Technische und organisatorische Maßnahmen (TOM)

i.S. Art. 25 Abs. 2 und Art. 32 DSGVO

der Organisation
Reikem IT Systemhaus GmbH
Am Südkreisel 3
63868 Großwallstadt

Präambel

Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Die o.g. Organisation erfüllt diesen Anspruch durch folgende Maßnahmen:

 

1.1 Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.

Technische Maßnahmen

  • Alarmanlage
  • Automatisches Zugangskontrollsystem
  • Chipkarten / Transpondersysteme
  • Sicherheitsschlösser
  • Schließsystem mit Zugangssperre (für sensible Bereiche)
  • Absicherung der Gebäudeschächte
  • Türen mit Knauf Außenseite
  • Klingelanlage mit Kamera
  • Videoüberwachung der Eingänge

Organisatorische Maßnahmen

  • Schlüsselregelung / Liste
  • Besucher in Begleitung durch Mitarbeiter
  • Sorgfalt bei Auswahl Reinigungsdienste
  • Außentüren sind stets verschlossen

1.2 Zugangskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhin-derung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten/Token zur Anmeldung wie auch der Einsatz von CallBack- oder 2-Faktor-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsicht-nahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).

Technische Maßnahmen

  • Login mit Benutzername + Passwort
  • Anti-Viren-Software Server
  • Anti-Virus-Software Clients
  • Intrusion Detection Systeme
  • Einsatz VPN bei Remote-Zugriffen
  • Verschlüsselung von mobilen Datenträgern
  • Verschlüsselung von mobilen Clients

Organisatorische Maßnahmen

  • Verwalten von Benutzerberechtigungen
  • Erstellen Benutzerprofil (Betriebssystem)
  • Zentrale Passwortvergabe
  • Richtlinie/DV/DA „Passwort-Richtlinie“
  • Richtlinie/DV/DA „Manuelle Bildschirmsperre“

1.3 Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.

Technische Maßnahmen

  • lokale Aktenschredder (Stufe 3, cross cut)
  • Physische Löschung von Datenträgern

Organisatorische Maßnahmen

  • Einsatz Berechtigungskonzepte
  • Verwaltung Benutzerrechte durch zugel. Administratoren

1.4 Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.

Technische Maßnahmen

  • Trennung von Produktiv-, Test- und Entwicklungsumgebungen
  • Physikalische Trennung (Systeme / Datenbanken / Datenträger)
  • Mandantenfähigkeit relevanter Anwendungen

Organisatorische Maßnahmen

  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten

1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung per-sonenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Networks (VPNs) eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transport-behälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Ver-nichtung von Datenträgern.

Technische Maßnahmen

  • Einsatz von VPN
  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https
  • Nutzung von Signaturverfahren

Organisatorische Maßnahmen

  • Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verän-dert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Sicherheitsgateway, Da-tenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem An-lass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.

Technische Maßnahmen

Organisatorische Maßnahmen

  • Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können
  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)

3.1 Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.

Technische Maßnahmen

  • Feuer- und Rauchmeldeanlagen
  • Serverraum klimatisiert
  • USV
  • Schutzsteckdosenleisten Serverräumen
  • RAID System / Festplattenspiegelung
  • Videoüberwachung Serverraum

Organisatorische Maßnahmen

  • Backup & Recovery-Konzept
  • Kontrolle des Sicherungsvorgangs
  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums (Katastrophensicherung)
  • Keine sanitären Anschlüsse im oder oberhalb des Serverraums
  • Getrennte Partitionen für Betriebssysteme und Daten

(Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

4.1 Datenschutz-Management

Technische Maßnahmen

  • Zentrale Dokumentation aller Verfahrens-eisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf/Berechtigung (z.B. Wiki, Intranet, etc.)
  • Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

Organisatorische Maßnahmen

  • Externer Datenschutzbeauftragter:
    Jens Lorenz | Lagerfeuer
    Wilhelmstrasse 22, 61118 Bad Vilbel
    Tel. 06101 59 59 124
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

4.2 Incident-Response-Management

Unterstützung bei der Reaktion auf Sicherheitsverletzungen.

Technische Maßnahmen

  • Einsatz von Spamfilter und regelmäßige Aktualisierung
  • Einsatz von Virenscanner und regelmäßige Aktualisierung
  • Intrusion Detection System (IDS)
  • Intrusion Prevention System (IPS)

Organisatorische Maßnahmen

  • Einbindung von DSB in Sicherheitsvorfällen und Datenschutzvorfällen

4.3 Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Privacy by design / Privacy by default

Technische Maßnahmen

  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

Organisatorische Maßnahmen

4.4 Auftragskontrolle (Outsourcing an Dritte)

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verar-beitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverar-beitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.

Technische Maßnahmen

Organisatorische Maßnahmen

  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard Vertragsklauseln
  • Verpflichtung der Mitarbeiter des Auf-tragnehmers auf Datengeheimnis

Stand: 02 / 2025

Sie haben bereits einen Account? Loggen Sie sich hier ein, um Ihre persönlichen Verträge zu verwalten.