Technische und organisatorischen Maßnahmen

Die vorliegende Ausarbeitung betrifft die technischen und organisatorischen Maßnahmen (TOM), die der Verantwortliche für die Verarbeitung personenbezogener Daten zu treffen hat, um die Sicherheit dieser Daten sicherzustellen. Sie muss zwingend überarbeitet werden und darf auf keinen Fall ohne eine intensive Beschäftigung mit ihr eingesetzt werden.

Technische und organisatorischen Maßnahmen sind auf Verlangen dem betrieblichen (auch externen) Datenschutzbeauftragten und gegebenenfalls auch den Aufsichtsbehörden vorzulegen. Sie dienen außerdem den Verantwortlichen dazu, die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters auf einen ausreichenden Schutz der personenbezogenen Daten zu prüfen, die der Auftragsverarbeiter für den Verantwortlichen verarbeitet.

Hinweis zum Gebrauch

Die vorliegenden TOM sind so aufgebaut, dass sie den Artikeln der DS-GVO folgen. Bitte lesen Sie jeden einzelnen Punkt durch und vergleichen ihn mit der Situation in Ihrem Unternehmen. Ist es genau so, wie beschrieben, können Sie den Punkt übernehmen, ist es etwas anders, ändern Sie bitte die Beschreibung entsprechend. Trifft der Punkt auf Ihr Unternehmen nicht zu – beispielsweise „Klimaanlage im Serverraum“, wenn Sie gar keinen Serverraum haben – löschen Sie ihn bitte ganz. Haben Sie eine Maßnahme umgesetzt, die hier nicht erwähnt wird, vermerken Sie diese Maßnahme bitte an passender Stelle in den TOM. So kommen Sie zu einem individuellen TOM-Konzept.

Wenn Sie alles verstanden haben, können Sie diesen Text bis hierher löschen und das Dokument unter einem für Sie passenden Namen in Ihrem Datenschutzordner speichern.

 

Anlage Technische und organisatorische Maßnahmen

1.Vertraulichkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.

 

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

 

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Pseudonymisierung (Art. 32 Abs. 1 Buchstabe a DSGVO; Art. 25 Abs. 1 DSGVO) Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen; Bitte beschreiben, so vorhanden. Ansonsten komplett löschen!

  1. Integrität (Art. 32 Abs. 1 Buchstabe b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchstabe b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert