TOMs nach Art 32 DSGVO - ein Überblick

Technische und organisatorische Maßnahmen iSd Art 32 DSGVO (TOMs) & Datensicherheitsmaßnahmen des § 54 DSG

Viele Organisationen wissen, dass sie technische und organisatorische Maßnahmen (TOMs) im Rahmen der DSGVO (Datenschutz) umzusetzen haben, können sich jedoch darunter nichts vorstellen.

 

Sie kennen Virusscans, Penetration-Tests, Firewalls, Datensicherungen, passwortgeschützte Zugriffe, Berechtigungssystem ...

 

Aber sind das die TOMs, die in Art 32 DSGVO gemeint sind?

 

Im Österreichischen Datenschutz-Anpassungsgesetz (DSAG 2018) findet sich im Bereich der Umsetzung der VO 580/2016 (für Sicherheitspolizei etc... maßgebend) in § 54 DSG eine Aufzählung von Maßnahmen, die gesetzt werden müssen. Diese können als Vorlage auch für private Organisationen dienen.


Sicherheitsmaßnahme

Maßnahme des Verantwortlichen



Zugangskontrolle

Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle)


Der Serverraum ist versperrt; der Laptop/PC wird in einem versperrten Kasten

verwahrt; der Zutritt zum Serverraum wird protokolliert und es sind nur

diejenigen Personen zutritts- bzw. zugriffsberechtigt, die dazu von der Leitung 

berechtigt wurden



Datenträgerkontrolle

Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern (Datenträgerkontrolle)

Die Daten sind ausschließlich auf dem einem bestimmten Laufwerk des Servers,

Laptop/PC gespeichert, der im .. [Bezeichnung: z.B. xxx verwahrt wird



Benutzerkontrolle

Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle)

Der IT-Administrator vergibt die Benutzerrechte im Rahmen des Notwendigen

(need to know Prinzip, dh es können nur Befugte auf Daten zugreifen)



Zugriffskontrolle

Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems  Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle)

Es besteht eine Passwort-Policy und diese ist den Befugten auch bekannt


Übertragungskontrolle

Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle)  

Daten werden nur an berechtigte Empfänger (z.B. Banken im Rahmen des

Zahlungsverkehrs) elektronisch übertragen;

bei Verwendung der Daten für Schriftstücke gibt es ein Vier-Augen-Prinzip)



Eingabekontrolle

Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind (Eingabekontrolle)

Es wird - wenn mehrere Benutzer bestehen - mitprotokolliert, welcher Benutzer auf

welche Daten zu welchem Zeitpunkt zugegriffen hat; diese Protokolle stehen der

IT-Administration zur Verfügung.



Transportkontrolle

Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle)

Es besteht die Weisung, dass Daten nicht auf mobilen Datenträgern gespeichert werden.

(USB-Sticks, Smartphones); 

der Laptop/PC darf nur von befugten Personen verwendet und transportiert werden.

Wenn der Laptop z.B. zur Reparatur außer Haus gebracht wird, ist sichergestellt, dass

der Empfänger die Daten vertraulich behandelt (Vertrag)



Wiederherstellung

 Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellung)

Es besteht eine Sicherung der Daten (Form der Sicherung: …, zeitlicher Abstand der

Sicherung: …).

Die IT-Administration ist in der Lage, die Sicherung zeitnahe einzuspielen.

Das Szenario wird in periodischen Abständen getestet



Datenintegrität

Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität)

Es erfolgen die notwendigen Updates des Betriebssystemes und der sonstigen Programme; es gibt einen ausreichend Schutz gegen Intrusion und Viren. Es ist im Rahmen des Prozesses der Aufnahme neuer betroffener Personen sichergestellt, dass es einen Auftrag (...) gibt


Kommentar schreiben

Kommentare: 0