TOM
Zur Navigation springen
Zur Suche springen
Grundsätzliches
- Da die DSGVO bei der konkreten Definition der TOM im Datenschutz eher vage bleibt, bietet das Bundesdatenschutzgesetz (BDSG) wertvolle Klarstellungen.
- Gemäß § 9 BDSG (alte Fassung) werden technisch-organisatorische Maßnahmen präzisiert und folgende Bereiche konkret benannt:
Umsetzung
- Zutrittskontrolle
- Es ist erforderlich, den physischen Zutritt zu Datenverarbeitungsanlagen, wie beispielsweise Serverräumen, mittels Zutrittskontrolle zu verhindern.
- Elektronische Zugangssysteme oder Pförtner können hier als geeignete Mittel dienen.
- Zugangskontrolle
- Ein digitaler Zugriff auf Datenverarbeitungsanlagen sollte Dritten untersagt sein.
- Dies lässt sich durch Verschlüsselungen, Mehr-Faktor-Authentifizierungen oder strikte Passwortverfahren gewährleisten.
- Zugriffskontrolle
- Strenge Berechtigungskonzepte stellen sicher, dass unbefugte Dritte weder Schreib- noch Lesezugang zu sensiblen Daten erhalten.
- Die Möglichkeit, Daten unbefugt zu kopieren oder zu löschen, darf ebenfalls nicht gegeben sein.
- Weitergabekontrolle
- Durch ausreichende Verschlüsselungen wird sichergestellt, dass sensible Daten selbst bei der Übertragung nicht offengelegt werden, selbst wenn sie in die Hände unbefugter Dritter gelangen.
- Unberechtigte Dritte dürfen weder lesen, verändern, kopieren noch Daten löschen können.
- Eingabekontrolle
- Protokollierungssysteme erfassen jeden Zugriff auf personenbezogene Daten und ermöglichen die Nachverfolgung jeder Änderung oder Löschung.
- Auftragskontrolle
- Die Datenverarbeitung durch befugte Dritte wird durch AV-Verträge (Auftragsverarbeitungsverträge) geregelt.
- Diese Verträge entsprechen den Vorgaben des Auftraggebers.
- Verfügbarkeitskontrolle
- Firewalls und Backups sind nur zwei der Möglichkeiten, um Daten vor ungewünschten Verlusten und Angriffen zu schützen.
- Zudem muss gewährleistet werden, dass die Daten im Verlustfall wiederhergestellt werden können.
- Trennungsgebot
- Der Einsatz separater Systeme soll gewährleisten, dass für unterschiedliche Zwecke erhobene Daten nur für den jeweiligen Erhebungszweck verwendet werden.
Schlussfolgerung
- Natürlich müssen nicht alle Maßnahmen von allen Unternehmen umgesetzt werden.
- Allerdings ist wichtig, dass mittels Risikoanalyse abgeklärt wird, für welche Unternehmen bestimmte Maßnahmen relevant sind.