Technische & organisatorische Maßnahmen (TOM)


Gemäß Artikel 32 DS-GVO hat die Stelle, die personenbezogene Daten erhebt, verarbeitetoder nutzt, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um diese rechtskonform zu erheben und zu schützen.


Zu berücksichtigen sind:

» Implementierungskosten im Verhältnis zur Wirtschaftskraft
» Art, Umfang, Umstände und Zwecke der Verarbeitung
» Eintrittswahrscheinlichkeit und Schwere eines möglichen Risikos
» Risiko fehlerhafter Datenverarbeitung für die betroffene Person


Folgendes ist dabei zu dokumentieren:

Zutritt
Wer hält sich wann in welchem Raum mit welcher DV-Anlage auf?

Zugang
Wie Wer hat wann welches DV-System benutzt?

Zugriff
Wer hat wann auf welche Daten zugegriffen?

Trennung
Unterschiedliche Zwecke = getrennte Verarbeitung

Pseudonymisierung & Verschlüsselung
Werden personenbezogene Daten für die weitere Verarbeitung pseudonymisiert? Werden Daten verschlüsselt übermittelt?

Weitergabe
Wie sind die Daten auf dem Transportweg gesichert?

Eingabe
Ist erkennbar, wer wessen Daten eingegeben, verändert oder entfernt hat?

Verfügbarkeit und Belastbarkeit
Sind meine Daten gegen zufällige oder mutwillige Zerstörung bzw. Verlust geschützt?

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Welche Prozesse setzen Sie ein, um stets auf dem aktuellsten Stand zu sein? Wer prüft die Compliance?