Home / / Technische und organisatorische Maßnahmen (TOM) i.S.d. DSG-VO

Technische und organisatorische Maßnahmen (TOM) i.S.d. DSG-VO

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, treffen der Verantwortliche und der Auftragsverarbeiter folgende geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 

1. Vertraulichkeit

1.1. Zutrittskontrolle

Maßnahmen um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. 

Technische Maßnahmen:

  • Manuelles Schließsystem mit Sicherheitsschlösser
  • Zutrittsberechtigter Personen mit Schlüsselregelung 

Organisatorische Maßnahmen:

  • Besucher immer in Begleitung durch Mitarbeiter 

1.2. Zugangskontrolle

Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: 

Technische Maßnahmen:

  • Login mit Benutzername + Passwort 
  • ”Anti- Viren”-Software Server / Client
  • Firewall
  • Automatische Desktopsperre

Organisatorische Maßnahmen

  • Richtlinie “Löschen / Vernichten” und “Clean Desk“ Policy
  • Passwortrichtlinie 

1.3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass ausschließlich Berechtigte auf Daten des Auftraggebers beim Auftragnehmer zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

Technische Maßnahmen:

  • Akten Schredder Stufe 5
  • Physische Löschung der Datenträgern

Organisatorische Maßnahmen

  • Minimale Anzahl an Administratoren

1.4. Trennungskontrolle

Maßnahmen damit zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Technische Maßnahmen:

  • Trennung von Produktiv-, Qualitätssicherung- und Testumgebung
  • Mandantenfähigkeit relevanter Anwendungen

Organisatorische Maßnahmen

  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten
  • Datensätze mit Zweckattributen 

1.5. Pseudonymisierung 

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht einer spezifischen betroffenen Person zugeordnet werden kann.

 

2. Integrität 

2.1. Weitergabekontrolle

Maßnahmen, um personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden und um zu überprüfen und festzustellen, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. 

Technische Maßnahmen:

  • Verschlüsselte Übertragung (SSL/TLS)
  • Protokollierung Zugriffe und Abrufe
  • VPN
  • Verschlüsselung Datenträger

Organisatorische Maßnahmen

  • Persönliche Übergabe mit Protokoll

2.2. Eingabekontrolle

Maßnahmen, um nachträglich zu überprüfen und feststellen, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 

Technische Maßnahmen:

  • Technische Protokollierung der Eingabe, Änderung und Löschung

Organisatorische Maßnahmen:

  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Benutzernamen 
  • Berechtigungskonzept für Eingabe, Änderung und Löschung von Daten

 

3. Verfügbarkeit und Belastbarkeit 

3.1. Verfügbarkeitskontrolle

Maßnahmen, um personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 

Technische Maßnahmen:

  • Feuer- und Rauchmeldeanlagen im Serverraum
  • Serverraumüberwachung Klimatisiert, Temperatur und Feuchtigkeit
  • RAID Datenspeicherung
  • USV 

Organisatorische Maßnahmen:

  • Kontrolle des Sicherungsvorgangs
  • Dokumentation Backup & Recovery
  • Regelmäßige Tests zur Datenwiederherstellung und Protokollierung der Ergebnisse

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

4.1. Datenschutz-Management

Technische Maßnahmen:

  • Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich überprüft
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz 

Organisatorische Maßnahmen:

  • Sicherheitszertifikat ISO 27001 
  • Interner Datenschutzkoordinator 
  • Mitarbeiter geschult und auf Vertraulichkeit/ Datengeheimnis verpflichtet
  • Regelmäßige Sensibilisierung der Mitarbeiter
  • Informationspflicht nach Art. 13 und 14 DSG-VO
  • Datenschutz-Folgenabschätzung (DSFA) bei Bedarf durchgeführt

4.2. Incident-Response-Management

Technische Maßnahmen:

    • Firewall und regelmäßige Aktualisierung
    • Spamfilter und regelmäßige Aktualisierung
    • Virenscanner und regelmäßige Aktualisierung
    • Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen

Organisatorische Maßnahmen:

  • Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen

4.3. Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSG-VO);

Technische Maßnahmen:

  • Nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich
  • Einfache Ausübung des Widerrufsrechts des Betroffenen durch technische Maßnahmen 

4.4. Auftragskontrolle (Outsourcing an Dritte)

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. 

Organisatorische Maßnahmen:

  • Prüfung von Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Auswahl Auftragnehmers unter Sorgfaltsgesichtspunkten 
  • Abschluss notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard-Vertragsklauseln
  • Schriftliche Weisungen an Auftragnehmer
  • Verpflichtung Mitarbeiter des Auftragnehmers auf Datengeheimnis