Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Nachweise datenschutzkonform entsorgen

Können Arbeitgeber ab sofort die gesammelten 3G-Nachweise und Kontaktdaten zerreißen? Nein, das reicht keinesfalls! Darauf weist die Landesbeauftrage für Datenschutz Nordrhein-Westfalen (LDI NRW) hin. Sie nennt Fristen für die Löschung der gesammelten Gesundheitsdaten – und gibt Tipps für ihre rechtskonforme Entsorgung.

Löschung richtig nachweisen

Die Pflicht, personenbezogene Daten zu löschen, und die Rechenschaftspflicht, die verlangt, die Löschung zu dokumentieren, widersprechen einander auf den ersten Blick. Erfahren Sie, wie sich dieser Widerspruch auflösen lässt.

Datenschutz-Technologien

Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprüng­lichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.

Zentrale Begriffe im Datenschutz

Integrität gehört wie Vertraulichkeit zu den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten. Doch Integrität ist weitaus weniger bekannt und im Fokus als Vertraulichkeit, sodass der Schutz der Integrität leicht zu kurz kommt.

Gratis
Was ist genau unter Vertraulichkeit im Datenschutz zu verstehen?
Bild: iStock.com / Stadtratte
Zentrale Datenschutz-Begriffe

Vertraulichkeit ist bekannt als eines der drei zentralen Schutzziele der IT-Sicherheit. Auch der Datenschutz fordert Vertraulichkeit. Doch bedeutet es das gleiche wie in der Informationssicherheit? Passen Maßnahmen der IT-Sicherheit auch im Datenschutz?

Gratis
Immer mehr Unternehmen werden zum Opfer von Ransomware-Angriffen. BayLDA startet nun eine Prüfung, ob Unternehmen für den Ernstfall gewappnet sind.
Bild: nicescene / iStock / Getty Images Plus
Cyberkriminalität

Von der kleinen Arztpraxis bis hin zum großen Konzern: Immer mehr Unternehmen werden zum Opfer von Ransomware-Angriffen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat deshalb eine Reihe anlassloser Prüfungen gestartet – und checkt, ob Unternehmen für den Ernstfall gewappnet sind.

Gratis
Schritt für Schritt zum Löschkonzept
Bild: Andranik Hakobyan / iStock / Getty Images
Datenschutzkonzept nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Bundesdatenschutzgesetz (BDSG-neu) machen Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt die Norm DIN 66398.

Gratis
Die Verfügbarkeit von personenbezogenen Daten muss gewährleistet werden. Halten Sie Ihre Speichermedien immer auf dem technisch aktuellen Stand!
Bild: Melpomenem / iStock / Getty Images Plus
Verfügbarkeit personenbezogener Daten

Personenbezogene Daten müssen verfügbar sein, also gegen Verlust geschützt werden. Dazu gehört mehr als der Schutz vor ungewolltem oder kriminell motiviertem Löschen der Daten. Müssen Daten für eine längere Zeit für ihren Erhebungszweck gespeichert werden, stellen sich auch Fragen nach Hardware und Software.

Virtual Private Network

Für eine wirklich sichere VPN-Lösung müssen verschiedene Kriterien zusammenkommen. Denn allein eine gut zu bedienende Software reicht nicht aus. Was sonst noch dazugehört, zeigt die Checkliste.

Sicherheit der Verarbeitung

Angesichts der wachsenden Bedrohung müssen Unternehmen nachhaltige Cyber-Resilienz, also Widerstandsfähigkeit, anstreben, um Angriffe zu verhindern und bei Sicherheitsvorfällen schnell zu reagieren. Dazu eignen sich Sicherheitsaudits, sogenannte Penetrationstests, besonders gut.

2 von 10

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.