Technische und organisatorische Maßnahmen
Nach § 9 BDSG (Bundesdatenschutzgesetz) sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen verpflichtet, technische und/oder organisatorische Maßnahmen, kurz: TOM, zu treffen. Damit soll gewährleistet werden, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind. Eine Konkretisierung dieser Anforderungen ergibt sich aus der Anlage zu § 9 BDSG.
T O M
Zutrittskontrolle | Unbefugte sollten keinen körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, erhalten. |
Zugangskontrolle | Unbefugte sollen Datenverarbeitungssysteme nicht nutzen können. |
Zugriffskontrolle | Nur Berechtigte sollen Zugriff auf personenbezogene Daten erhalten, die ihrer Zugriffsberechtigung entsprechen. Daten sollen bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. |
Weitergabekontrolle | Unbefugte sollen Datenträger während ihres Transports oder elektronischer Übermittlung nicht lesen, kopieren, verändern oder löschen können. Außerdem soll überprüft und festgestellt werden können, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Übertragung vorgesehen ist. |
Eingabekontrolle | Es soll nachvollziehbar sein, ob und von wem personenbezogene Daten im System eingegeben, verändert oder gelöscht worden sind. |
Auftragskontrolle | Der Auftragnehmer soll personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeiten können. |
Verfügbarkeitskontrolle | Personenbezogene Daten sollgen gegen zufällige Zerstörung oder Verlust geschützt werden. |
Trennungsgebot | Zu unterschiedlichen Zwecken erhobene Daten sollen getrennt verarbeitet werden. |
AuditCoach
unterstützt Sie bei der Realisierung technisch-organisatorischer Maßnahmen:
- Umsetzung der Datenschutzvorschriften durch IT-Sicherheits- und Datenschutz-Regelungen
- Einbeziehung der Arbeitsnehmervertretung zur Behandlung von Mitarbeiterdaten
- Physikalisches Löschen von Datenträgern
- kryptographische Verschlüsselung
- Protokollierung und Dokumentation