Checkliste Prüfung Technische und Organisatorische Maßnahmen (TOM) aktualisiert

Prüfliste abgehakt
by Sascha Kuhrau |
on März 19, 2020 |
at 10:21

Ein­satz­zweck der Check­lis­te zur Prü­fung Tech­ni­sche und Orga­ni­sa­to­ri­sche Maßnahmen

Wir haben die erst­mals im Juni 2019 hier ver­öf­fent­lich­te Check­lis­te zur Prü­fung von tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (kurz TOM) über­ar­bei­tet. Mit­tels die­ser Check­lis­te kön­nen Sie

  1. Ihre eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men prü­fen und grob doku­men­tie­ren (kein Ersatz für eine Detaildokumentation),
  2. das Schutz­ni­veau Ihrer Dienst­leis­ter im Rah­men von Art. 28 DSGVO Auf­trags­ver­ar­bei­tung und deren tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men im Sin­ne des Art. 32 DSGVO grob prüfen,
  3. die Prü­fung des Schutz­ni­veaus bei Ihren Dienst­leis­tern doku­men­tie­ren oder
  4. sich ein­fach einen ers­ten Über­blick über die eige­nen inter­nen Schutz­maß­nah­men ver­schaf­fen (Was fehlt? Was ist schon vorhanden?).

Wie­so Prü­fung der tech­ni­schen und orga­ni­sa­to­ri­schen Maßnahmen?

Art. 28 Abs. 1 DSGVO besagt:

“Erfolgt eine Ver­ar­bei­tung im Auf­trag eines Ver­ant­wort­li­chen, so arbei­tet die­ser nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen die­ser Ver­ord­nung erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewährleistet.”

https://​dsgvo​-gesetz​.de/​a​r​t​-​2​8​-​d​s​g​vo/

Mit­tels die­ser Check­lis­te kön­nen Sie sich schon mal grob einen ers­ten Über­blick ver­schaf­fen. Je nach Detail­grad beim Aus­fül­len der Prüf­punk­te kann das Doku­ment jedoch auch als Ersatz für eine zusätz­li­che und aus­führ­li­che­re Doku­men­ta­ti­on her­an­ge­zo­gen wer­den. Dafür haben wir bewußt zahl­rei­che Frei- und Kom­men­tar­fel­der vor­ge­se­hen, um hier auch ins Detail gehen zu können.

Wel­che The­men behan­delt die Checkliste?

Wir haben uns beim Auf­bau sowohl an den Anfor­de­run­gen der DSGVO ori­en­tiert als auch bewähr­tes aus den frü­he­ren Anfor­de­run­gen bzw. Über­schrif­ten des Bun­des­da­ten­schutz­ge­set­zes ori­en­tiert. Der Auf­bau ist wie folgt:

  • Ver­trau­lich­keit
    • Zutritts­kon­trol­le
    • Zugangs­kon­trol­le
    • Zugriffs­kon­trol­le
    • Tren­nungs­kon­trol­le
    • Pseud­ony­mi­sie­rung (lit a)
  • Inte­gri­tät
    • Wei­ter­ga­be­kon­trol­le
    • Ein­ga­be­kon­trol­le
  • Ver­füg­bar­keit und Belastbarkeit 
    • Ver­füg­bar­keits­kon­trol­le
  • Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Evaluierung 
    • Daten­schutz-Manage­ment
    • Inci­dent Respon­se Management
    • Daten­schutz­freund­li­che Voreinstellungen
    • Auf­trags­kon­trol­le

Was hat sich gegen­über der vor­he­ri­gen Ver­si­on der Check­lis­te geändert?

  • Hin­zu­nah­me von Anla­gen, die bei­gefügt wer­den kön­nen wie 
    • Ver­zeich­nis zu den Kate­go­rien von im Auf­trag durch­ge­führ­ten Ver­ar­bei­tungs­tä­tig­kei­ten (Art. 30 Abs. 2 DSGVO)
    • Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer mit Tätig­kei­ten für Sie als Auftraggeber
    • Richt­li­nie Datenschutz
    • Richt­li­nie Umgang mit Datenpannen
    • Über­sicht der Sen­si­bi­li­sie­rungs- und Schu­lungs­maß­nah­men der letz­ten 24 Monate
  • Kon­kre­ti­sie­rung bei vor­han­de­nen ISMS
  • Erhö­hung des Detail­grads bei der einen oder ande­ren Auswahl
  • For­ma­tie­run­gen

Ist die Check­lis­te kostenfrei?

Wie die frü­he­ren Ver­sio­nen die­ser Check­lis­te stel­len wir auch die aktu­el­le Check­lis­te wie­der kos­ten­frei zur Ver­fü­gung. Wir appel­lie­ren jedoch an die Fair­ness der Nut­zer und Down­loa­der: Wir möch­ten nicht, dass die­se Check­lis­te ohne unse­re Zustim­mung auf ande­ren Inter­net­sei­ten als Mus­ter zum Down­load ange­bo­ten wird oder sich irgend­wann in einem käuf­lich zu erwer­ben­den Vor­la­gen­buch (ana­log oder digi­tal) wie­der­fin­det. Es wird kei­ne Haf­tung für Schä­den durch die Ver­wen­dung der Check­lis­te übernommen.

Anre­gun­gen und Vor­schlä­ge für die Wei­ter­ent­wi­ckung der Check­lis­te ger­ne an info@​ask-​datenschutz.​de

Vor­la­ge TOM Check­lis­te Tech­ni­sche und Orga­ni­sa­to­ri­sche Maß­nah­men DSGVO
Ver­si­on: 3.3
V 3.3 laden
7997 Downloads

Categories:

AuftragsverarbeitungBehördeChecklisteDatenschutzDatenschutzgrundverordnungDSGVODSMSInformationssicherheitISMSMusterTOMUnternehmen

Tags:

ChecklisteMusterorganisatorische Maßnahmentechnische MaßnahmenTOM

No responses yet

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Über a.s.k. Daten­schutz e.K.
    News­let­ter

    Unse­ren News­let­ter Daten­schutz und Infor­ma­ti­ons­si­cher­heit abon­nie­ren Sie hier.

    Nächs­te Termine
    • Keine Termine
    Unse­re Leis­tun­gen für Sie
    Häu­fi­ge Fragen
    Part­ner /​ Koope­ra­tio­nen


    Anwalts­kanz­lei Diercks, Hamburg


    Spi­rit Legal Rechts­an­wäl­te, Leipzig


    RA Ste­phan Han­sen-Oest, Flensburg


    Anstalt für Kom­mu­na­le Daten­ver­ar­bei­tung in Bay­ern (AKDB), München


    Gesell­schaft für kom­mu­na­len Daten­schutz (GKDS), München


    Whist­le Safe e.K., Ber­lin — Whist­le­b­lo­wing-Lösun­gen für Unter­neh­men und Kommunen


    Daten­schutz Schmidt (Daten­schutz Assis­tent), Lauf a.d. Pegnitz

    Hahn IT Ser­vices, Schwaig


    Mibes IT-Sys­tem­haus, Raubling

    Mit­glied­schaf­ten