Technisch-organisatorische Maßnahmen (TOMs) zur Einhaltung der DSGVO

Kundenspezifisch anpassen!!

Zutrittskontrolle

Maßnahme, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet oder genutzt werden, zu verwehren.

• Eigener, versperrter Serverraum im Keller
• Zusätzlich versperrter EDV Schrank

Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

• Zuordnung von Benutzerrechten
• Passwortvergabe
• Einsatz von VPN-Technologie
• Authentifikation mit Benutzername / Passwort
• Einsatz von Anti-Viren-Software
• Einsatz einer Hardware-Firewall
• Einsatz einer Software-Firewall

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

• Passwortrichtlinien inkl. Passwortlänge, Passwortwechsel
• Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
• Verschlüsselung von Datenträgern
• Physische Löschung von Datenträger vor Wiederverwendung

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtung zu Datenübertragung vorgesehen ist

• Einrichtung von Standleitungen bzw. VPN-Tunneln

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

• Protokollierung der Eingabe, Änderung und Löschung von Daten
• Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts.
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen [inkl. Benutzergruppen)

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können.

• Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

• Unterbrechungsfreie Stromversorgung (USV)
• Klimaanlage in Serverräumen
• Feuer- und Rauchmeldeanlage
• Backup- & Recoverykonzepts
• Test von Datenwiederherstellungen

Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Berechtigungskonzept