Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 02/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

DP+
Haben Sie einmal das theoretische Grundgerüst, gilt: „Training on the job“ ist die beste Möglichkeit, bei Datenschutz-Audits sattelfest zu werden
Bild: iStock.com / putilich
Wichtige Aufgabe für Datenschutzbeauftragte
Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, um zu prüfen, ob eine Organisation die gesetzlichen Bestimmungen im Bereich des Datenschutzes einhält. Zu einem Audit gehört, Schwächen zu identifizieren und Maßnahmen, um sie zu beseitigen. Ziel ist es, Erkenntnisse über die datenschutzrechtliche Konformität zu erlangen. Lesen Sie, wie Sie dazu am besten vorgehen.

Praxisbericht
13. Mai 2022

Zugangskontrolle: So setzen Sie sie nach DSGVO um

Zugangskontrolle: So setzen Sie sie nach DSGVO um
Bild: lekkyjustdoit / iStock / Thinkstock
Datenschutz-Kontrolle
Zugangskontrolle: So setzen Sie sie nach DSGVO um

Die DSGVO und das BDSG legen bei der Sicherheit der Verarbeitung großen Wert auf die Zugangskontrolle. Was heißt Zugangskontrolle genau? Was müssen Datenschutzbeauftragte hier prüfen?

Ratgeber
25. April 2022

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur
Bild: valdum / iStock / Thinkstock
DSGVO und Datenschutz-Kontrollen
Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.

Ratgeber
14. April 2022

Download Checkliste: Prüfung der Zugriffskontrolle

Download Checkliste: Prüfung der Zugriffskontrolle

Die Checkliste fasst die wichtigsten Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten.

Download
14. April 2022

Nach der Pandemie: Was passiert mit unseren Daten?

Was passiert nach der Pandemie mit unseren Daten? Das fragen sich im Moment viele Menschen. Dr. Stefan Brink (LfDI BaWü) gibt Antworten.
Bild: cirquedesprit / iStock / Getty Images Plus
Wege aus der Corona-Pandemie
Nach der Pandemie: Was passiert mit unseren Daten?

Von der Schule bis zum Arbeitsplatz, von der Apotheke bis zum Impfzentrum: Während der Pandemie wurden zum Schutz unserer Gesundheit Bürgerrechte eingeschränkt und Gesundheitsdaten erhoben. Wie finden wir nach der Pandemie zurück zur Freiheit? Was passiert mit unseren Daten? Das fragen sich im Moment viele Menschen – und der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BaWü) gibt Antworten.

News
12. April 2022

Infektionsschutzgesetz: Was bedeuten die Änderungen für Arbeitgeber?

Jetzt heißt es: 3G-Nachweise datenschutzkonform vernichten
Bild: iStock.com / Christian Horz
Nachweise datenschutzkonform entsorgen
Infektionsschutzgesetz: Was bedeuten die Änderungen für Arbeitgeber?

Können Arbeitgeber ab sofort die gesammelten 3G-Nachweise und Kontaktdaten zerreißen? Nein, das reicht keinesfalls! Darauf weist die Landesbeauftrage für Datenschutz Nordrhein-Westfalen (LDI NRW) hin. Sie nennt Fristen für die Löschung der gesammelten Gesundheitsdaten – und gibt Tipps für ihre rechtskonforme Entsorgung.

News
29. März 2022

Löschen von Daten: Dokumentation & Aufbewahrungs­dauer

DP+
Löschprotokolle müssen einer strikten Zugriffsbeschränkung unterliegen
Bild: iStock.com / Oleksandr Hruts
Löschung richtig nachweisen
Löschen von Daten: Dokumentation & Aufbewahrungs­dauer

Die Pflicht, personenbezogene Daten zu löschen, und die Rechenschaftspflicht, die verlangt, die Löschung zu dokumentieren, widersprechen einander auf den ersten Blick. Erfahren Sie, wie sich dieser Widerspruch auflösen lässt.

Praxisbericht
28. März 2022

Synthetische Daten: Das leisten sie für den Datenschutz

DP+
Um KI-Modelle datenschutzfreundlich zu trainieren, sind KI-gestützte Tools nötig, die die synthetischen Daten erzeugen
Bild: iStock.com / Ryzhi
Datenschutz-Technologien
Synthetische Daten: Das leisten sie für den Datenschutz

Die Idee hinter „synthetischen Daten“ besteht darin, einen ursprüng­lichen Datensatz zu verwenden und daraus neue, künstliche Daten mit ähnlichen statistischen Eigenschaften zu erstellen. KI-Modelle sollen sich auf diese Weise datenschutzfreundlich trainieren lassen.

Analyse
22. Januar 2022

Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Personenbezogene Daten müssen korrekt und unversehrt sein. Dazu müssen Verantwortliche Maßnahmen für den Schutz und die Kontrolle der Integrität ergreifen.
Bild: iStock.com / Marcela-Vieira
Zentrale Begriffe im Datenschutz
Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Integrität gehört wie Vertraulichkeit zu den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten. Doch Integrität ist weitaus weniger bekannt und im Fokus als Vertraulichkeit, sodass der Schutz der Integrität leicht zu kurz kommt.

Hintergrund
10. Januar 2022

Vertraulichkeit: Was heißt das im Datenschutz?

Was ist genau unter Vertraulichkeit im Datenschutz zu verstehen?
Bild: iStock.com / Stadtratte
Zentrale Datenschutz-Begriffe
Vertraulichkeit: Was heißt das im Datenschutz?

Vertraulichkeit ist bekannt als eines der drei zentralen Schutzziele der IT-Sicherheit. Auch der Datenschutz fordert Vertraulichkeit. Doch bedeutet es das gleiche wie in der Informationssicherheit? Passen Maßnahmen der IT-Sicherheit auch im Datenschutz?

Hintergrund
20. Dezember 2021
2 von 10

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.