Datenschutzgrundverordnung: Technisch organisatorische Maßnahmen (TOM)

Die DSGVO ist eine der ersten Umsetzungen nach dem Prinzip der Eigen-verantwortung für die Unternehmer. Zum jetzigen Zeitpunkt hinterlässt sie leider dennoch offene Fragen. Diese sollten jedenfalls im Laufe der Zeit durch Klarstellungen seitens der Datenschutzbehörde (White- & Black-Lists), durch Interpretationen der EU sowie durch Rechtsentscheide beantwortet werden.

Im Zuge der Umsetzung der DSGVO-Vorgaben wird von Unternehmen erwartet, dass die Datensicherheit bei der Verarbeitung von personenbezogenen Daten gewährleistet ist. Zum Schutz von personenbezogenen Daten haben die Verantwortlichen und Auftragsverarbeiter die Grundsätze des Datenschutzes in ihre Anwendungen und Systeme zu integrieren (privacy by design) und darüber hinaus datenschutzfreundliche Voreinstellungen anzuwenden (privacy by default).

Für die Umsetzung technisch organisatorischer Maßnahmen (TOM) gelten folgende Grundsätze:

  • Sicherheit: Die Daten müssen gegen unbefugten Zugriff durch technische und organisatorische Maßnahmen geschützt sein.
  • Vertraulichkeit: Die personenbezogenen Daten dürfen niemand anderem als im eigentlichen Zweck vorgesehen zur Verfügung gestellt werden bzw. es muss verhindert werden, dass jemand anderer darauf Zugriff hat.
  • Integrität: Daten dürfen nicht fälschlicherweise verändert wer-den und es muss die Korrektheit gewährleistet werden.
  • Verfügbarkeit: Die Systeme und Dienste müssen verfügbar bleiben. Sie dürfen nicht verloren gehen durch Systemabsturz oder Verlust eines Ordners.

Zusätzlich sollten Unternehmen Verfahren zur laufenden Überprüfung, Bewertung und Evaluierung der Wirksamkeit der festgelegten Maßnahmen zur Gewährleistung der Sicherheit entwickeln. Unternehmen müssen die Datenverarbeitung nach dem aktuellen Stand der Technik durchführen. Eine für Datenschutz verantwortliche Person hat dafür zu sorgen, dass geeignete technische und organisatori-sche Maßnahmen festgelegt werden und diese auch eingehalten werden, um eventuelle Strafen zu vermeiden.

Folgende Maßnahmen dienen zur Umsetzung der technischen Sicherheit:

  • Virenschutz
  • Firewall
  • Passwortregeln
  • Mobile Device mit PIN sichern
  • Berechtigungskonzept
  • Regelmäßige Datensicherung
  • Verschlüsselung von E-Mails
  • Dokumente vor Versand mit Passwort schützen
  • Verwendung von VPNs
  • Protokollierung von Zugriffen
  • Blockieren von Funktionen (USB-Ports)
  • Pseudonymisierung und Verschlüsselung von personenbezogenen und sensiblen Daten

Folgende Maßnahmen dienen zur Umsetzung der organisatorischen Sicherheit:

  • Mitarbeiter bezüglich IT-Sicherheit schulen
  • Richtlinien zur sicheren Nutzung von sozialen Medien
  • IT-Sicherheitsbeauftragter
  • Freiwilligen Datenschutzkoordinator ernennen
  • Notfallpläne für IT-Sicherheitsvorfälle
  • Zugangskontrollen zu sensibler Hardware (z. B. Serverraum)
  • Richtlinie zur sicheren Nutzung von IT und Internet

Ein möglicher Nachweis der Einhaltung kann auch durch Zertifizierungsverfahren erfolgen. Auf jeden Fall müssen alle gesetzten Maßnahmen für die korrekte Dokumentation der DSGVO schriftlich festgehalten werden.
Weitere Informationen
Der Artikel entstand mit dem geprüften Datenschutzexperten Dkkfm. Andreas Daxböck, MA MMC.

Foto: Rawpixel.com / Fotolia.com

Als zweitgrößte Fachgruppe österreichweit im Bereich Werbung werden rund 3.400 Mitglieder mit ca. 4.200 Gewerbeberechtigungen betreut. Hier finden Sie umfangreiche Informationen sowie unterschiedliche Serviceleistungen für Ihre tägliche Praxis.

Kontakt

WKNÖ Fachgruppe Werbung und Marktkommunikation
Wirtschaftskammer-Platz 1, 3100 St. Pölten
Tel.: 02742 851 - 19712
Fax: 02742 851 - 19719
  werbung@wknoe.at

Cookies helfen uns bei der Bereitstellung unserer Dienste. Mit der Nutzung unserer Website & -tools erklären Sie sich mit der Verwendung von Cookies einverstanden. Nähere Informationen in unserer  Datenschutzerklärung.