Technisch-organisatorische Maßnahmen (TOMs) zur Einhaltung der DSGVO

Kundenspezifisch anpassen!! 

 Zutrittskontrolle 

 Maßnahme, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogenen Daten verarbeitet oder genutzt werden, zu verwehren. 

 

 Eigener, versperrter Serverraum im Keller 

 Zusätzlich versperrter EDV Schrank 

 

 Zugangskontrolle 

 Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. 

 

 Zuordnung von Benutzerrechten 

 Passwortvergabe 

 Einsatz von VPN-Technologie 

 Authentifikation mit Benutzername / Passwort 

 Einsatz von Anti-Viren-Software 

 Einsatz einer Hardware-Firewall 

 Einsatz einer Software-Firewall 

 

 Zugriffskontrolle 

 Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. 

 

 Passwortrichtlinien inkl. Passwortlänge, Passwortwechsel 

 Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten 

 Verschlüsselung von Datenträgern 

 Physische Löschung von Datenträger vor Wiederverwendung 

 

 Weitergabekontrolle 

 Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtung zu Datenübertragung vorgesehen ist 

 

 Einrichtung von Standleitungen bzw. VPN-Tunneln 

 

 Eingabekontrolle 

 Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 

 

 Protokollierung der Eingabe, Änderung und Löschung von Daten 

 Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts. 

 Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen [inkl. Benutzergruppen) 

 

 Auftragskontrolle 

 Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können. 

 

 Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis 

 

 Verfügbarkeitskontrolle 

 Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. 

 

 Unterbrechungsfreie Stromversorgung (USV) 

 Klimaanlage in Serverräumen 

 Feuer- und Rauchmeldeanlage 

 Backup- & Recoverykonzepts 

 Test von Datenwiederherstellungen 

 

 Trennungsgebot 

 Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. 

 

 Berechtigungskonzept