Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Was genau ist Computerkriminalität?

Was genau ist Computerkriminalität?
Bild: scyther5/iStock/Thinkstock
Datenschutz-Begriffe
Was genau ist Computerkriminalität?

Computerkriminalität oder IuK-Kriminalität bezeichnet im weitesten Sinne alle Handlungsformen, bei denen es sich um strafbare bzw. strafwürdige Verhaltensweisen handelt und bei denen der Computer bzw. die elektronische Datenverarbeitungsanlage Werkzeug oder Ziel der Tat ist.

Hintergrund
2. September 2019

Ortsbegehungen: So begutachten Sie Arbeitsplätze

DP+
Ortsbegehungen: So begutachten Sie Arbeitsplätze
Bild: iStock.com / TommL
Datenschutz-Kontrolle
Ortsbegehungen: So begutachten Sie Arbeitsplätze

Kontrollieren Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter vor Ort die Arbeitsplätze, gilt es, eine Menge Details unter die Lupe zu nehmen. Darunter findet sich Vieles, an das Sie vielleicht nicht auf den ersten Blick denken.

Ratgeber
31. Juli 2019

Datenschutzaudit | Podcast Folge 01

Datenschutzaudit | Podcast Folge 01
Im Gespräch mit Frau Marit Hansen
Datenschutzaudit | Podcast Folge 01

In dieser Folge möchten wir uns mit dem Thema „Datenschutzaudit“ beschäftigen. Als Interviewpartnerin konnten wir Frau Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein, gewinnen.

Podcast
31. Juli 2019

DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten

DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten
Bild: AnuchaCheechang / iStock / Getty Images
Tools für die Sicherheit der Verarbeitung
DSGVO: So gewährleisten Sie die Wiederherstellbarkeit von Daten

Zur Sicherheit der Verarbeitung personenbezogener Daten nach DSGVO gehört die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert mehr als regelmäßige Backups.

Ratgeber
10. Juli 2019

Ortsbegehungen: Wer sich nicht blicken lässt, wird übersehen

DP+
Ortsbegehungen: Wer sich nicht blicken lässt, wird übersehen
Bild: iStock.com / JohnnyGreig
Datenschutz-Kontrolle
Ortsbegehungen: Wer sich nicht blicken lässt, wird übersehen

Ein DSB, der nicht auch einmal vor Ort erscheint und einen Blick auf die Praxis wirft, kann seinen umfangreichen gesetzlichen Aufgaben kaum nachkommen, gerade was die Kontrolle betrifft. Daher gilt: Schauen Sie öfter mal genau hin!

Hintergrund
3. Juli 2019

Haben verschlüsselte Daten einen Personenbezug?

Haben verschlüsselte Daten einen Personenbezug?
Bild: iStock.com / matejmo
Datenschutz und Verschlüsselung
Haben verschlüsselte Daten einen Personenbezug?

Verschlüsselung spielt in der DSGVO eine wichtige Rolle. Doch geht der Schutz durch Verschlüsselung so weit, dass verschlüsselte Daten keine personenbezogenen Daten mehr sind? Es kommt darauf an! Informieren Sie deshalb die Mitarbeiterinnen und Mitarbeiter über die Details.

Analyse
27. Mai 2019

Das Löschkonzept – ein Beispiel

DP+
Das Löschkonzept – ein Beispiel
Bild: iStock.com / Good_Stock
Recht auf Löschung
Das Löschkonzept – ein Beispiel

Um seinen Löschpflichten nachkommen zu können, ist es notwendig, dass der Verantwortliche ein Löschkonzept erstellt, dokumentiert und umsetzt. Dieser Artikel gibt Tipps zum Aufbau eines solchen Konzepts.

Ratgeber
29. April 2019

So prüfen Sie die Belastbarkeit von IT-Systemen

So prüfen Sie die Belastbarkeit von IT-Systemen
Bild: solarseven / iStock / Thinkstock
Tools für die DSGVO
So prüfen Sie die Belastbarkeit von IT-Systemen

Eine neue Forderung der Datenschutz-Grundverordnung (DSGVO / GDPR) an die Sicherheit der Verarbeitung ist die Belastbarkeit oder Resilienz. Doch wie lässt sich die Belastbarkeit gewährleisten, wie lässt sie sich prüfen? Hier helfen Tools.

Ratgeber
26. März 2019

Download Checkliste: Datensicherung & Backup unter der DSGVO

Download Checkliste: Datensicherung & Backup unter der DSGVO

Wie sieht ein vollständiges Backup-Konzept aus, das auch der Datenschutz-Grundverordnung (DSGVO) gerecht wird? Beitrag und Checkliste führt die zentralen Punkte auf.

Download
21. Februar 2019

Download Checkliste: Berechtigungskonzept

Download Checkliste: Berechtigungskonzept

Ohne ein wasserdichtes Berechtigungskonzept fehlt ein ganz wichtiger Baustein für Datenschutz und Datensicherheit im Betrieb. Die Checkliste zeigt die wesentlichen Punkte, die zu einem solchen Konzept gehören.

Download
10. Februar 2019
7 von 8

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.