Technische und organisatorische Maßnahmen

Technische und organisatorische Maßnahmen (TOMs) sind die nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) vorgeschriebenen Maßnahmen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Jeder Verantwortliche hat die TOMs in seinem Verzeichnis von Verarbeitungstätigkeiten zu dokumentieren. Darüber hinaus muss jeder Verantwortliche TOMs umsetzen, um gemäß Art. 24 DS-GVO sicherzustellen, dass die Rechte und Freiheiten der betroffenen Personen gewahrt werden. Der Verantwortliche hat gemäß Art. 25 DS-GVO zudem TOMs zu ergreifen, die geeignet sind, die Datenschutzgrundsätze wie z. B. Datenminimierung umzusetzen.

Anwendungsbereich

Nach Art. 32 DS-GVO sind Verantwortliche und Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (kurz: TOMs) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen sind die Maßnahmen zu bestimmen. Die Kriterien, die die TOMs erfüllen müssen, ebenso wie einige Beispiele für entsprechende Maßnahmen sind in Art. 32 Abs. 1 DSGVO beschrieben.

Einzelmaßnahmen gemäß DS-GVO

Die deutschen Datenschutzaufsichtsbehörden empfehlen in ihren „Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO[1]“ Maßnahmen zu folgenden Bereichen umzusetzen und zu dokumentieren:

Maßnahmenbereich Art. 32 DS-GVO:

  • Pseudonymisierung personenbezogener Daten
  • Verschlüsselung personenbezogener Daten
  • Gewährleistung der Integrität und Vertraulichkeit der Systeme und Dienste
  • Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen nach einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgenannten Maßnahmen

Weitere Maßnahmenbereiche, die sich aus der DS-GVO ergeben und deren Darstellung im Verzeichnis empfohlen wird:

  • Gewährleistung der Zweckbindung personenbezogener Daten (Art. 5 Abs. 1 lit. b) DS-GVO)
  • Gewährleistung der Transparenz für Betroffene, Verantwortliche und Kontrollinstanzen (Art. 5 Abs. 1 lit. a) DS-GVO)
  • Gewährleistung der Betroffenenrechte (Art. 13 ff. DS-GVO)

Einzelmaßnahmen gemäß BDSG für Strafverfolgungs- und Justizbehörden

Auch das BDSG enthält einen Katalog von technischen und organisatorischen Maßnahmen§ 64, allerdings nur für Verantwortliche aus dem Bereich der Strafverfolgungs- und Justizbehörden. Gemäß § 64 enthält er 14 Zwecke, zu denen Maßnahmen erforderlich sind: Zugangskontrolle, Datenträgerkontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übertragungskontrolle, Eingabekontrolle, Transportkontrolle, Wiederherstellbarkeit, Zuverlässigkeit, Datenintegrität, Auftragskontrolle, Verfügbarkeitskontrolle und Trennbarkeit.

Einzelmaßnahmen gemäß BDSG 1990 (1990–2018)

Die technischen und organisatorischen Maßnahmen waren im Einzelnen laut Anlage zu § 9 BDSG in definierter Reihenfolge:

TOMZielBeispiele für eine TOM
ZutrittskontrolleVerhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen haben.Alarmanlage
Pförtner
ZugangskontrolleVerhindern, dass Unbefugte Datenverarbeitungsanlagen nutzen können.Passwortverfahren
Verschlüsselung
ZugriffskontrolleGewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt gelesen, verändert, kopiert oder entfernt werden können.Berechtigungskonzepte
Protokollierung
WeitergabekontrolleGewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.Verschlüsselung
VPN
EingabekontrolleGewährleisten, dass nachträglich überprüft werden kann, ob und wer Daten verändert oder entfernt hat.Protokollierung
Protokollauswertungssysteme
AuftragskontrolleGewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Anweisungen des Auftraggebers verarbeitet werden können.Vertragsgestaltung bei ADV
Kontrollen
VerfügbarkeitskontrolleGewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind.Datensicherung/Backup
Firewall/Virenschutz
TrennungsgebotGewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werdenMandanten
Trennung der Systeme

Einzelmaßnahmen gemäß BDSG 1977 (1978–1990)

Im BDSG 1977 umfasste der Katalog der technischen und organisatorischen Maßnahmen gemäß Anlage zu § 6 Abs. 1 Satz 1 noch 10 Kontrollen: Zugangskontrolle, Abgangskontrolle, Speicherkontrolle, Benutzerkontrolle, Zugriffskontrolle, Übermittlungskontrolle, Eingabekontrolle, Auftragskontrolle, Transportkontrolle sowie Organisationskontrolle.

Weblinks

Einzelnachweise

  1. Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO. Datenschutzkonferenz, abgerufen am 31. März 2021.