Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Identitätsdiebstahl: Wie helfen Sie sich im Ernstfall?

Tipps des BSI bei Identitätsdiebstahl
Bild: iStock.com / Intpro
Zugangsdaten gestohlen - und was jetzt?
Identitätsdiebstahl: Wie helfen Sie sich im Ernstfall?

Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.

Ratgeber
21. März 2023

Wasserschäden bei Papierunterlagen

Eine Datenschutzverletzung kann auch ein Wasserschaden bei Papierakten sein
Bild: iStock.com / tiero
Unterschätztes Risiko
Wasserschäden bei Papierunterlagen

Nach Ansicht mancher Spötter sind papierlose Büros so selten wie weiße Elefanten. Wie auch immer: Schon wegen diverser Aufbewahrungspflichten gibt es in vielen Unternehmen noch große Aktenberge. Wehe, sie kommen mit Wasser in Berührung und werden unbrauchbar. Dann tauchen erhebliche Datenschutzfragen auf.

Ratgeber
7. März 2023

Zero Trust: Was bedeutet es für den Datenschutz?

Zero Trust: Was bedeutet es für den Datenschutz?
Bild: iStock.com / fpm
Analyse zu neuen IT-Sicherheitskonzepten
Zero Trust: Was bedeutet es für den Datenschutz?

Die Security empfiehlt ein Zero-Trust-Konzept: Unternehmen sollten nicht darauf vertrauen, dass die interne IT sicher ist und alle Angriffe von außen kommen. Was heißt das für den Datenschutz?

Analyse
7. Februar 2023

Daten nach einem Ransomware-Vorfall sicher wiederherstellen

Nach einem Ransomware-Angriff ist es wesentlich, Daten rasch wiederherstellen zu können
Bild: iStock.com / PaperFox
Ransomware-Schutz
Daten nach einem Ransomware-Vorfall sicher wiederherstellen

Ransomware-Attacken können personenbezogene Daten gegen den Willen der Opfer verschlüsseln. Ohne Backup sind die Daten nicht mehr verfügbar, der Datenschutz ist verletzt. Damit die schnelle Wiederherstellung funktioniert, reicht eine einfache Datensicherung nicht. Lesen Sie, was DSB dazu wissen müssen.

Ratgeber
24. Januar 2023

Löschen, OZG und der Datenschutz | Podcast Folge 37

Podcast datenschutz-praxis
Im Gespräch mit Prof. Dr. Thomas Petri
Löschen, OZG und der Datenschutz | Podcast Folge 37

Das Thema Löschen ist auch in öffentlichen Verwaltungen ein Dauerbrenner. Und mit dem OZG hatte sich der Gesetzgeber für Deutschland vorgenommen über 6.000 Verwaltungsleistungen bis Ende 2022 zu digitalisieren. Wir haben Prof. Thomas Petri, dem Bayerischen Landesbeauftragten für den Datenschutz, für ein Update in unseren Podcast eingeladen.

Podcast
14. November 2022

„Löschen bitte“: Eine Aufforderung muss reichen

Personenbezogenen Daten löschen lassen sollte bald deutlich leichter werden. EuGH-Urteil sagt, dass ein Widerruf an ein Unternehmen ausreichen muss!
Bild: SvetaZi / iStock / Getty Images Plus
EuGH-Urteil
„Löschen bitte“: Eine Aufforderung muss reichen

Wer seine personenbezogenen Daten aus dem Telefonbuch und Suchmaschinen löschen lassen möchte, dürfte es bald deutlich leichter haben. Denn Telefonanbieter, die Daten an andere Verzeichnisse weitergeben, müssen auch dafür sorgen, dass diese Daten wieder gelöscht werden, wenn Kunden sie darum bitten. Ein Widerruf an ein Unternehmen muss ausreichen – das teilte der Europäische Gerichtshof (EuGH) mit.

News
2. November 2022

Grüner Datenschutz: Dark Data löschen und die Umwelt schützen

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? Ja! Löschen Sie Ihren längst vergessenem Datenmüll, so wie es auch die DSGVO fordert.
Bild: Andranik Hakobyan / iStock / Getty Images Plus
Löschstrategien
Grüner Datenschutz: Dark Data löschen und die Umwelt schützen

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? „Ja“, sagen die Datenschutzberaterin Dr. Victoria Roux und der Softwareunternehmer Eric Waltert. Sie setzen vor allem auf das Löschen von längst vergessenem Datenmüll – so wie es auch die Europäische Datenschutzgrundverordnung (DSGVO) fordert.

News
6. Oktober 2022

„Unzerstörbare Daten“: Der Spagat zwischen Aufbewahren und Löschen

DP+
Selbst „unzerstörbare Daten“ brauchen eine Hintertür
Bild: iStock.com / Nadezhda Buravleva
Löschkonzept
„Unzerstörbare Daten“: Der Spagat zwischen Aufbewahren und Löschen

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Analyse
27. September 2022

Mobile Forensik: Angriffe datenschutzkonform aufklären

Mobile Forensik erkennt Spuren von Angriffen auf Smartphones
Bild: iStock.com / id-work
Attacken auf mobile Endgeräte
Mobile Forensik: Angriffe datenschutzkonform aufklären

Datenklau gehört zu den größten Sorgen von Smartphone-Nutzerinnen und Nutzern. Mobile Forensik hilft dabei, feststellen, ob jemand ein Endgerät angegriffen oder manipuliert hat. Das geht auch, ohne dass der Datenschutz erneut in Gefahr gerät.

Hintergrund
9. August 2022

Anonymisierung: Ist Differential Privacy der neue Standard?

DP+
Differential Privacy sorgt über eine gewisse Unschärfte der Daten für Anonymisierung
Bild: iStock.com / vitomirov
Stand der Technik
Anonymisierung: Ist Differential Privacy der neue Standard?

Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche. Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche Technologien auf und soll im Folgenden genauer beleuchtet werden.

Analyse
2. August 2022
1 von 9

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.