# TOMs Technische Umsetzung

**Überblick: Grundlage Art. 32 DSGVO**<br>

Artikel  32 DSGVO verlangt, unter Berücksichtigung von „Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung sowie Risiken…“ angemessene Maßnahmen zu ergreifen, insbesondere um insbesondere folgende Bereiche abzudecken:

* **Pseudonymisierung und Verschlüsselung personenbezogener Daten**
* **Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit** der Systeme dauerhaft sicherstellen
* **Wiederherstellung der Datenverfügbarkeit bei Zwischenfällen**
* **Regelmäßige Überprüfung und Bewertung der TOMs**<br>

**Maßnahmenkategorien und Beispiele**\
\
Zutrittskontrolle (physisch)

* **Technisch**: Sicherheitsschlösser, Chipkarten, Videoüberwachung mit Alarmfunktion
* **Organisatorisch**: Besuchererfassung, Schlüsselverwaltung

#### Zugangskontrolle (digitaler Zugang)

* **Technisch**: VPN, Verschlüsselung von Endgeräten, Antiviren-Software, Firewalls, individuelle Authentifizierung (Passwort/MFA)
* **Organisatorisch**: Vorgaben zur Passwort-Komplexität, Benutzerprofil-Regeln, Berechtigungskonzepte

#### Zugriffskontrolle (Systemzugriffe)

* **Technisch**: Protokollierung (Logging), Verschlüsselung, datenschutzkonforme Vernichtung
* **Organisatorisch**: Rollen- und Berechtigungskonzepte, Admin-Rolle restriktionieren, Löschkonzepte durch Dienstleister

#### Weitergabekontrolle (Datenübertragung)

* **Technisch**: E-Mail-Verschlüsselung, sicherer Transport (z. B. VPN), sichere Transportbehälter
* **Organisatorisch**: Auswahl vertrauenswürdiger Transportpersonen, Dokumentation der Empfänger, Verfahrensverzeichnisse

#### Eingabekontrolle (Änderungen nachvollziehen)

* **Technisch**: Protokolle über Eingaben, Active Directory, Berechtigungskonzepte
* **Organisatorisch**: Individuelle Benutzerkennungen, kontrollierte Rechtevergabe

#### Auftragskontrolle (AV-Vermittler)

* **Organisatorisch**: Auswahl und Kontrolle von Dienstleistern, AV-Verträge, Weisungsrechte, Vertragsstrafen, Datenvernichtungsnachweise<br>

#### Verfügbarkeitskontrolle & Wiederherstellung

* **Technisch**: Backups, USV, Redundanz, Feuer- und Rauchmelder, Klimatisierung, Backup auf 2 Standorten
* **Organisatorisch**: Notfall- und Wiederherstellungspläne, regelmäßige Backup-Tests, Schutz des Serverraums

#### Trennungskontrolle (zweckbezogene Datenverarbeitung)

* **Technisch**: Mandantentrennung, Verschlüsselung, logische Datenbanktrennung, Trennung von Produktiv- und Testumgebung
* **Organisatorisch**: klare Rechtevergabe je Mandant, Zweckbezogene Datenhaltung<br>

Pseudonymisierung & Anonymisierung

* **Technisch**: Einsatz von Pseudonymisierungssystemen&#x20;
* **Organisatorisch**: interne Anweisungen zur Umsetzung, getrennte Aufbewahrung der Zuordnungsdaten

Ergänzende Management- und Dokumentationsmaßnahmen

* Schulungen, Leitlinien und Awareness-Maßnahmen
* Regelmäßige Audits


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://helpcenter.etron.info/etron-allgemein/alles-zur-dsgvo/toms-technische-umsetzung.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.