Zurück zu: Datenschutz – der komplette Kurs
Wer ist TOM?
TOM steht für die „Technischen und Organisatorischen Maßnahmen“ (Art. 32 DSGVO)
Diese Maßnehmen müssen umgesetzt werden:
- Pseudonymisierung;
- Verschlüsselung;
- Gewährleistung der Vertraulichkeit;
- Gewährleistung der Integrität;
- Gewährleistung der Verfügbarkeit;
- Gewährleistung der Belastbarkeit der Systeme;
- Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall;
- Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
Pseudonymisierung
Wikipedia definiert die Pseudonymisierung als einen Vorgang, bei dem persönliche Daten durch z.B. Zahlenfolgen ersetzt werden, so dass diese nicht mehr zuordenbar sind. Also z.B. Ersetzung einer E-Mail Adresse durch eine User-ID. Namen durch Kunden- Lieferanten- oder Personalnummern, so dass man Details zu einer Person auch verwenden, verarbeiten oder weitergeben kann, ohne dass sie einer Person zugeordnet werden können.
Verschlüsselung
Hier geht es um Formen von Verschlüsselung bei Speicherung oder Datenübertragungen, mit denen sichergestellt werden kann, dass niemand etwas mit den Daten anfangen kann, sollten sie in falsche Hände geraten.
Gewährleistung der Vertraulichkeit
Die Vertraulichkeit wird dadurch gewährleistet, dass nicht jeder Zutritt zu den Räumen hat, in denen Daten verarbeitet werden und Zugang zu den IT-Systemen nur mit entsprechender Berechtigung möglich ist. Passwortregelungen gehören beispielsweise hierher, das Verhalten beim Verlassen des Arbeitsplatzes oder der Umgang mit betriebsfremden Personen
Gewährleistung der Integrität
Wie gewährleisten Sie, dass die Daten, die Sie verarbeiten an sich richtig sind? Wie werden Änderungen oder Löschungen gesteuert? Informationen über Berechtigungs- und Löschkonzepte gehören hier her.
Gewährleistung der Verfügbarkeit
Auch das gehört dazu: Die Maßnahmen, die man einsetzt, damit die Daten auch dann noch verfügbar sind, wenn beispielsweise der Server gehackt wurde, oder die Systeme eventuell durch Stromausfall, Wasserschaden. Feuer oder anderen Katastrophen, auf die wir keinen Einfluss haben, zerstört wurde.
Regelmäßige Backups und eine Unabhängige Stromversorgung (USV) können die Verfügbarkeit gewährleisten
Gewährleistung der Belastbarkeit der Systeme
Machen Sie regelmäßige Checks, ob Ihre Systeme gegen Unfälle oder Eindringlinge sicher sind? Werden sie regelmäßig gewartet und auf ihre Funktion geprüft? Defekte Komponenten umgehend erneuert?
Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall
Haben Sie Vogehensweisen, bei einem Zwischenfall, bei dem zum Beispiel alle ihre Daten auf dem Server gelöscht worden sind, die Daten schnell wiederherstellen zu können?
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Um diese Dinge geht es hier:
- Haben alle Mitarbeiter die Verpflichtung zur Einhaltung der DSGVO unterschrieben?
- Finden regelmäßig Schulungen statt?
- Sind alle Verarbeitungstätigkeiten in einem Verzeichnis dokumentiert?
- Gibt es eine Datenschutzfolgeabschätzung und Risikoanalyse für die Verarbeitung sensibler Daten?
- Gibt es ein Datenschutzkonzept?
- Ein Datensicherheitskonzept?
- Ein Löschkonzept?
- Finden regelmäßige Datenschutzaudits statt?
- Ist ein Datenschutzbeauftragter vorhanden und ist er bei der zuständigen Aufsichtsbehörde gemeldet?