TOMs
Sie müssen sowohl durch technische (z.B. Verschlüsselung, Backups, Zugangsberechtigungen, usw.) als auch durch organisatorische (z.B. Passwortrichtlinien, Schulungen der Mitarbeiter, Betriebsvereinbarungen, usw.) Maßnahmen sicherstellen, dass die Verarbeitung personenbezogener Daten vor unbefugter Löschung oder Veränderung geschützt ist, und der unbefugte Zugriff auf die Daten durch Dritte verhindert wird. Diese Maßnahmen müssen dokumentiert werden. Auch hier kann man relativ frei über die Form der Dokumentation entscheiden. Oftmals unterteilt man die TOMs nach Vertraulichkeit, Integrietät, Verfügbarkeit und Belastbarkeit sowie Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung.
Diese vier Punkte unterteilen sich wiederum:
1. Vertraulichkeit
- Zutrittskontrolle
- Zugangskontrolle
- Zugriffskontrolle
- Trennungskontrolle
- Pseudonymisierung
2. Integrietät
- Weitergabekontrolle
- Eingangskontrolle
3. Verfügbarkeit und Belastbarkeit
- Verfügbarkeitskontrolle
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
- Datenschutz-Maßnahmen
- Incident-Response-Management
- Datenschutzfeundliche Voreinstellungen
- Auftragskontrolle
Zu diesen Unterpunkten werden die jeweiligen Maßnahmen aufgeführt.
Beispiel:
Technische Organisatorische Maßnahmen
der Firma Mustermann GmbH
der Firma Mustermann GmbH
Bei der Mustermann GmbH sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden:
1. Vertraulichkeit
- Zutrittskontrolle
Der Büroraum der Mustermann GmbH befinden sich in einem Bürogebäude in Musterstadt. Der Eingang des Gebäudes ist über eine Zutrittstür gesichert, die stets verschlossen und selbstschließend ist. Die Türen des Bürogebäudes verfügen über einen Knauf auf der Außenseite.
Die Eingänge und Fenster des Bürogebäudes und auch der Büroraum der Mustermann GmbH sind mit einer Alarmanlage gesichert. Die Alarmanlage wird um 22.30Uhr automatisch aktiviert.
Die Eingänge und Fenster des Bürogebäudes und auch der Büroraum der Mustermann GmbH sind mit einer Alarmanlage gesichert. Die Alarmanlage wird um 22.30Uhr automatisch aktiviert.
Besucher erhalten erst nach Türöffnung durch den Empfang oder einen sonstigen Beschäftigten Zutritt zu dem Bürogebäude und dann den Büroräumen. Alle Besucher müssen sich ausweisen und registrieren und werden stets von berechtigten Mitarbeitern begleitet.
...
- Zugangskontrolle
Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies erfolgt auf Basis eines Benutzernamens und eines Passworts.
Im Falle des Ausscheidens von Mitarbeiter informieren die Personalverantwortlichen die IT-Administration unverzüglich über anstehende Veränderungen, damit die IT-Administration entsprechende Berechtigungen entziehen kann.
Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.
Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
...
Technische und Organisatorische Maßnahmen
Art. 32 DSGVO Sicherheit der Verarbeitung
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
(3) Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4) Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
Die Informationen auf meinen Internetseiten stellen in keinem Fall eine Rechtsberatung dar!