Technisch-organisatorische Maßnahmen (TOM)

GÜLTIGE FASSUNG VOM MÄRZ 2018

Technische Maßnahmen

  1. Verschlüsselung

    1. Datenübertragung: Sichere Protokolle wie HTTPS, um die Übertragung von personenbezogenen Daten über Netzwerke zu verschlüsseln.
    2. Datenlagerung: Verschlüsselte Speicherung personenbezogener Daten, sei es in Datenbanken, Dateien oder anderen Speichermedien.

  2. Zugriffskontrolle

    • Authentifizierung: Mechanismen wie Passwörter, Zwei-Faktor-Authentifizierung oder biometrische Identifikation, um sicherzustellen, sodass nur autorisierte Benutzer auf Daten zugreifen können.
    • Autorisierung: Klare Zugriffsrechte für Mitarbeiter basierend auf ihren Rollen und Aufgaben, und implementiere entsprechende Autorisierungsmechanismen.

  3. Pseudonymisierung

    • Trennung personenbezogener Daten von Identifikationsmerkmalen und Ersetzung durch pseudonyme Identifikatoren, um eine direkte Verbindung zu einzelnen Personen zu verhindern, ohne die Daten unnötig zu beeinträchtigen.

  4. Datensparsamkeit

    • Erfassung und Speicherung lediglich jener Daten, die für den spezifischen Zweck erforderlich sind, und Reduzierung der Menge an gesammelten personenbezogenen Daten auf ein Minimum.
    • Implementierung von Mechanismen zur automatischen Anonymisierung oder Löschung von Daten, sobald sie nicht mehr benötigt werden.

  5. Datensicherung und -wiederherstellung

    • Regelmäßige Durchführung von Datensicherungen und Speicherung von Backups an sicheren Orten, um im Falle eines Datenverlusts oder einer Datenschutzverletzung eine schnelle Wiederherstellung zu ermöglichen.

  6. Datenschutz durch Technikgestaltung (Privacy by Design)

    • Integration der Datenschutzprinzipien bereits in die Entwicklung von Systemen, Produkten und Dienstleistungen, um von Anfang an die Einhaltung der DSGVO sicherzustellen.

Organisatorische Maßnahmen

  1. Datenschutzrichtlinien und -verfahren

    1. Erstellung klarer Datenschutzrichtlinien und -verfahren, um die die Einhaltung der DSGVO sicherzustellen und die Verantwortlichkeiten der Mitarbeiter deutlich definieren.
    2. Sicherstellung, dass die Datenschutzrichtlinien regelmäßig überprüft, aktualisiert und von allen Mitarbeitern verstanden und befolgt werden.

  2. Schulungen und Sensibilisierung

    • Regelmäßige Schulungen und Schulungsmaterialien für Mitarbeiter, um ihr Bewusstsein für Datenschutzbestimmungen zu schärfen und sie über bewährte Datenschutzpraktiken auf dem Laufenden zu halten.

  3. Auftragsverarbeitungsverträge

    • Abschluss schriftlicher Verträge mit Auftragsverarbeitern, die die Verarbeitung personenbezogener Daten gemäß den Anforderungen der DSGVO regeln und sicherstellen, dass Auftragsverarbeiter angemessene Sicherheitsmaßnahmen implementieren.

  4. Incident-Response-Plan

    • Entwicklung eines klaren Plans zur Reaktion auf Datenschutzverletzungen, welcher Verfahren zur Meldung von Vorfällen, zur Untersuchung von Datenschutzverletzungen und zur Benachrichtigung von Betroffenen umfasst.

Weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.