Was sind technische und organisatorische Maßnahmen in der DSGVO?
Technische und organisatorische Maßnahmen (auch einfach technisch organisatorische Maßnahmenoder kurz TOM genannt) sind durch die DSGVO (Datenschutz-Grundverordnung) vorgeschriebene Maßnahmen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten sollen.
Wann braucht man technisch organisatorische Maßnahmen?
Gemäß § 9 Bundesdatenschutzgesetz (BDSG) sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind
Was versteht man unter technischen Maßnahmen?
Darunter fallen sämtliche Maßnahmen die die Sicherheit von den eingesetzten IT-Systemen, bis hin zur Sicherheit des Gebäudes in dem sie sich befinden, gewährleisten. Beispiele können etwa sein: Verschlüsselung der Datenträger bzw. der Datenübermittlung.
Was bedeutet Tom in der IT?
TOM ist die Abkürzung für die technischen und organisatorischen Maßnahmen. Das sind Maßnahmen, die um Schutz der personen-bezogenen Daten vom Verantwortlichen ergriffen werden. Die TOM betreffen sowohl das Unternehmen als Ganzes wie auch einzelne Abteilungen und jeden einzelnen Mitarbeiter
Wer trägt die Verantwortung für den Schutz von personenbezogenen Daten durch technische und organisatorische Maßnahmen?
In Art. 24 DSGVO wird klargestellt, dass der Verantwortliche die volle Verantwortung für die personenbezogenen Daten trägt, über deren Zwecke und Mittel er zur Verarbeitung entscheidet
Verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben.
Alarmanlage
Pförtner / Sekretariat / Anmeldung
Zutrittskontrolle steuert den Zutritt über ein vom Betreiber festgelegtes Regelwerk „WER−WANN−WOHIN“, damit nur berechtigte Personen Zugang zu den für sie freigegebenen Bereichen in Gebäuden oder geschützten Arealen auf einem Gelände erhalten. Die Zutrittsberechtigungen können zeitlich begrenzt werden (Ablauffrist, Uhrzeit). Die Zutrittsberechtigung kann von Menschen, z. B. Mitarbeitern eines Sicherheitsdienstes, oder auch von technischen Zutrittskontrollsystemen anhand von Identitätsnachweisen überprüft werden.
Verhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können.
Passwortverfahren
Verschlüsselung
Zugangskontrolle (engl. admission control) verwehrt Unbefugten den Zugang zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird. So wird sichergestellt, dass z. B. ein Rechner nur mit berechtigten Nutzern kommunizieren kann. Es wird zwischen Zugangskontrolldiensten, zur Realisierung der Zugangskontrolle, und zugangskontrollierten Diensten, die erst nach erfolgreicher Zugangskontrolle genutzt werden können, unterschieden.
Zugriffskontrolle ist die Überwachung und Steuerung des Zugriffs auf bestimmte Ressourcen. Das Ziel der Zugriffskontrolle ist die Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Informationen.
Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können.
Berechtigungskonzepte
Protokollierung
Eine der wichtigsten Grundlagen der Informationssicherheit ist die Art und Weise, wie auf Ressourcen zugegriffen werden kann und wie diese Ressourcen durch die Zugriffsmechanismen geschützt werden. Somit handelt es sich bei der Zugriffskontrolle nicht nur um technische Hilfsmittel
Weitergabekontrolle
Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
Verschlüsselung
VPN
Eingabekontrolle
Gewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat.
Protokollierung
Protokollauswertungssysteme
Auftragskontrolle
Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können.
Vertragsgestaltung bei ADV
Kontrollen
Verfügbarkeitskontrolle
Gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Datensicherung / Backup
Firewall / Virenschutz
Trennungsgebot
Gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
Mandanten
Trennung der Systeme