Technische und organisatorische Maßnahmen (TOM) – Erhöhung des Schutzniveaus von Daten

Technische und organisatorische Maßnahmen sollen dazu dienen, ein angemessenes Schutzniveau für personenbezogene sowie besonders schützenswerte Daten zu gewährleisten. Doch was verbirgt sich hinter diesen Maßnahmen und wie lassen sich diese für den Mittelstand angemessen umsetzen?

Die technischen und organisatorischen Maßnahmen lassen sich in 8 Elemente unterteilen, welche gerade in Kombination ein sehr hohes Schutzniveau gewährleisten können.

Zutrittskontrolle

Die einfachste Möglichkeit, sich ungebetenen Zutritt fernzuhalten, ist der Einsatz von Maßnahmen zur Begrenzung des Zutritts. Neben kostspieligen Lösungen – wie Einzäunungen oder besetzte Pforten – existieren günstigere Lösungen wie Sicherheitsschlösser oder Alarmanlagen.

 

Zugangskontrolle

Neben der physischen Zutrittskontrolle ist es genau so wichtig, den Zugang zu den Verarbeitungssystemen zu beschränken. Neben den bereits vorhandenen Mechanismen wie dem Passwortschutz nach dem Systemstart des PCs, ist eine individuelle Benutzerkennung inklusive Passwort für die Verarbeitungsprogramme notwendig. Zur Absicherung eines Zugriffs von außerhalb ist eine aktuelle Firewall als Pflichtelement anzusehen.

 Zugriffskontrolle

Jeder Mitarbeiter kann auf jedes Systemlaufwerk zugreifen und Veränderungen vornehmen? Sollte dies der Fall sein, sollten Sie zwingend ein Berechtigungskonzept erarbeiten, welches die Zugriffe auf einen relevanten Nutzerkreis eingrenzt. Diese Berechtigungskonzepte gilt es regelmäßig anzupassen, so dass beispielsweise Mitarbeiter in Ausbildung nach deren Abschluss nur Zugriff auf die relevanten Daten besitzen.

 

Weitergabekontrolle

Wenn Sie in der Situation sind, Daten weiterzugeben, so ist es empfehlenswert, die Weitergabe dieser Daten so sicher wie möglich zu gestalten. Im Rahmen der Übertragung per E-Mail oder auf mobilem Datenträger, können Daten verschlüsselt werden um einen angemessenen Schutz herzustellen. So kann im Falle eines Verlustes eines Datenträgers kein unberechtigter Zugriff erfolgen.

 

Eingabekontrolle

Stellen Sie sicher, dass Veränderungen oder Eingaben in ihre Datenverarbeitungssysteme protokolliert werden. Die gängigen ERP-Lösungen besitzen bereits die Möglichkeit, Veränderungen arbeitsplatzbezogen zu dokumentieren um im Falle eines Datenverlustes das „Datenleck“ zeitnah zu identifizieren.

 

Auftragskontrolle

Verarbeiten externe Stellen ihre personenbezogenen Daten, so muss sichergestellt werden das die Auftragsdatenverarbeitung gemäß den festgelegten Vorgaben verlaufen. Dazu eigenen sich regelmäßigen Kontrollen der verarbeiteten Unternehmen.

 

Verfügbarkeitskontrolle

Um Datenverluste zu vermeiden, müssen Vorkehrungsmaßnahmen zum Schutz der IT-Infrastruktur getroffen werden. So sind Brandschutzvorkehrungen, geeignete Klimatisierungsmaßnahmen oder eine stabile Energieversorgung vorzusehen.

 

Trennungsgebot

Wenn zu unterschiedlichen Zwecken personenbezogene Daten erhoben werden, müssen diese auch getrennt verarbeitet werden können. So umfasst diese Regelung die Trennung von Produktiv- und Testsystem oder auch getrennte Datenbanken.

Wie können wir Sie unterstützen?

Sie haben noch kein Datenschutzmanagementsystem oder benötigen Unterstützung bei den Anforderungen der Datenschutz-Grundverordnung? Gerne unterstützen wir Sie hier umfassend, je nach Ihren Bedürfnissen.

Steffen Homringhaus

Steffen Homringhaus

Partner

02736/50937-0 02736/50937-25 s.homringhaus@sysscon.de
X