circle-info
Ihre Empfehlung zahlt sich doppelt aus – sichern Sie sich und Ihrem Netzwerk jeweils 100 € Bonus!
Jetzt empfehlen & 200 € sichernarrow-up-right
search
ETRON E-CommerceETRON WinETRON Kundenportal

TOMs Technische Umsetzung

technisch-organisatorische Maßnahmen

Überblick: Grundlage Art. 32 DSGVO

Artikel  32 DSGVO verlangt, unter Berücksichtigung von „Stand der Technik, Implementierungskosten, Art, Umfang, Umstände und Zweck der Verarbeitung sowie Risiken…“ angemessene Maßnahmen zu ergreifen, insbesondere um insbesondere folgende Bereiche abzudecken:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten

  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherstellen

  • Wiederherstellung der Datenverfügbarkeit bei Zwischenfällen

  • Regelmäßige Überprüfung und Bewertung der TOMs

Maßnahmenkategorien und Beispiele Zutrittskontrolle (physisch)

  • Technisch: Sicherheitsschlösser, Chipkarten, Videoüberwachung mit Alarmfunktion

  • Organisatorisch: Besuchererfassung, Schlüsselverwaltung

hashtag
Zugangskontrolle (digitaler Zugang)

  • Technisch: VPN, Verschlüsselung von Endgeräten, Antiviren-Software, Firewalls, individuelle Authentifizierung (Passwort/MFA)

  • Organisatorisch: Vorgaben zur Passwort-Komplexität, Benutzerprofil-Regeln, Berechtigungskonzepte

hashtag
Zugriffskontrolle (Systemzugriffe)

  • Technisch: Protokollierung (Logging), Verschlüsselung, datenschutzkonforme Vernichtung

  • Organisatorisch: Rollen- und Berechtigungskonzepte, Admin-Rolle restriktionieren, Löschkonzepte durch Dienstleister

hashtag
Weitergabekontrolle (Datenübertragung)

  • Technisch: E-Mail-Verschlüsselung, sicherer Transport (z. B. VPN), sichere Transportbehälter

  • Organisatorisch: Auswahl vertrauenswürdiger Transportpersonen, Dokumentation der Empfänger, Verfahrensverzeichnisse

hashtag
Eingabekontrolle (Änderungen nachvollziehen)

  • Technisch: Protokolle über Eingaben, Active Directory, Berechtigungskonzepte

  • Organisatorisch: Individuelle Benutzerkennungen, kontrollierte Rechtevergabe

hashtag
Auftragskontrolle (AV-Vermittler)

  • Organisatorisch: Auswahl und Kontrolle von Dienstleistern, AV-Verträge, Weisungsrechte, Vertragsstrafen, Datenvernichtungsnachweise

hashtag
Verfügbarkeitskontrolle & Wiederherstellung

  • Technisch: Backups, USV, Redundanz, Feuer- und Rauchmelder, Klimatisierung, Backup auf 2 Standorten

  • Organisatorisch: Notfall- und Wiederherstellungspläne, regelmäßige Backup-Tests, Schutz des Serverraums

hashtag
Trennungskontrolle (zweckbezogene Datenverarbeitung)

  • Technisch: Mandantentrennung, Verschlüsselung, logische Datenbanktrennung, Trennung von Produktiv- und Testumgebung

  • Organisatorisch: klare Rechtevergabe je Mandant, Zweckbezogene Datenhaltung

Pseudonymisierung & Anonymisierung

  • Technisch: Einsatz von Pseudonymisierungssystemen

  • Organisatorisch: interne Anweisungen zur Umsetzung, getrennte Aufbewahrung der Zuordnungsdaten

Ergänzende Management- und Dokumentationsmaßnahmen

  • Schulungen, Leitlinien und Awareness-Maßnahmen

  • Regelmäßige Audits

VorherigeVereinbarung zur Auftragsdatenverarbeitung (§ 28)NächsteETRON Win

Zuletzt aktualisiert