Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Download Muster: Verpflichtung auf das Datengeheimnis

DP+
Download Muster: Verpflichtung auf das Datengeheimnis

Die DSGVO schreibt zwar keine schriftliche Verpflichtungserklärung mehr vor. Sinnvoll ist sie aber weiterhin. Hier finden Sie ein aktuelles Muster.

Download
29. Januar 2021

Download Checkliste internes Audit Personalabteilung

DP+
Download Checkliste internes Audit Personalabteilung

Was gehört alles zu einem umfassenden Audit in der Personalabteilung dazu? Die Checkliste führt zentrale Fragen und Prüfpunkte auf.

Download
28. November 2020

Muster-Betriebsvereinbarung: Bring your own Device (BYOD)

Muster-Betriebsvereinbarung: Bring your own Device (BYOD)

Viele Unternehmen haben Beschäftigte im Homeoffice bzw. im mobile Office. Nicht wenige arbeiten hier mit privaten Endgeräten. Wer das Arbeiten mit privaten IT-Systemen noch nicht geregelt hat, kann sich an diesem Muster einer Betriebsvereinbarung orientieren.

Download
29. Oktober 2020

Virtuelle Private Netzwerke (VPN) – ein Überblick

DP+
Virtuelle Private Netzwerke (VPN) – ein Überblick
Nicht nur für Homeoffice wichtig
Virtuelle Private Netzwerke (VPN) – ein Überblick

Im Datenschutzalltag taucht im Zusammenhang mit Unternehmensnetzwerken häufig der Begriff „VPN“ auf. Was ist das eigentlich genau? Und worauf müssen Verantwortliche achten?

Ratgeber
24. Juni 2020

Verschlüsselung: Wann ist welche Methode sinnvoll?

DP+
Verschlüsselung: Wann ist welche Methode sinnvoll?
Bild: iStock.com / matejmo
Sicherheit der Verarbeitung
Verschlüsselung: Wann ist welche Methode sinnvoll?

Verschlüsselung gilt als wichtiges Mittel im Kampf gegen Hacker und Datenspione. Der Beitrag stellt die beiden Methoden Transport- und Inhaltsverschlüsselung gegenüber und gibt Ihnen Überlegungen zu einer risikobasierten Auswahl an die Hand.

Ratgeber
22. Juni 2020

Download Checkliste: Durchgängige Verschlüsselung

Download Checkliste: Durchgängige Verschlüsselung

Eine Verschlüsselung muss nicht nur stark, sondern auch durchgehend sein. In der Praxis finden sich jedoch häufig Stellen, wo ursprünglich verschlüsselte Daten plötzlich unverschlüsselt vorliegen. Machen Sie sich mit der Checkliste auf die Suche!

Download
8. Juni 2020

Anforderungen an eine durchgängige Verschlüsselung

Anforderungen an eine durchgängige Verschlüsselung
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Verschlüsselung an jedem Ort und zu jeder Zeit
Anforderungen an eine durchgängige Verschlüsselung

Die stärkste Verschlüsselung hilft wenig, wenn sie nicht überall dort greift, wo sie notwendig ist. In der Praxis haben viele Verschlüsselungs-Konzepte gefährliche Lücken. Hinterfragen Sie daher die Wirksamkeit der Verschlüsselung regelmäßig.

Hintergrund
8. Juni 2020

Passwörter sicher auswählen und verwenden

DP+
Passwörter sicher auswählen und verwenden
Bild: iStock.com / MicroStockHub
BSI ändert Empfehlungen
Passwörter sicher auswählen und verwenden

Das BSI hat seine Empfehlung, Passwörter regelmäßig zu wechseln, geändert. Ein Wechsel ist jetzt nur noch in Ausnahmefällen nötig. Welche Fälle sind das? Und was ist überhaupt ein sicheres Passwort?

Ratgeber
29. Mai 2020

DSGVO: Tools zur Kontrolle der Verfügbarkeit

DSGVO: Tools zur Kontrolle der Verfügbarkeit
Bild: f9photos / iStock / Thinkstock
Methoden für die Überwachung des Datenschutzes
DSGVO: Tools zur Kontrolle der Verfügbarkeit

Personenbezogene Daten müssen nach der Datenschutz-Grundverordnung (DSGVO) gegen Zerstörung und Verlust geschützt sein, Stichwort: Verfügbarkeit. Doch wie erkennen Sie, ob das gewährleistet ist? Monitoring-Tools helfen zum Beispiel dabei, die Backups zu überwachen.

Ratgeber
18. Mai 2020

Download Checkliste: Mehr Schutz für den Serverraum

Download Checkliste: Mehr Schutz für den Serverraum

Auch im Cloud-Zeitalter hat die Zutrittskontrolle für den Serverraum nicht ausgedient, im Gegenteil. Nehmen Sie daher die Sicherheitsmaßnahmen anhand dieser Checkliste unter die Lupe.

Download
5. Mai 2020
5 von 8

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.