Die technischen und organisatorischen Maßnahmen (TOMs) sind laut Artikel 32 in der DSGVO acht vorgeschriebene Maßnahmen, die gewährleisten sollen, dass mit personenbezogenen Daten ordnungsgemäß umgegangen wird. An diesen TOMs können Sie sich für Ihren Strategie– und Maßnahmenplan orientieren:
Zutrittskontrolle: Hierbei soll verhindert werden, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. Dies kann beispielsweise durch einen Pförtner,
oder eine Alarmanlage sichergestellt werden.
Zugangskontrolle: Hierbei soll verhindert werden, dass Unbefugte Zugang auf die Datenverarbeitungsanlagen haben. Das können Sie beispielsweise mit einem Passwort– oder Verschlüsselungsverfahren umsetzen.
Zugriffskontrolle: Hiermit stellen Sie sicher, dass nur befugte Mitarbeiter auf Daten zugreifen und sie lesen können. Auch das Verändern von Daten, das Kopieren
oder Entfernen darf nur durch autorisierte Mitarbeiter stattfinden. Dazu können Sie ein Berechtigungskonzept entwickeln, bei dem bestimmte Zugriffsregeln für einzelne
Benutzer oder Benutzergruppen gelten.
Weitergabekontrolle: Es muss gewährleistet sein, dass Daten, die auf elektronischem Wege übermittelt werden, nicht unbefugt gelesen, kopiert, entfernt oder verändert werden. Beispielsweise mit einer zusätzlichen Verschlüsselung oder einem Virtual Private Network.
Eingabekontrolle: Bei der Eingabekontrolle muss nachträglich überprüft werden können, ob und wer Daten geändert oder entfernt hat (Protokollierung).
Auftragskontrolle: Stellen Sie sicher, dass Daten, die in Ihrem Auftrag verarbeitet werden, auch nur gemäß Ihrer Anweisung verarbeitet werden (Vertrag zur Auftragsverarbeitung).
Verfügbarkeitskontrolle: Mit einem Datensicherungs- bzw. Backup-Plan sowie einen funktionierenden Firewall sichern Sie sich gegen die Zerstörung oder den Verlust von Daten ab.
Trennungsgebot: Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen separat verarbeitet werden (Trennung der Systeme).
Achtung: Zwar greifen viele Unternehmen zu TOMs, um der DSGVO gerecht zu werden, aber eins wird häufig vergessen: Mitarbeiter, die nicht ausreichend für das Thema Datenschutz sensibilisiert sind oder sorglos damit umgehen. Stellen Sie hier sicher, dass Sie Ihre Mitarbeiter regelmäßig zum Thema Datenschutz schulen und der Workflow bei einer Datenpanne in Ihrem Unternehmen bekannt ist.
Datenschutz-Folgenabschätzung
/in Datenschutz, GRC@SAVISCON/von Karin SelzerGRC@SAVISCON: Datenschutz
/in Datenschutz, GRC@SAVISCON/von Karin SelzerClubhouse und die DSGVO
/in Datenschutz/von Karin Selzer