Ihre Empfehlung zahlt sich doppelt aus – sichern Sie sich und Ihrem Netzwerk jeweils 100 € Bonus!
Jetzt empfehlen & 200 € sichern
ETRON E-CommerceETRON WinETRON Kundenportal

TOMs Technische Umsetzung

technisch-organisatorische Maßnahmen

Überblick: Grundlage Art. 32 DSGVO

Artikel  32 DSGVO verlangt, unter Berücksichtigung von „Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung sowie Risiken…“ angemessene Maßnahmen zu ergreifen, insbesondere um insbesondere folgende Bereiche abzudecken:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten

  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherstellen

  • Wiederherstellung der Datenverfügbarkeit bei Zwischenfällen

  • Regelmäßige Überprüfung und Bewertung der TOMs

Maßnahmenkategorien und Beispiele Zutrittskontrolle (physisch)

  • Technisch: Sicherheitsschlösser, Chipkarten, Videoüberwachung mit Alarmfunktion

  • Organisatorisch: Besuchererfassung, Schlüsselverwaltung

Zugangskontrolle (digitaler Zugang)

  • Technisch: VPN, Verschlüsselung von Endgeräten, Antiviren-Software, Firewalls, individuelle Authentifizierung (Passwort/MFA)

  • Organisatorisch: Vorgaben zur Passwort-Komplexität, Benutzerprofil-Regeln, Berechtigungskonzepte

Zugriffskontrolle (Systemzugriffe)

  • Technisch: Protokollierung (Logging), Verschlüsselung, datenschutzkonforme Vernichtung

  • Organisatorisch: Rollen- und Berechtigungskonzepte, Admin-Rolle restriktionieren, Löschkonzepte durch Dienstleister

Weitergabekontrolle (Datenübertragung)

  • Technisch: E-Mail-Verschlüsselung, sicherer Transport (z. B. VPN), sichere Transportbehälter

  • Organisatorisch: Auswahl vertrauenswürdiger Transportpersonen, Dokumentation der Empfänger, Verfahrensverzeichnisse

Eingabekontrolle (Änderungen nachvollziehen)

  • Technisch: Protokolle über Eingaben, Active Directory, Berechtigungskonzepte

  • Organisatorisch: Individuelle Benutzerkennungen, kontrollierte Rechtevergabe

Auftragskontrolle (AV-Vermittler)

  • Organisatorisch: Auswahl und Kontrolle von Dienstleistern, AV-Verträge, Weisungsrechte, Vertragsstrafen, Datenvernichtungsnachweise

Verfügbarkeitskontrolle & Wiederherstellung

  • Technisch: Backups, USV, Redundanz, Feuer- und Rauchmelder, Klimatisierung, Backup auf 2 Standorten

  • Organisatorisch: Notfall- und Wiederherstellungspläne, regelmäßige Backup-Tests, Schutz des Serverraums

Trennungskontrolle (zweckbezogene Datenverarbeitung)

  • Technisch: Mandantentrennung, Verschlüsselung, logische Datenbanktrennung, Trennung von Produktiv- und Testumgebung

  • Organisatorisch: klare Rechtevergabe je Mandant, Zweckbezogene Datenhaltung

Pseudonymisierung & Anonymisierung

  • Technisch: Einsatz von Pseudonymisierungssystemen

  • Organisatorisch: interne Anweisungen zur Umsetzung, getrennte Aufbewahrung der Zuordnungsdaten

Ergänzende Management- und Dokumentationsmaßnahmen

  • Schulungen, Leitlinien und Awareness-Maßnahmen

  • Regelmäßige Audits

VorherigeVereinbarung zur Auftragsdatenverarbeitung (§ 28)NächsteETRON Win

Zuletzt aktualisiert