Datenschutz: Dokumentation der technischen und organisatorischen Maßnahmen (TOMs) im Wohnungsunternehmen

Kurzbeschreibung

Der Verantwortliche bzw. Datenschutzbeauftragte hat die erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dieses Muster enthält eine mögliche Dokumentation dieser Maßnahmen.

Technische und organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen Technischen Richtlinien und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik zu berücksichtigen.

Ein wichtiger Bestandteil der TOMs ist die IT-Dokumentation. Hierzu gehört die Dokumentation

  • der eingesetzten Hard- und Software,
  • der Serverstruktur und Anwenderstruktur,
  • das Datensicherungskonzept und
  • die IT-Notfallplanung.

Zunächst sind die TOMs zu erheben und dann auf dem aktuellen Stand zu halten. Es empfiehlt sich hierfür ein Datenblatt anzufertigen, das wie das nachfolgende Muster aufgebaut sein kann.

Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)

Wohnungsunternehmen _________________

Dokumentation der

technischen und organisatorischen Maßnahmen
Schutzziele, die erreicht werden sollen
 
  1. Vertraulichkeit (Schutz vor unberechtigtem Zugriff)
  2. Integrität (keine unbefugte Änderung)
  3. Verfügbarkeit (ständige Erreichbarkeit/Einsatzfähigkeit bzw. keine unbefugte Veränderung der Funktionalität)
  4. Belastbarkeit der Systeme und Dienste (Widerstandsfähigkeit der IT im Fehlerfall, bei Störungen oder bei hoher Beanspruchung)
  5. rasche Wiederherstellung der Verfügbarkeit und des Zugangs
 

Maßnahmen zur Erreichung der Schutzziele

 

Pseudonymisierung

Eine Pseudonymisierung erfolgt nicht, da der verfolgte Schutzzweck im Verhältnis zum Umsetzungsaufwand nicht mehr verhältnismäßig wäre.

 

Verschlüsselung

Bei Verarbeitung in einem Rechenzentrum:

Der elektronische Transport zum Rechenzentrum der ____________ ist über VPN- oder TLS-Verbindung mit Zwei-Faktor-Authentisierung abgesichert.

Der elektronische Transport zu Institutionen (z. B. Finanzbehörden, Sozialversicherungsträger) im Rahmen der Lohn- und Gehaltsabrechnung, für die Meldung nach § 45d EStG bzw. die KiStAM-Abfrage erfolgt nach den Vorgaben und Standards der Institutionen.

Kontaktaufnahmen von Mietern (z. B. Schadensmeldungen) oder Mietinteressenten (Bewerbungsbogen) über das Internet erfolgen abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik.

 

Zugangskontrolle

  1. Zutrittskontrolle

    Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten), mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Der Grad der Schutzmaßnahmen richtet sich dabei nach dem Grad der Schutzbedürftigkeit der Daten.

    Der Zutritt zu unseren Räumlichkeiten ist nur Berechtigten über den Haupteingang, vorbei an den Mitarbeitern des Empfangs, möglich. Nicht oder nicht permanent von den Empfangsmitarbeitern überwachte Eingänge sind verschlossen

    Fremddienstleister werden grundsätzlich durch Mitarbeiter begleitet.

    Es besteht eine Alarmanlage; Sicherheitstüren und -fenster sowie Sicherheitsschlösser sind bauseitig vorhanden.

    Weitere Maßnahmen beschreiben (z. B. Schlüsselregelung etc.).

  2. Zugangskontrolle zu Datenverarbeitungsanlagen und Speicherkontrolle

    Alle Rechner verfügen mindestens über ein Zugangskontrollsystem (UserID, Passwort). Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passworts sowie die Wiederverwendung alter Passwörter.

    Es besteht eine Firewall __________.(Bitte beschreiben).

    Zum Schutz vor Viren ist ein Virenscanner der Marke __________ im Einsatz, eine Aktualisierung erfolgt permanent.

    Weitere Maßnahmen beschreiben.

 

Datenträgerkontrolle

Mobile Datenträger sind verschlüsselt.

oder

Die Verwendung von mobilen Datenträgern ist den Mitarbeitern nicht gestattet.

Es besteht eine Datenträgerrichtlinie, auf diese wird verwiesen.

Weitere Maßnahmen beschreiben.

 

Benutzerkontrolle

Die Eingabe, Änderung und Löschung von Daten wird protokolliert.

Zugriff auf Anwendungen in den DV-Anlagen nur entsprechend der zu erfüllenden Aufgaben und des bestehenden Berechtigungskonzepts.

Weitere Maßnahmen beschreiben.

 

Zugriffskontrolle

Die eingesetzten IT-Systeme haben ein differenziertes Berechtigungssystem, welches es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben.

Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit ...

Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Deutsches Anwalt Office Premium 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge