Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

So sieht eine IT-Sicherheitsrichtlinie aus

So sieht eine IT-Sicherheitsrichtlinie aus
Bild: KrulUA / iStock / Thinkstock
Dokumentation und Regeln im Datenschutz
So sieht eine IT-Sicherheitsrichtlinie aus

Um die Datenschutz-Grundverordnung (DSGVO) umzusetzen, führt kein Weg daran vorbei, IT-Sicherheitsrichtlinien zu erarbeiten und umzusetzen. Denn nur verbindliche, dokumentierte Vorgaben gewährleisten eine sichere Verarbeitung und weisen sie nach. Lesen Sie, worauf Sie dabei achten sollten.

Ratgeber
30. Januar 2019

Löschen oder Vernichten: Was ist der Unterschied?

DP+
Löschen oder Vernichten: Was ist der Unterschied?
Bild: iStock.com / Sanchez Real Loid
Recht auf Löschung
Löschen oder Vernichten: Was ist der Unterschied?

Müssen personenbezogene Daten gelöscht werden, stellt sich die Frage: Reicht es aus, die Daten aus der Datenbank zu entfernen, oder sind die Speichermedien, auf denen sich die Daten befinden, zu vernichten? Wie so oft im Datenschutz lautet die Antwort: Es kommt darauf an!

Analyse
23. Januar 2019

So funktioniert Mandantentrennung in der Cloud

DP+
So funktioniert Mandantentrennung in der Cloud
Bild: iStock.com / ALotOfPeople
Datenisolierung in der Cloud
So funktioniert Mandantentrennung in der Cloud

Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.

Ratgeber
24. September 2018

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?
Bild: nicescene / iStock / Getty Images
Sicherheit der Verarbeitung
Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

Analyse
10. September 2018

Das datenschutzkonforme Löschkonzept

DP+
Das datenschutzkonforme Löschkonzept
Bild: badmanproduction / iStock / Thinkstock
Betroffenenrechte umsetzen
Das datenschutzkonforme Löschkonzept

Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?

Ratgeber
13. Februar 2018

Datenschutz-Schulung: Selbstaudit der Mitarbeiter

Datenschutz-Schulung: Selbstaudit der Mitarbeiter
Bild: NiroDesign / iStock / Thinkstock
Prüfung des Datenschutzgedankens
Datenschutz-Schulung: Selbstaudit der Mitarbeiter

Die Verbesserung des Datenschutzes in einem Unternehmen erfordert vielfältige Regelungen und Umsetzungsmaßnahmen. Doch Sie wissen, „Papier ist geduldig“ – und wie wollen Sie kontrollieren, ob die angestrebten Schutzmaßnahmen bei den Mitarbeitern auch angekommen sind? Prüfen Sie doch einmal, inwiefern der Datenschutzgedanke präsent ist!

Ratgeber
12. Februar 2018

Datenklassifizierung: Welche Daten brauchen welchen Schutz?

DP+
Datenklassifizierung: Welche Daten brauchen welchen Schutz?
Bild: BIT Informationssysteme GmbH
Tools für den Datenschutzbeauftragten
Datenklassifizierung: Welche Daten brauchen welchen Schutz?

Ein zentrales Problem im Datenschutz ist die Klassifizierung der personenbezogenen Daten, um ihren Schutzbedarf festzulegen. In Zeiten von Big Data sind Lösungen gefragt, die hierbei deutlich unterstützen können. Wir zeigen Beispiele.

Analyse
5. Mai 2017

Pseudonymisierung in der DSGVO

DP+
Pseudonymisierung in der DSGVO
Bild: Zoonar RF / Zoonar / Thinkstock
Vorteil bei der Datenverarbeitung
Pseudonymisierung in der DSGVO

Der Pseudonymisierung kommt in der Datenschutz-Grundverordnung (DSGVO) eine deutlich höhere Bedeutung zu, als dies gegenwärtig im Bundesdatenschutzgesetz (BDSG) der Fall ist. Zum einen handelt es sich bei der Pseudonymisierung um eine zentrale technische und organisatorische Sicherungsmaßnahme, die die DSGVO wiederholt in unterschiedlichem Zusammenhang erwähnt. Darüber hinaus kann die Anwendung von Pseudonymisierungstechniken erheblichen Einfluss auf die Zulässigkeit einer Verarbeitung personenbezogener Daten haben.

Analyse
3. April 2017
8 von 8

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.