Loading AI tools
Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Jeder Verantwortliche hat die TOMs in seinem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Darüber hinaus muss jeder Verantwortliche TOMs umsetzen, um gemäß Art. 24 DS-GVO sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt werden. Der Verantwortliche hat gemäß Art. 25 DS-GVO zudem TOMs zu ergreifen, die geeignet sind, die Datenschutzgrundsätze wie z. B. Datenminimierung umzusetzen.
Nach Art. 32 DS-GVO sind Verantwortliche und Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOMs) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Die Kriterien, die die TOMs erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.
Die deutschen Datenschutzaufsichtsbehörden empfehlen in ihren „Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO[1]“ Maßnahmen zu folgenden Bereichen umzusetzen und zu dokumentieren:
Maßnahmenbereich Art. 32 DS-GVO:
- Pseudonymisierung personenbezogener Daten
- Verschlüsselung personenbezogener Daten
- Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste
- Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
Weitere Maßnahmenbereiche, die sich aus der DS-GVO ergeben und deren Darstellung im Verzeichnis empfohlen wird:
- Gewährleistung der Zweckbindung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DS-GVO)
- Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen (Art. 5 Abs. 1 lit. a) DS-GVO)
- Gewährleistung der Betroffenenrechte (Art. 13 ff. DS-GVO)
Auch das BDSG enthält einen Katalog von technischen und organisatorischen Maßnahmen§ 64, allerdings nur für Verantwortliche aus dem Bereich der Strafverfolgungs- und Justizbehörden. Gemäß § 64 enthält er 14 Zwecke, zu denen Maßnahmen erforderlich sind: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit.
Die technischen und organisatorischen Maßnahmen waren im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:
| TOM | Ziel | Beispiele für eine TOM |
|---|---|---|
| Zutrittskontrolle | Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. | Alarmanlage Pförtner |
| Zugangskontrolle | Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. | Passwortverfahren Verschlüsselung |
| Zugriffskontrolle | Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. | Berechtigungskonzepte Protokollierung |
| Weitergabekontrolle | Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Verschlüsselung VPN |
| Eingabekontrolle | Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. | Protokollierung Protokollauswertungssysteme |
| Auftragskontrolle | Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. | Vertragsgestaltung bei ADV Kontrollen |
| Verfügbarkeitskontrolle | Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | Datensicherung/Backup Firewall/Virenschutz |
| Trennungsgebot | Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden | Mandanten Trennung der Systeme |
Im BDSG 1977 umfasste der Katalog der technischen und organisatorischen Maßnahmen gemäß Anlage zu § 6 Abs. 1 Satz 1 noch 10 Kontrollen: Zugangskontrolle, Abgangskontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übermittlungskontrolle, Eingabekontrolle, Auftragskontrolle, Transportkontrolle sowie Organisationskontrolle.
Wikiwand in your browser!
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
