Technische und organisatorische Maßnahmen

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Folgende Teile dieses Artikels scheinen seit 25. Mai 2018 nicht mehr aktuell zu sein: Das BDSG ist nicht mehr die korrekte Grundlage für TOMs, weiterhin sieht die DSGVO TOMs an mehreren Stellen vor nicht nur bzgl. Sicherheits- und Schutzanforderungen sondern bspw. auch bzgl. der Grundsätze „privacy by design“ und „privacy by default“..
Bitte hilf mit, die fehlenden Informationen zu recherchieren und einzufügen.


Technische und organisatorischen Maßnahmen (TOMs) sind die unter anderem in § 9 Satz 1 Bundesdatenschutzgesetz (BDSG) festgelegten Maßnahmen, um die entsprechenden Sicherheits- und Schutzanforderungen zu erfüllen.

Anwendungsbereich[Bearbeiten | Quelltext bearbeiten]

Nach § 9 BDSG sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus der Anlage zu § 9 Satz 1 BDSG.[1]

Die Datenschutz-Grundverordnung (DSGVO) greift den Begriff auf und verlangt in Artikel 24 Absatz 1, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen umsetzt, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß den Vorgaben der Verordnung erfolgt.

Einzelmaßnahmen[Bearbeiten | Quelltext bearbeiten]

Die technisch-organisatorischen Maßnahmen im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:

TOM Ziel Beispiele für eine TOM
Zutrittskontrolle Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Alarmanlage
Pförtner
Zugangskontrolle Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. Passwortverfahren
Verschlüsselung
Zugriffskontrolle Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. Berechtigungskonzepte
Protokollierung
Weitergabekontrolle Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Verschlüsselung
VPN
Eingabekontrolle Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. Protokollierung
Protokollauswertungssysteme
Auftragskontrolle Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. Vertragsgestaltung bei ADV
Kontrollen
Verfügbarkeitskontrolle Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Datensicherung/Backup
Firewall/Virenschutz
Trennungsgebot Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden Mandanten
Trennung der Systeme

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Anlage (zu § 9 Satz 1)
Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!