Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

„Löschen bitte“: Eine Aufforderung muss reichen

Personenbezogenen Daten löschen lassen sollte bald deutlich leichter werden. EuGH-Urteil sagt, dass ein Widerruf an ein Unternehmen ausreichen muss!
Bild: SvetaZi / iStock / Getty Images Plus
EuGH-Urteil
„Löschen bitte“: Eine Aufforderung muss reichen

Wer seine personenbezogenen Daten aus dem Telefonbuch und Suchmaschinen löschen lassen möchte, dürfte es bald deutlich leichter haben. Denn Telefonanbieter, die Daten an andere Verzeichnisse weitergeben, müssen auch dafür sorgen, dass diese Daten wieder gelöscht werden, wenn Kunden sie darum bitten. Ein Widerruf an ein Unternehmen muss ausreichen – das teilte der Europäische Gerichtshof (EuGH) mit.

News
2. November 2022

Grüner Datenschutz: Dark Data löschen und die Umwelt schützen

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? Ja! Löschen Sie Ihren längst vergessenem Datenmüll, so wie es auch die DSGVO fordert.
Bild: Andranik Hakobyan / iStock / Getty Images Plus
Löschstrategien
Grüner Datenschutz: Dark Data löschen und die Umwelt schützen

Kann Datenschutz einen Beitrag zum Umweltschutz leisten? „Ja“, sagen die Datenschutzberaterin Dr. Victoria Roux und der Softwareunternehmer Eric Waltert. Sie setzen vor allem auf das Löschen von längst vergessenem Datenmüll – so wie es auch die Europäische Datenschutzgrundverordnung (DSGVO) fordert.

News
6. Oktober 2022

„Unzerstörbare Daten“: Der Spagat zwischen Aufbewahren und Löschen

DP+
Selbst „unzerstörbare Daten“ brauchen eine Hintertür
Bild: iStock.com / Nadezhda Buravleva
Löschkonzept
„Unzerstörbare Daten“: Der Spagat zwischen Aufbewahren und Löschen

Einerseits gilt es, Daten vor ungewolltem Löschen zu schützen. Andererseits sollen Berechtigte sie unkompliziert vernichten können. Neue technische Lösungen auf dem Markt versprechen nun „unzerstörbare“ Daten, die sich bei entsprechender Berechtigung aber löschen lassen.

Analyse
27. September 2022

Anonymisierung: Ist Differential Privacy der neue Standard?

DP+
Differential Privacy sorgt über eine gewisse Unschärfte der Daten für Anonymisierung
Bild: iStock.com / vitomirov
Stand der Technik
Anonymisierung: Ist Differential Privacy der neue Standard?

Die Anonymisierung personenbezogener Daten ist eine komplexe Herausforderung für Verantwortliche. Der Begriff „Differential Privacy“ taucht dabei häufig als der Goldstandard für datenschutzfreundliche Technologien auf und soll im Folgenden genauer beleuchtet werden.

Analyse
2. August 2022

Speicherbegrenzung von E-Mails in der Praxis

DP+
Speicherbegrenzung von E-Mails in der Praxis
Bild: iStock.com / alexsl
Löschkonzept
Speicherbegrenzung von E-Mails in der Praxis

Ein vollumfängliches Datenschutz-Löschkonzept muss auch E-Mails inklusive etwaiger Anhänge berücksichtigen. Denn sie enthalten ebenfalls personenbezogene Daten und sind somit aus Datenschutzsicht zum gegebenen Zeitpunkt zu löschen.

Ratgeber
7. Juli 2022

Recht auf Löschung: Bayern veröffentlicht Orientierungshilfe

Sie haben Fragen rund um Löschungsrecht und Löschungspflicht? Antworten finden Sie in der neuen Orientierungshilfe des BayLfD.
Bild: Who_I_am / iStock / Getty Images Plus
Löschungsrechte
Recht auf Löschung: Bayern veröffentlicht Orientierungshilfe

Wann müssen öffentliche Stellen personenbezogene Daten löschen? Wie können Bürger das Recht auf Löschung ihrer Daten durchsetzen? Diese und andere Fragen rund um Löschungsrecht und Löschungspflicht beantwortet die neue Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD).

News
28. Juni 2022

Social Engineering: Vorsicht bei der Wahl der Gegenmaßnahmen

DP+
Selbst wenn die Zahl der Phishing-Attacken abgenommen hat: Auch ein Großteil der anderen Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als schwächstes Glied der Kette aus.
Bild: drogatnev / iStock.com / Getty Images
Damit der Datenschutz nicht zum Datenrisiko wird
Social Engineering: Vorsicht bei der Wahl der Gegenmaßnahmen

Die Schutzmaßnahmen gegen Social Engineering werden wie die Angriffe immer intelligenter. Sensibilisieren Sie die Beteiligten im Unternehmen dafür, dass der Schutz vor Angreifern nicht selbst zum Risiko werden darf, der die Privatsphäre der Nutzerinnen und Nutzer aushöhlt.

Analyse
25. Mai 2022

Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

DP+
Haben Sie einmal das theoretische Grundgerüst, gilt: „Training on the job“ ist die beste Möglichkeit, bei Datenschutz-Audits sattelfest zu werden
Bild: iStock.com / putilich
Wichtige Aufgabe für Datenschutzbeauftragte
Das Datenschutz-Audit in der Praxis: Gegenstand, Inhalte, Anforderungen

Ein Datenschutz-Audit ist ein systematischer und dokumentierter Prozess, um zu prüfen, ob eine Organisation die gesetzlichen Bestimmungen im Bereich des Datenschutzes einhält. Zu einem Audit gehört, Schwächen zu identifizieren und Maßnahmen, um sie zu beseitigen. Ziel ist es, Erkenntnisse über die datenschutzrechtliche Konformität zu erlangen. Lesen Sie, wie Sie dazu am besten vorgehen.

Praxisbericht
13. Mai 2022

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur
Bild: valdum / iStock / Thinkstock
DSGVO und Datenschutz-Kontrollen
Zugriffskontrolle: Unerlaubten Zugriffen auf der Spur

Wer hat welche Zugriffe auf Daten im Unternehmen? Darf derjenige überhaupt zugreifen? Schaffen Sie Ordnung per Zugriffskontrolle! Denn sie ist unabdingbar, um die Sicherheit der Verarbeitung unter der DSGVO zu gewährleisten.

Ratgeber
14. April 2022

Download Checkliste: Prüfung der Zugriffskontrolle

Download Checkliste: Prüfung der Zugriffskontrolle

Die Checkliste fasst die wichtigsten Punkte zusammen, an die Sie bei der Prüfung der Zugriffskontrolle denken sollten.

Download
14. April 2022
3 von 8

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.