Legal Stuff 038 – TOM und die DSGVO

itunes_subscribe_button

bkeulfn

Wer oder was ist TOM? TOM sind technische und organisatorische Maßnahmen.

Da ich letztes Mal immer auf den Maßnahmen „herumgehackt“ habe, wurde ich gefragt, was die denn genau sind. Und darum geht es nun in dieser Episode – und in der nächsten wird uns das Thema auch noch begleiten. TOM gibt es in der DSGVO ebenso wie in dem bisherigen Datenschutzrecht; es hat sich aber inhaltlich vieles geändert.

Ausgangspunkt ist Art. 32 DSGVO. Hier geht nur um wenige konkrete Maßnahmen, es werden allgemein angemessene Maßnahmen nach dem Stand der Technik gefordert. Den Stand der Technik kann man mit Standards zur Informationssicherheit konkretisieren, etwa der ISO 27001 oder dem BSI-Grundschutz. Hinweisen möchte ich auch auf die Handreichung zum Stand der Technik, die TeleTrusT – Bundesverband IT-Sicherheit e.V. herausgegeben hat, und die Musterdokumente BSI.

Was für Dokumente braucht mein Unternehmen nun? Wie schon kurz erwähnt, kann man sich einen „Grundstock“ beim BSI herunterladen.

Nach der ISO 27001 sind folgende Dokumente zwingend erforderlich:

Anwendungsbereich des Unternehmenssicherheitsmanagements
Erklärung zur Anwendbarkeit

Inventar der Werte
Zulässige Nutzung der Werte

Methodik zur Risikoeinschätzung und -behandlung
Plan zur Risikobehandlung
Bericht zur Risikoeinschätzung

Definition der Sicherheitsrollen und -verantwortlichkeiten

Notfallplan

Informationssicherheitsleitlinie und Zielvorgaben

Zugangskontrollrichtlinie
Betriebliche Verfahren zur IT-Verwaltung
Prinzipien der systemtechnischen Sicherheit
Richtlinien zur Lieferantensicherheit

Verfahren zur betrieblichen Kontinuität
Rechtliche Anforderungen

Hierbei ist nur wichtig, dass es zu den Themen Regelungen und Vorgaben in deinem Unternehmen gibt – einzelne Dokumente müssen es natürlich nicht sein. Es empfiehlt sich jedoch, die Überschriften zur verwenden, damit die Datenschutzbehörde bei einer eventuellen Prüfung sofort die Zuordnung zur ISO 27001 sieht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.