Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 09/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Daten sicher löschen: Das müssen Sie beachten

Daten sicher löschen: Das müssen Sie beachten
Bild: Anatoliy Babiy / iStock / Thinkstock
Recht auf Löschen und Vergessenwerden
Daten sicher löschen: Das müssen Sie beachten

Personenbezogene Daten sicher zu löschen, ist Teil der Datensicherheit und der Betroffenenrechte nach der Datenschutz-Grundverordnung (DSGVO). Neben den technischen Löschverfahren sind organisatorische Prozesse wichtig. Verantwortliche und Datenschutzbeauftragte müssen dabei die Verpflichtung, Daten zu löschen, genauso betrachten wie die gesetzlichen Aufbewahrungspflichten.

Ratgeber
4. September 2023

Verschlüsselte Datenübertragung mit Cryptshare

Cryptshare steht als verschlüsselungstoll über ein Plug-in für Outlook und Notes zur Verfügung
Bild: Screenshot Thomas Joos
Datensicherheit
Verschlüsselte Datenübertragung mit Cryptshare

Cryptshare ist ein Tool, das den sicheren Austausch von Dateien und Informationen über das Internet ermöglicht. Es nutzt eine Kombination aus Verschlüsselung und sicheren Übertragungsmethoden, um den Schutz von Daten zu gewährleisten.

Ratgeber
11. Juli 2023

Unsichere IT-Lieferketten: Das bedeuten sie für den Datenschutz

DP+
Um die Zielkunden zu kompromittieren, konzentrieren sich die Angreifer bei etwa 66 % der gemeldeten Vorfälle auf den Code der Lieferanten. Bei etwa 58 % der von ENISA analysierten Vorfälle in der Lieferkette handelt es sich bei den angegriffenen Vermögenswerten überwiegend um Kundendaten, darunter personenbezogene Daten und geistiges Eigentum.
Bild: ENISA
Datenschutz und Cybersicherheit, Teil 1
Unsichere IT-Lieferketten: Das bedeuten sie für den Datenschutz

IT-Sicherheitsbehörden warnen vor Schwachstellen in der Software- und Hardware-Lieferkette. Aktuelle Vorfälle belegen diese Gefahren, die sich auch auf den Datenschutz auswirken. Datenschutzkonzepte sollten deshalb die Sicherheit der IT-Lieferkette berücksichtigen.

Ratgeber
8. Juli 2023

So lässt sich die Löschung von Daten dokumentieren

Die Löschung von Daten müssen Verantwortliche auch nachweisen können
Bild: iStock.com / Invincible_Bulldog
Technisch-organisatorische Maßnahmen
So lässt sich die Löschung von Daten dokumentieren

Was müssen Verantwortliche zur Löschung personenbezogener Daten und zu den dazugehörigen Nachweispflichten wissen? Welche Pflichten gibt die DSGVO vor und welche Dokumentationsmaßnahmen sind sinnvoll?

Ratgeber
20. Juni 2023

Checkliste: Datenschutzaudit in Open-Space-Büros

DP+
Technische & organisatorische Maßnahmen
Checkliste: Datenschutzaudit in Open-Space-Büros

Die Checkliste hilft Datenschutzbeauftragten bei der datenschutzrechtlichen Prüfung von Open-Space-Büros.

Download
20. Juni 2023

Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Zutrittskontrollen müssen wirklich erforderlich sein, sonst sind sie unzulässig
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Biometrische Daten
Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Daten werden für die Zugangs- und Zutrittskontrolle neben der Multi-Faktor-Authentifizierung (MFA) als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Ratgeber
1. Juni 2023

Löschkonzept: Die Datenlöschung aus Backups und Archiven

DP+
Backups setzen sowohl Schutzziele der DSGVO als auch der Informationssicherheit um
Bild: iStock.com / anyaberkut
Technische Datenschutzmaßnahmen
Löschkonzept: Die Datenlöschung aus Backups und Archiven

Wie wirken sich die Löschpflichten, die sich aus der Datenschutz-Grundverordnung (DSGVO) ergeben, auf die Datenlöschung auf Sicherungskopien und Archive aus? Und was ist überhaupt der Unterschied zwischen einem Backup, also einer Datensicherung, und einem Archiv?

Praxisbericht
10. Mai 2023

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Die Zugangskontrolle verwehrt Unberechtigten den Zugriff auf die IT-Systeme
Bild: lekkyjustdoit / iStock / Thinkstock
Datenschutz-Kontrolle
Zugangskontrolle: So setzen Sie sie nach DSGVO um

Die DSGVO legt bei der Sicherheit der Verarbeitung großen Wert auf den Schutz vor unberechtigten Zugriffen und damit auf Zugangskontrolle. Was heißt das genau? Was müssen Datenschutzbeauftragte hier prüfen?

Ratgeber
2. Mai 2023

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

E-Mail-Verschlüsselung: Was fordert der Datenschutz?
Bild: D3Damon / iStock / Getty Images
Sicherheit der Verarbeitung
E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Die DSGVO nennt Verschlüsselung als eine Maßnahme, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Müssen Datenschutzbeauftragte daher den Verantwortlichen raten, alle E-Mails zu verschlüsseln? Das kommt darauf an - auf die E-Mails und die Art der Verschlüsselung.

Ratgeber
6. April 2023

Identitätsdiebstahl: Wie helfen Sie sich im Ernstfall?

Tipps des BSI bei Identitätsdiebstahl
Bild: iStock.com / Intpro
Zugangsdaten gestohlen - und was jetzt?
Identitätsdiebstahl: Wie helfen Sie sich im Ernstfall?

Hand aufs Herz: Könnten Sie – jetzt, sofort und gleich – das Passwort für Ihr E-Mail-Postfach ändern? Das wäre die wichtigste Schutzmaßnahme, die Sie bei einem Identitätsdiebstahl ergreifen müssten! Lesen Sie, was Sie sonst noch beherrschen müssen, um gewappnet zu sein.

Ratgeber
21. März 2023
1 von 9

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.