Technisch-organisatorische Maßnahmen

Die Verarbeitung personenbezogener Daten gemäß § 9 S. 1 BDSG darf nur erfolgen, wenn sie angemessene Maßnahmen zur Datensicherheit treffen. Die Datensicherheit betrifft vor allem die IT-Sicherheit. Viele Prüfungspunkte wie zum Beispiel die Zugriffs- und die Zugangskontrolle betreffen in großen Teilen die IT-Sicherheit. Technisch-organisatorische Maßnahmen (TOMs) nennt das BDSG in der Anlage.

Acht Schutzziele, die diese Maßnahmen erfüllen sollen

  • Zutrittskontrolle,
  • Zugriffskontrolle,
  • Zugangskontrolle,
  • Weitergabekontrolle,
  • Eingabekontrolle,
  • Auftragskontrolle,
  • Verfügbarkeitskontrolle und
  • das Prinzip der nach dem jeweiligen Verarbeitungszweck getrennten Verarbeitung.

Das Gesetz bzw. die Aufsichtsbehörden schreiben nicht bestimmte Maßnahmen vor. Es sind angemessene Maßnahmen zum jeweiligen Zweck zu treffen. Daher muss stets im Einzelfall geprüft werden, inwieweit Unternehmen Maßnahmen treffen müssen. Bei den einzelnen Landesbehörden finden sie häufig Checklisten. Diese dienen eher der Arbeitshilfe.