Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 02/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Bot-Manager: Erkennen Sie gefährliche Angreifer im Internet

Bot-Manager: Erkennen Sie gefährliche Angreifer im Internet
Bild: Akamai
Automatisierten Datenmissbrauch abwehren
Bot-Manager: Erkennen Sie gefährliche Angreifer im Internet

Werden Zugangsdaten gestohlen und missbraucht, müssen keine menschlichen Angreifer aktiv sein: Bots können automatisiert Nutzerdaten abgreifen und zweckentfremden. Schutzmaßnahmen gegen solche Bots sollten berechtigte Nutzer und bösartige Bots unterscheiden können. Hierfür gibt es intelligente Lösungen, sogenannte Bot-Manager.

Ratgeber
6. November 2018

So funktioniert Mandantentrennung in der Cloud

DP+
So funktioniert Mandantentrennung in der Cloud
Bild: iStock.com / ALotOfPeople
Datenisolierung in der Cloud
So funktioniert Mandantentrennung in der Cloud

Setzen Verantwortliche Public-Cloud-Dienste ein oder nutzen sie Cloud-Services Dritter mit, müssen sie ihre Daten besonders schützen. Ein wichtiger Baustein von mehreren ist dabei die Datenisolierung.

Ratgeber
24. September 2018

E-Mail-Verschlüsselung: Was fordert der Datenschutz?

E-Mail-Verschlüsselung: Was fordert der Datenschutz?
Bild: D3Damon / iStock / Getty Images
Sicherheit der Verarbeitung
E-Mail-Verschlüsselung: Was fordert der Datenschutz?

Die Datenschutz-Grundverordnung (DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden? Es kommt darauf an – auf die E-Mails und die Art der Verschlüsselung.

Ratgeber
11. September 2018

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?
Bild: nicescene / iStock / Getty Images
Sicherheit der Verarbeitung
Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

Analyse
10. September 2018

Anonymisierung und Pseudonymisierung von Kundendaten

Anonymisierung und Pseudonymisierung von Kundendaten
Bild: alla_snesar / iStock / Thinkstock
Datenschutz-Grundverordnung (DSGVO)
Anonymisierung und Pseudonymisierung von Kundendaten

Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.

Ratgeber
12. Juni 2018

DSGVO und IT-Sicherheits-Rahmenrichtlinie

DSGVO und IT-Sicherheits-Rahmenrichtlinie
Bild: iStock.com / MF3d
IT-Sicherheitskonzepte
DSGVO und IT-Sicherheits-Rahmenrichtlinie

Um die Datenschutz-Grundverordnung (DSGVO/GDPR) umzusetzen, gilt es, die IT-Sicherheitsmaßnahmen und die Organisation der Sicherheit zu dokumentieren. Unternehmen sollten deshalb ihre IT-Sicherheits-Rahmenrichtlinie sowie das IT-Sicherheitskonzept auf die DSGVO anpassen. Das verankert den Datenschutz in der IT-Sicherheit.

Ratgeber
6. April 2018

Datenschutz bei Apps: Das Beispiel Facebook-Apps

Datenschutz bei Apps: Das Beispiel Facebook-Apps
Bild: iStock.com / bigtunaonline
Der Fall Facebook und Cambridge Analytica
Datenschutz bei Apps: Das Beispiel Facebook-Apps

Der aktuelle Fall um Cambridge Analytica und Facebook zeigt deutlich: Viele Nutzer wissen nicht genug über die Apps und Datenströme bei Facebook. Der Fall zeigt aber auch: Der Datenschutz bei Apps gehört generell auf den Prüfstand, nicht nur bei Smartphones!

Ratgeber
27. März 2018

Download Checkliste: Optimierung der Datenqualität

Download Checkliste: Optimierung der Datenqualität

Die besten Maßnahmen für die Datensicherheit müssen scheitern, wenn das Datenmanagement nicht stimmt. Die Checkliste zeigt Ansatzpunkte, um die Datenqualität zu erhöhen.

Download
19. Februar 2018

Das datenschutzkonforme Löschkonzept

DP+
Das datenschutzkonforme Löschkonzept
Bild: badmanproduction / iStock / Thinkstock
Betroffenenrechte umsetzen
Das datenschutzkonforme Löschkonzept

Die Datenlöschung ist ein wesentlicher Bestandteil der Betroffenenrechte, die die DSGVO zukünftig noch stärker betont. Ein durchdachtes Löschkonzept ist also wichtiger denn je. Was gehört alles dazu?

Ratgeber
13. Februar 2018

Datenschutz-Schulung: Selbstaudit der Mitarbeiter

Datenschutz-Schulung: Selbstaudit der Mitarbeiter
Bild: NiroDesign / iStock / Thinkstock
Prüfung des Datenschutzgedankens
Datenschutz-Schulung: Selbstaudit der Mitarbeiter

Die Verbesserung des Datenschutzes in einem Unternehmen erfordert vielfältige Regelungen und Umsetzungsmaßnahmen. Doch Sie wissen, „Papier ist geduldig“ – und wie wollen Sie kontrollieren, ob die angestrebten Schutzmaßnahmen bei den Mitarbeitern auch angekommen sind? Prüfen Sie doch einmal, inwiefern der Datenschutzgedanke präsent ist!

Ratgeber
12. Februar 2018
9 von 10

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.