DSGVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten.

Anwendungsbereich[Bearbeiten | Quelltext bearbeiten]

Nach Art. 32 DSGVO sind Verantwortliche und der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Einzelmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Die technisch-organisatorischen Maßnahmen im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:

TOM Ziel Beispiele für eine TOM
Zutrittskontrolle Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Alarmanlage
Pförtner
Zugangskontrolle Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. Passwortverfahren
Verschlüsselung
Zugriffskontrolle Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. Berechtigungskonzepte
Protokollierung
Weitergabekontrolle Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Verschlüsselung
VPN
Eingabekontrolle Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. Protokollierung
Protokollauswertungssysteme
Auftragskontrolle Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. Vertragsgestaltung bei ADV
Kontrollen
Verfügbarkeitskontrolle Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Datensicherung/Backup
Firewall/Virenschutz
Trennungsgebot Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden Mandanten
Trennung der Systeme

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]