Alles unter Kontrolle?

Die Technisch-Organisatorischen Maßnahmen (TOM‘s)

Die DSGVO macht eine ganze Reihe von technisch-organisatorischen Maßnahmen (TOM’s) jetzt zur Pflicht für jeden Anbieter und Verarbeiter digitaler Dienstleistungen. Nicht alle sind neu, oft handelt es sich auch um Bestimmungen, wie sie sich bereits in den nationalen Datenschutzgesetzen fanden. In der Regel handelt es sich stets um Kontrollmaßnahmen, die auch dokumentiert und zertifiziert sein müssen. Hier die zehn wichtigsten TOM‘s, welche das Pflichtenheft der DSGVO jetzt umfasst:

1. Zugangskontrolle: Unbefugte sind von allen Einrichtungen, mit Hilfe derer eine Datenverarbeitung durchgeführt wird, fernzuhalten.
2. Zugriffskontrolle: Es muss sichergestellt sein, dass Mitarbeiter nur auf jene Daten Zugriff haben, welche ihrer Zugangsberechtigung entsprechen.
3. Datenträgerkontrolle: Es ist sicherzustellen, dass Daten nicht unbefugt ausgelesen, verändert oder gar gelöscht werden können.
4. Transportkontrolle: Personenbezogene Daten müssen auch bei der Übermittlung oder beim Transport von Datenträgern vertraulich und integer bleiben.
5. Speicherkontrolle: Der Anbieter muss sicherstellen, dass keine Daten unbefugt eingegeben, verändert oder gelöscht werden können.
6. Benutzerkontrolle: Jede Nutzung einer automatisierten Verarbeitung durch Unbefugte muss ausgeschlossen sein.
7. Übertragungskontrolle: Für alle personenbezogenen Daten muss gewährleistet sein, dass sie nur jenen Stellen zur Verfügung gestellt werden, die zur Kenntnisnahme berechtigt sind.
8. Eingabekontrolle: Auch nachträglich muss sichergestellt sein, dass jeder Nutzer, der Daten eingab oder veränderte, dauerhaft zugeordnet werden kann.
9. Auftragskontrolle: Es muss sichergestellt sein, dass Daten die im Auftrag verarbeitet werden, nur gemäß den Weisungen des Auftraggebers verarbeitet werden.
10. Verfügbarkeitskontrolle: Personenbezogene Daten müssen sicher vor Zerstörung oder Verlust geschützt sein.

Hinzu kommen noch einige technische und organisatorische Bedingungen, die sich auf die systemischen Eigenschaften der eingesetzten Geräte beziehen:

1. Wiederherstellbarkeit: Im Falle einer technischen Panne müssen die Daten fehlerfrei rekonstruiert werden können.
2. Zuverlässigkeit: Alle Funktionen eines datenverarbeitenden Systems müssen stets unterbrechungsfrei zur Verfügung stehen, auftretende Fehlfunktionen sind meldepflichtig.
3. Integrität: Es ist sicherzustellen, dass Daten nicht durch Fehlfunktionen der Technik verändert oder beschädigt werden können.
4. Trennbarkeit: Der Anbieter muss gewährleisten, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden können.

Bei der Umsetzung der neuerdings erforderlichen Technisch-Organisatorischen Maßnahmen (TOM’s) stehen Ihnen die zertifizierten Datenschutzbeauftragten bei b.r.m. sehr gerne zur Seite:

Rainer Dedermann & Harald Rossol

Λ