Technische und organisatorische Maßnahmen (TOMs) i.S.d. Art. 32 DSGVO
Version V.2.4, 21.03.2025
Präambel
Organisationen, die selbst oder im Auftrag anderer personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Die og. Organisation erfüllt diesen Anspruch durch nachfolgenden Maßnahmen.
1. Vertraulichkeit
gem. Art. 32 Abs. 1 lt. DSGVO
1.1 Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Als Maßnahmen zur Zutrittskontrolle können zur Gebäude- und Raumsicherung unter anderem automatische Zutrittskontrollsysteme, Einsatz von Chipkarten und Transponder, Kontrolle des Zutritts durch Pförtnerdienste und Alarmanlagen eingesetzt werden. Server, Telekommunikationsanlagen, Netzwerktechnik und ähnliche Anlagen sind in verschließbaren Serverschränken zu schützen. Darüber hinaus ist es sinnvoll, die Zutrittskontrolle auch durch organisatorische Maßnahmen (z.B. Dienstanweisung, die das Verschließen der Diensträume bei Abwesenheit vorsieht) zu stützen.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Alarmanlage | X Schlüsselregelung / Liste |
| X Automatisches Zugangskontrollsystem | Empfang / Rezeption / Pförtner |
| Biometrische Zugangssperren | X Besucherbuch / Protokoll der Besucher |
| X Chipkarten / Transpondersysteme | Mitarbeiter- / Besucherausweise |
| Manuelles Schließsystem | X Besucher in Begleitung durch Mitarbeiter |
| X Sicherheitsschlösser | X Sorgfalt bei Auswahl des Wachpersonals |
| Schließsystem mit Codesperre | X Sorgfalt bei Auswahl Reinigungsdienste |
| X Absicherung der Gebäudeschächte | |
| X Türen mit Knauf Außenseite | |
| Klingelanlage mit Kamera | |
| Videoüberwachung der Eingänge |
1.2 Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Wahl eines „guten“ Passworts).
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Login mit Benutzername + Passwort | X Verwalten von Benutzerberechtigungen |
| X Login mit biometrischen Daten | X Erstellen von Benutzerprofilen |
| X Anti-Viren-Software Server | X Zentrale Passwortvergabe |
| X Anti-Virus-Software Clients | X Richtlinie „Sicheres Passwort“ |
| X Anti-Virus-Software mobile Geräte | X Richtlinie „Löschen / Vernichten“ |
| X Firewall | X Richtlinie „Clean desk“ |
| X Intrusion Detection Systeme | X Allg. Richtlinie Datenschutz und / oder Sicherheit |
| X Mobile Device Management | X Mobile Device Policy |
| X Einsatz VPN bei Remote-Zugriffen | X Anleitung „Manuelle Desktopsperre“ |
| X Verschlüsselung von Datenträgern | |
| X Verschlüsselung Smartphones | |
| Gehäuseverriegelung | |
| X BIOS Schutz (separates Passwort) | |
| X Sperre USB (CD/DVD Laufwerk, USB-Stick, Externe Festplatte, Drucker, Scanner, Modem, etc) | |
| X Automatische Desktopsperre | |
| X Verschlüsselung von Notebooks / Tablet |
Anmerkung: „Login mit Biometrische Daten“ nur bei vorhanden Fingerprint/Windows Hello Gesichtsauthentifizierung Scanner am Laptop
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Die Zugriffskontrolle kann unter anderem gewährleistet werden durch geeignete Berechtigungskonzepte, die eine differenzierte Steuerung des Zugriffs auf Daten ermöglichen. Dabei gilt, sowohl eine Differenzierung auf den Inhalt der Daten vorzunehmen als auch auf die möglichen Zugriffsfunktionen auf die Daten. Weiterhin sind geeignete Kontrollmechanismen und Verantwortlichkeiten zu definieren, um die Vergabe und den Entzug der Berechtigungen zu dokumentieren und auf einem aktuellen Stand zu halten (z.B. bei Einstellung, Wechsel des Arbeitsplatzes, Beendigung des Arbeitsverhältnisses). Besondere Aufmerksamkeit ist immer auch auf die Rolle und Möglichkeiten der Administratoren zu richten.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Aktenschredder (P-4, Mini-cut, gemäss DIN 66399) | X Einsatz Berechtigungskonzepte |
| Externer Aktenvernichter (DIN 32757) | X Minimale Anzahl an Administratoren |
| X Physische Löschung von Datenträgern | Datenschutztresor |
| X Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten | X Verwaltung Benutzerrechte durch Administratoren |
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dieses kann beispielsweise durch logische und physikalische Trennung der Daten gewährleistet werden.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Trennung von Produktiv- und Test-Umgebung | X Steuerung über Berechtigungskonzept |
| Physikalische Trennung (Systeme / Datenbanken / Datenträger) | X Festlegung von Datenbankrechten |
| X Mandantenfähigkeit interner Anwendungen | Datensätze sind mit Zweckattributen versehen |
| X Isolierte Umgebungen der externen SaaS-Dienste |
1.5 Pseudonymisierung
Art. 2 Abs. 1 lit. A DSGVO; Art. 25 Abs. 1 DSGVO
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System (mögl. verschlüsselt) | X Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe möglichst zu anonymisieren / pseudonymisieren. Nach Ablauf der gesetzlichen Löschfrist werden personenbezogene Daten gelöscht. |
2. Integrität
gem. Art. 32 Abs. 1 lt. DSGVO
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Zur Gewährleistung der Vertraulichkeit bei der elektronischen Datenübertragung können z.B. Verschlüsselungstechniken und Virtual Private Network eingesetzt werden. Maßnahmen beim Datenträgertransport bzw. Datenweitergabe sind Transportbehälter mit Schließvorrichtung und Regelungen für eine datenschutzgerechte Vernichtung von Datenträgern.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X E-Mail-Verschlüsselung | Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen |
| X Einsatz von VPN | Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen |
| X Protokollierung der Zugriffe und Abrufe | Weitergabe in anonymisierter oder pseudonymisierter Form |
| Sichere Transportbehälter | Sorgfalt bei Auswahl von Transport-Personal und Fahrzeugen |
| X Bereitstellung ausschließlich über verschlüsselte Verbindungen (HTTPS) | Persönliche Übergabe mit Protokoll |
| X Zugriff auf die SaaS-Portale nur mit IP Whitelisting | Weitere Infos: Es findet kein Transport von Datenträgern statt |
| Nutzung von Signaturverfahren |
2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Eingabekontrolle wird durch Protokollierungen erreicht, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) stattfinden können. Dabei ist weiterhin zu klären, welche Daten protokolliert werden, wer Zugriff auf Protokolle hat, durch wen und bei welchem Anlass/Zeitpunkt diese kontrolliert werden, wie lange eine Aufbewahrung erforderlich ist und wann eine Löschung der Protokolle stattfindet.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | X Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können |
| Manuelle oder automatisierte Kontrolle der Protokolle | X Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) |
| X Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts | |
| X Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden | |
| X Klare Zuständigkeiten für Löschungen |
3. Verfügbarkeit und Belastbarkeit gem. Art. 32 Abs. 1 lt. DSGVO
3.1 Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Hier geht es um Themen wie eine unterbrechungsfreie Stromversorgung, Klimaanlagen, Brandschutz, Datensicherungen, sichere Aufbewahrung von Datenträgern, Virenschutz, Raidsysteme, Plattenspiegelungen etc.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Feuer- und Rauchmeldeanlagen | X Verwalten von Benutzerberechtigungen |
| X Feuerlöscher Serverraum | X Erstellen von Benutzerprofilen |
| X Serverraumüberwachung Temperatur und Feuchtigkeit | X Zentrale Passwortvergabe |
| X Serverraum klimatisiert | X Richtlinie „Sicheres Passwort“ |
| X USV | X Richtlinie „Löschen / Vernichten“ |
| X Schutzsteckdosenleisten Serverraum | X Richtlinie „Clean desk“ |
| ☐ Datenschutztresor (S60DIS, S120DIS, andere geeignete Normen mit Quelldichtung etc.) | X Allg. Richtlinie Datenschutz und / oder Sicherheit |
| X RAID-System / Festplattenspiegelung | X Mobile Device Policy |
| Videoüberwachung Serverraum | X Anleitung „Manuelle Desktopsperre“ |
| X Alarmmeldung bei unberechtigtem Zutritt zu Serverraum |
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung gem. Art. 32 Abs. 1 lt. DSGVO
4.1 Datenschutz-Management
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Software-Lösungen für Datenschutz-Management im Einsatz | X externer Datenschutzbeauftragter Claudia Bischof datenschutz@logicheck.de Lindbergh Legal Rechtsanwaltsgesellschaft mbH Caffamacherreihe 5, 20355 Hamburg |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …) | X Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet |
| Sicherheitszertifizierung nach ISO 27001, BSI IT-Grundschutz oder ISIS12 | X Regelmäßige Sensibilisierung der Mitarbeiter - mindestens jährlich |
| X Anderweitiges dokumentiertes Sicherheits-Konzept: Ausrichtung nach BSI-IT-Grundschutz | X Interner / externer Informationssicherheits-Beauftragter Name / Firma Kontakt: Marcel Junk / LOGICHECK |
| X Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt | X Die Datenschutz-Folgenabschätzung (DSFA) wird bei Bedarf durchgeführt |
| X Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach | |
| X Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden |
4.2 Incident-Response-Management
Unterstützung bei der Reaktion auf Sicherheitsverletzungen.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Einsatz von Firewall und regelmäßige Aktualisierung | X Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde) |
| X Einsatz von Spamfilter und regelmäßige Aktualisierung | X Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen |
| X Einsatz von Virenscanner und regelmäßige Aktualisierung | X Einbindung von X DSB und X ISB in Sicherheitsvorfälle und Datenpannen |
| X Intrusion Detection System (IDS) | X Dokumentation von Sicherheitsvorfällen und Datenpannen. |
| X Intrusion Prevention System (IPS) | X Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheitsvorfällen und Datenpannen |
4.3 Datenschutzfreundliche Voreinstellungen
Art. 25 Abs. 2 DSGVO
Privacy by design / Privacy by default
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweilige Zweck erforderlich sind | |
| X Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen |
4.4 Auftragskontrolle (Outsourcing an Dritte)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Unter diesen Punkt fällt neben der Datenverarbeitung im Auftrag auch die Durchführung von Wartung und Systembetreuungsarbeiten sowohl vor Ort als auch per Fernwartung. Sofern der Auftragnehmer Dienstleister im Sinne einer Auftragsverarbeitung einsetzt, sind die folgenden Punkte stets mit diesen zu regeln.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| X Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation | |
| X Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit) | |
| X Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU Standard Vertragsklauseln | |
| X Schriftliche Weisungen an den Auftragnehmer | |
| X Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis | |
| X Verpflichtung zur Bestellung eines Datenschutzbeauftragten durch den Auftragnehmer bei Vorliegen Bestellpflicht | |
| X Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer | |
| X Regelung zum Einsatz weiterer Subunternehmer | |
| X Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags | |
| X Bei längerer Zusammenarbeit: Laufende Überprüfung des Auftragnehmers und seines Schutzniveaus |
Ausgefüllt für die Organisation von
Marcel Junk, Leiter IT
T 06721 – 6840 214
E m.junk@logicheck.de
Gültigkeitsbereich
LOGICHECK Prüfprozesse und SaaS-Dienste GmbH
Stromberger Str. 47b
55411 Bingen am Rhein
LOGICHECK Schadenmanagement Öl/Umwelt GmbH
Rheinpromenade 6
40789 Monheim am Rhein