DSGVO-Serie: Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen 

Die technischen und organisatorischen Maßnahmen, auch kurz „TOM“, dienen zur Beurteilung der Datenschutzsicherheitsmaßnahmen eines Unternehmens.  

Zunächst werden alle aktuellen Maßnahmen zur Sicherung der Daten erfasst. Im Anschluss wird geprüft, ob diese ausreichen, um die Sicherung der Daten zu gewährleisten. Wenn Maßnahmen unzureichend sind, müssen sie von den Verantwortlichen erweitert werden.  

In einem abschließenden Dokument werden alle Maßnahmen beschrieben, die dafür sorgen, dass die personenbezogenen Daten gesichert sind. Hierzu gehören nach Artikel 32 DSGVO:  

Die Vertraulichkeit

  • Zutrittskontrolle zu den Gebäuden (beispielsweise durch Alarmanlage oder Pförtner), 
  • Zugangskontrolle zu den Computern und Servern (beispielsweise durch passwortgeschützte Computer oder Benutzerrollen),  
  • Zugriffskontrolle (beispielsweise durch Protokollierung oder Berechtigungskonzepte), 
  • Trennungskontrolle (beispielsweise durch getrennte Test- und Produktivumgebungen),
  • Pseudonymisierung 

Die Integrität 

  • Weitergabekontrolle (beispielsweise durch E-Mail-Verschlüsselung oder die Nutzung von VPN), 
  • Eingabekontrolle (beispielsweise durch Versionsverwaltung und Protokollierung) 

Die Verfügbarkeit und Belastbarkeit 

  • Verfügbarkeitskontrolle (beispielsweise durch Rauch- und Brandmeldeanlagen oder Backup-Konzepte), 
  • Belastbarkeitskontrolle (beispielsweise durch Penetrationstests) 

Die regelmäßige Überprüfung und Evaluierung 

  • Datenschutzmanagement (beispielsweise durch einen Datenschutzbeauftragten oder Zertifikate), 
  • Auftragskontrolle (beispielsweise durch sorgfältige Prüfung der Auftragsnehmer oder das Abschließen von Auftragsverarbeitungsverträgen),  
  • Privacy by Design und Privacy by Default (beispielsweise durch Voreinstellungen zur Einschränkung bei der Datenerhebung), 
  • Incident-Response-Management, also der Umgang mit Sicherheitsverletzungen (beispielsweise durch regelmäßige Sicherheitsupdates oder eine dokumentierte Vorgehensweise für die Mitarbeiter) 

Insgesamt sollte ein an das Risiko angepasstes Schutzniveau herrschen. Die Maßnahmen müssen regelmäßige überprüft und an den Stand der Technik angepasst werden. Wenn Sicherheitszertifizierungen durchgeführt wurden, sollten die Zertifikate ebenfalls als Anhang an die TOM angefügt werden.  Zu diesen Zertifizierungen gehört zum Beispiel die ISO 27001. 

Die TOM sind ein wichtiger Bestandteil der Auftragsverarbeitung und des Verzeichnisses von Verarbeitungstätigkeiten. 

DSGVO-Serie: So geht es weiter

In den kommenden Wochen werden wir alle weiteren Maßnahmen zur Umsetzung der Datenschutzgrundverordnung erläutern.
Den ersten Artikel der Serie Datenschutzgrundverordnung – 6 Monate DSGVO und nun? finden Sie unter dem angegebenen Link.
Die nötigen Maßnahmen sind:

Es gilt genau hinzuschauen und die Prozesse im Unternehmen intensiv zu hinterfragen. Holen Sie sich Hilfe und Informationen bei Experten und lassen Sie sich beraten. Setzen Sie auf moderne Systeme und Lösungen, die Sie bei der Einhaltung der DSGVO unterstützen, wie zum Beispiel unseren DSGVO-Manager -Die Toolbox für eine erfolgreiche Umsetzung der EU-Datenschutzgrundverordnung.

Der DSGVO-Manager

Unser DSGVO-Manager unterstützt Sie vor allem bei der Dokumentation aller nötigen Maßnahmen. Hier haben Sie die Möglichkeit nicht nur Ihre Prozesse zu dokumentieren und die Verantwortlichen aufzulisten, Sie können auch Kundenanfragen, wenn es um Auskunft oder Löschung geht, im DSGVO-Manager nachhalten. Zudem unterstützt unser Tool bei der Beauskunftung gegenüber der Datenschutzbehörde im Rahmen einer Unternehmensprüfung.


Anmerkung: Eine juristische Beratung stellt unser Angebot nicht dar. Dazu nehmen Sie bitte mit einem Anwalt Kontakt auf und sprechen Sie mit Ihrem Datenschutzbeauftragten.

(Visited 115 times, 1 visits today)