Kurzbeschreibung
Der Verantwortliche bzw. Datenschutzbeauftragte hat die erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dieses Muster enthält eine mögliche Dokumentation dieser Maßnahmen.
Technische und organisatorische Maßnahmen (TOM)
Gemäß Art. 32 DSGVO hat der Verantwortliche unter Berücksichtigung
- des Stands der Technik,
- der Implementierungskosten,
- der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie
- der Eintrittswahrscheinlichkeit und der Schwere der mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen
die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau zu gewährleisten, insbesondere im Hinblick auf die Verarbeitung besonderer Kategorien personenbezogener Daten. Der Verantwortliche hat hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik zu berücksichtigen.
Zunächst sind die TOM zu erheben und dann auf dem aktuellen Stand zu halten. Es empfiehlt sich hierfür ein Datenblatt anzufertigen, das wie das nachfolgende Muster aufgebaut sein kann.
Dokumentation der technischen und organisatorischen Maßnahmen (TOM)
- Dokument in Textverarbeitung übernehmen
Wohnungsunternehmen _________________ Dokumentation der technischen und organisatorischen Maßnahmen |
|
---|---|
Schutzziele, die erreicht werden sollen | |
|
|
Maßnahmen zur Erreichung der Schutzziele |
|
Pseudonymisierung Eine Pseudonymisierung erfolgt nicht, da der verfolgte Schutzzweck im Verhältnis zum Umsetzungsaufwand nicht mehr verhältnismäßig wäre. |
|
Verschlüsselung Bei Verarbeitung in einem Rechenzentrum: Der elektronische Transport zum Rechenzentrum der ____________ ist über VPN- oder TLS-Verbindung mit Zwei-Faktor-Authentisierung abgesichert. Der elektronische Transport zu Institutionen (z. B. Finanzbehörden, Sozialversicherungsträger) im Rahmen der Lohn- und Gehaltsabrechnung, für die Meldung nach § 45d EStG bzw. die KiStAM-Abfrage erfolgt nach den Vorgaben und Standards der Institutionen. (Anmerkung: Nur einschlägig, sofern diese Übermittlungen vom Wohnungsunternehmen selbst vorgenommen werden.) Kontaktaufnahmen von Mietern (z. B. Schadensmeldungen) oder Mietinteressenten (Bewerbungsbogen) über das Internet erfolgen abgesichert mit Verschlüsselungsverfahren nach dem Stand der Technik. |
|
Zugangskontrolle
|
|
Datenträgerkontrolle Mobile Datenträger sind verschlüsselt. oder Die Verwendung von mobilen Datenträgern ist den Mitarbeitern nicht gestattet. Es besteht eine Datenträgerrichtlinie, auf diese wird verwiesen. Weitere Maßnahmen beschreiben. |
|
Benutzerkontrolle Die Eingabe, Änderung und Löschung von Daten wird protokolliert. Zugriff auf Anwendungen in den DV-Anlagen nur entsprechend der zu erfüllenden Aufgaben und des bestehenden Berechtigungskonzepts. Siehe auch die unter Zugangs- und Zugriffskontrolle dargestellten Maßnahmen. Weitere Maßnahmen beschreiben. |
|
Zugriffskontrolle Die eingesetzten IT-Systeme haben ein differenziertes Berechtigungssystem, welches es ermöglicht, Datenzugriffe und -veränderungen auf Basis von Rollen und individuellen Berechtigungen zu vergeben. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesene... |
Das ist nur ein Ausschnitt aus dem Produkt Deutsches Anwalt Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen