Technische und organisatorische Maßnahmen (TOM) sind die nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Jeder Verantwortliche hat die TOM in seinem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Darüber hinaus muss jeder Verantwortliche TOM umsetzen, um gemäß Art. 24 DS-GVO sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt werden. Der Verantwortliche hat gemäß Art. 25 DS-GVO zudem TOM zu ergreifen, die geeignet sind, die Datenschutzgrundsätze wie z. B. Datenminimierung umzusetzen.
Anwendungsbereich
Nach Art. 32 Datenschutz-Grundverordnung sind Verantwortliche und Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Die Kriterien, die die TOM erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.
Einzelmaßnahmen gemäß DS-GVO
Die deutschen Datenschutzaufsichtsbehördern empfehlen in ihren "Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO[1]" Maßnahmen zu folgenden Bereichen zu umzusetzen und zu dokumentieren:
Maßnahmenbereich Art. 32 DS-GVO:
- Pseudonymisierung personenbezogener Daten
- Verschlüsselung personenbezogener Daten
- Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste
- Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen
Weitere Maßnahmenbereiche, die sich aus der DS-GVO ergeben und deren Darstellung im Verzeichnis empfohlen wird:
- Gewährleistung der Zweckbindung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DS-GVO)
- Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen (Art. 5 Abs. 1 lit. a) DS-GVO)
- Gewährleistung der Betroffenenrechte (Art. 13 ff. DS-GVO)
Einzelmaßnahmen gemäß BDSG für Strafverfolgungs- und Justizbehörden
Auch das BDSG enthält einen Katalog von technischen und organisatorischen Maßnahmen§ 64, allerdings nur für Verantwortliche aus dem Bereich der Strafverfolgungs- und Justizbehörden. Gemäß § 64 enthält er 14 Zwecke, zu denen Maßnahmen erforderlich sind: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit.
Einzelmaßnahmen gemäß BDSG 1990 (1990–2018)
Die technischen und organisatorischen Maßnahmen waren im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:
TOM | Ziel | Beispiele für eine TOM |
---|---|---|
Zutrittskontrolle | Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben. | Alarmanlage Pförtner |
Zugangskontrolle | Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können. | Passwortverfahren Verschlüsselung |
Zugriffskontrolle | Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können. | Berechtigungskonzepte Protokollierung |
Weitergabekontrolle | Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Verschlüsselung VPN |
Eingabekontrolle | Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat. | Protokollierung Protokollauswertungssysteme |
Auftragskontrolle | Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können. | Vertragsgestaltung bei ADV Kontrollen |
Verfügbarkeitskontrolle | Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind. | Datensicherung/Backup Firewall/Virenschutz |
Trennungsgebot | Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden | Mandanten Trennung der Systeme |
Einzelmaßnahmen gemäß BDSG 1977 (1978–1990)
Im BDSG 1977 umfasste der Katalog der technischen und organisatorischen Maßnahmen gemäß Anlage zu § 6 Abs. 1 Satz 1 noch 10 Kontrollen: Zugangskontrolle, Abgangskontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übermittlungskontrolle, Eingabekontrolle, Auftragskontrolle, Transportkontrolle sowie Organisationskontrolle.
Weblinks
Einzelnachweise
- ↑ Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO. Datenschutzkonferenz, abgerufen am 31. März 2021.