BTK Rechtsanwälte

Technisch-organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen (TOM) sind durch den Gesetzgeber geforderte Maßnahmen, um die entsprechenden Sicherheits- und Schutzanforderungen des Datenschutzrechts zu erfüllen.

(0681) 93 88 26 01 Anfrage schicken

Unternehmen müssen ausreichende technisch-organisatorische Maßnahmen ergreifen

Gemäß § 9 Bundesdatenschutzgesetz (BDSG) sind alle Stellen, welche personenbezogene Daten verarbeiten, erheben oder nutzen, verpflichtet, technische und/oder organisatorische Maßnahmen (kurz: TOM) zu treffen. Damit soll gewährleistet werden, dass die Sicherheits- und Schutzanforderungen des Gesetzes erfüllt sind. Die Spezifizierung dieser Anforderungen ergibt sich aus einer Anlage zum BDSG.

Abgrenzung der technischen und organisatorischen Maßnahmen

Unter technischen Maßnahmen sind alle Maßnahmen zu verstehen, die im weitesten Sinne physisch umsetzbar sind, wie etwa

  • Umzäunung des Geländes
  • Sicherung von Türen und Fenstern
  • bauliche Maßnahmen allgemein
  • Alarmanlagen jeglicher Art

oder Maßnahmen, die in Soft- und Hardware umgesetzt werden, wie etwa

  • Benutzerkonten
  • Passwortregelungen
  • Benutzerprotokollierung
  • Benutzeridentifikation

Unter organisatorischen Maßnahmen versteht man die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzten Maßnahmen des Datenschutzes. Beispiele hierfür sind etwa

  • Besucheranmeldung
  • Arbeitsanweisung zum Umgang mit fehlerhaften Druckerzeugnissen
  • Vier-Augen-Prinzip
  • festgelegte Intervalle zur Stichprobenprüfungen

Vorgaben durch die Anlage zu §9 BDSG

Die Anlage zu gibt vor, in welchen Kategorien Schutzmaßnahmen sichergestellt sein müssen. Die Kategorien sind:

Zutrittskontrolle: Gemeint sind Maßnahmen, um zu verhindern, dass Unbefugte Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit welchen personenbezogene Daten verarbeitet werden. Beispiele hierfür sind: Gebäudesicherung, Zäune, Pforte, Videoüberwachung, Sicherung der Räume, Sicherheitsschlösser, Chipkartenleser, Codeschlösser, Sicherheitsverglasung, Alarmanlagen

Zugangskontrolle: Dies sind Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können. Beispiele: Zugang zu Rechnern/Systemen (Authentifizierung), Benutzerkennung mit Passwort, biometrische Benutzeridentifikation, Firewall, zertifikatsbasierte Zugangsberechtigung

Zugriffskontrolle: Es muss gewährleistet werden, dass die zur Benutzung von DV-Anlagen berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind und das personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können. Beispiele: Berechtigungskonzept, Benutzerkennung mit Passwort, gesicherte Schnittstellen (USB, Firewire, Netzwerk, etc.), Datenträgerverwaltung, zertifikatsbasierte Zugriffsberechtigung

Weitergabekontrolle: Es muss verhindert werden, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können und das festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im DV-System vorgesehen ist. Beispiele: Sicherung bei der elektronischen Übertragung, Verschlüsselung, VPN, Firewall, Fax-Protokoll, Sicherung beim Transport, Verschlossene Behälter, Verschlüsselung, Sicherung bei der Übermittlung, Verfahrensverzeichnis, Protokollierungsmaßnahmen

Eingabekontrolle: Es muss sichergestellt werden, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind. Beispiele: Protokollierung, Benutzeridentifikation.

Auftragskontrolle: Es muss sichergestellt werden, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden. Beispiele: Weisungsbefugnisse festlegen, Vor-Ort Kontrollen, Datenschutzvertrag gemäß den Vorgaben nach § 11 BDSG, Stichprobenprüfung, Kontrollrechte

Verfügbarkeitskontrolle: Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Beispiele: Brandschutzmaßnahmen, Überspannungsschutz, Unterbrechungsfreie Stromversorgung, Klimaanlage, RAID (Festplattenspiegelung), Backupkonzept, Virenschutzkonzept, Schutz vor Diebstahl

Trennungsgebot: Es ist sicher zu Stellen, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden können. Beispiel: Trennung von Produktiv- und Testsystemen, getrennte Ordnerstrukturen (Auftragsdatenverarbeitung), separate Tables innerhalb von Datenbanken, getrennte Datenbanken. Insbesondere sind allgemein Verschlüsselungsverfahren nach aktuellem Stand der Technik zu berücksichtigen.

Die Maßnahmen müssen verhältnismäßig sein

Das Gesetz schränkt sich in den zu treffenden Schutzmaßnahmen selbst ein. Für TOM gilt ein sog. Verhältnismäßigkeitsprinzip. Demnach müssen personenbezogene Daten nicht unendlich stark geschützt werden, wenn die Maßnahmen dafür wirtschaftlich unangemessen hoch ausfallen würden. Daraus lässt sich zum Beispiel ableiten, dass bei einer Auftragsdatenverarbeitung (ADV) der Dienstleister, welcher nur einen Teil der Daten zur Bearbeitung erhält, nicht zwingend die gleichen Schutzmaßnahmen treffen muss, wie sie etwa die verantwortliche Stelle ausführt.

Beispiel: Der EDV-Dienstleister einer Bank kann (aus wirtschaftlicher Sicht) nicht die gleichen Sicherheitsmaßnahmen gewährleisten wie die Bank selbst. Da er in aller Regel nur auf einen Teilbereich der Daten Zugriff hat, ist dies gesetzlich auch nicht geboten, selbst wenn die Daten grundsätzlich als sensibel zu betrachten sind.

Wir helfen Ihnen bei der Umsetzung und Prüfung Ihrer technisch-organisatorischen Maßnahmen

Wir helfen Unternehmen dabei, die Anforderungen des Gesetzgebers an die zu treffenden technisch-organisatorischen Maßnahmen umzusetzen. Hierbei prüfen wir gemeinsam mit den Mandanten, u.a. vor Ort unmittelbar im Betrieb und an den einzelnen Arbeitsplätzen, welches Schutzniveau erforderlich ist und welche Maßnahmen bereits umgesetzt werden. Im Anschluss erfolgt eine Ist-Analyse und ein Vergleich zum „Soll“, was der Gesetzgeber bzw. einschlägige Branchenregularien fordern. Darauf folgend wird ein Datenschutzkonzept entwickelt, welches in praktischen Handlungsanweisungen die Umsetzung der erforderlichen technisch-organisatorischen Maßnahmen erleichtert und insbesondere ressourcen- und kostenschonend den Betrieb bei der Implementierung neuer oder erweiternder Maßnahmen unterstützt.

Haben Sie Fragen?

Rechtsanwalt Gregor Theado hilft Ihnen gerne weiter und berät Sie bei Ihrem Anliegen.

Rechtsanwalt Gregor Theado

Haben Sie Fragen?

Jetzt Kontakt aufnehmen.

Anschrift:

BTK Rechtsanwälte
Gregor Theado
Schützenstr. 3-5
66123 Saarbrücken

Telefon:

(0681) 93 88 26 01

Bürozeiten:

Montag - Freitag
8.00 - 17.00 Uhr


Kanzlei BTK Rechtsanwälte in Saarbrücken

BTK Rechtsanwälte ist eine bundesweit tätige Rechtsanwaltskanzlei mit Sitz in Saarbrücken. Unsere Spezialisierung liegt in den Bereichen Medienrecht, Markenrecht, Internetrecht, Wettbewerbsrecht, Urheberrecht, Vertragsrecht und Datenschutzrecht, in denen wir auf eine langjährige Erfahrung zurück blicken.

Kontaktformular

Hinweis: Ihre Daten erheben und verwenden wir gemäß unserer Datenschutzerklärung. Alle Daten werden mittels SSL-Verschlüsselung übertragen.