TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM) gemäß Art. 32 DSGVO Muster bereitgestellt von CompliantDesk (Corelead GmbH). Hinweis: Dieses Muster dient als Orientierung und ersetzt keine individuelle Beratung. Beschreiben Sie je Punkt Ihre tatsächlich umgesetzten Maßnahmen und entfernen Sie nicht zutreffende Beispiele. Verantwortlicher: [Name, Anschrift] Stand: [Datum] ======================================================================== 1. VERTRAULICHKEIT (Art. 32 Abs. 1 lit. b DSGVO) ======================================================================== 1.1 Zutrittskontrolle (Schutz vor unbefugtem physischem Zutritt) [ ] Schließsystem / elektronische Zutrittskontrolle [ ] Besucherregelung und Begleitung [ ] Alarmanlage / Videoüberwachung [ ] Absicherung von Server- und Technikräumen Eigene Maßnahmen: [...] 1.2 Zugangskontrolle (Schutz vor unbefugter Systemnutzung) [ ] Benutzerauthentifizierung mit Passwortrichtlinie [ ] Multi-Faktor-Authentifizierung (MFA) [ ] Automatische Bildschirmsperre [ ] Verschlüsselung von Endgeräten Eigene Maßnahmen: [...] 1.3 Zugriffskontrolle (bedarfsgerechte Berechtigungen) [ ] Rollen- und Berechtigungskonzept (Need-to-know) [ ] Regelmäßige Überprüfung der Berechtigungen [ ] Protokollierung von Zugriffen Eigene Maßnahmen: [...] 1.4 Trennungskontrolle (getrennte Verarbeitung) [ ] Mandantentrennung [ ] Trennung von Produktiv- und Testumgebung Eigene Maßnahmen: [...] 1.5 Pseudonymisierung [ ] Pseudonymisierung wo möglich und sinnvoll Eigene Maßnahmen: [...] ======================================================================== 2. INTEGRITÄT (Art. 32 Abs. 1 lit. b DSGVO) ======================================================================== 2.1 Weitergabekontrolle (Schutz bei Übertragung) [ ] Verschlüsselte Übertragung (TLS, VPN) [ ] Sichere Datenträgervernichtung [ ] Regelungen zur Datenübermittlung Eigene Maßnahmen: [...] 2.2 Eingabekontrolle (Nachvollziehbarkeit) [ ] Protokollierung von Eingabe, Änderung, Löschung [ ] Nachvollziehbarkeit über Benutzerkonten Eigene Maßnahmen: [...] ======================================================================== 3. VERFÜGBARKEIT UND BELASTBARKEIT (Art. 32 Abs. 1 lit. b, c DSGVO) ======================================================================== 3.1 Verfügbarkeitskontrolle [ ] Backup-Konzept (z.B. 3-2-1-Regel) [ ] Unterbrechungsfreie Stromversorgung (USV) [ ] Schutz vor Schadsoftware (EDR/AV) [ ] Brand- und Wasserschutz für Technikräume Eigene Maßnahmen: [...] 3.2 Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) [ ] Getestete Wiederherstellung (Restore-Tests) [ ] Notfall- und Wiederanlaufpläne (RTO/RPO) Eigene Maßnahmen: [...] ======================================================================== 4. VERFAHREN ZUR ÜBERPRÜFUNG UND BEWERTUNG (Art. 32 Abs. 1 lit. d) ======================================================================== 4.1 Datenschutz-Management [ ] Verzeichnis von Verarbeitungstätigkeiten (VVT) [ ] Regelmäßige Schulungen und Sensibilisierung [ ] Datenschutz-Folgenabschätzung bei hohem Risiko Eigene Maßnahmen: [...] 4.2 Auftragskontrolle (Auftragsverarbeiter) [ ] Abschluss von AVV nach Art. 28 DSGVO [ ] Auswahl und Kontrolle der Dienstleister Eigene Maßnahmen: [...] 4.3 Incident-Response-Management [ ] Prozess zur Behandlung von Datenpannen [ ] Meldewege und Fristen (72 Stunden, Art. 33) Eigene Maßnahmen: [...] ------------------------------------------------------------------------ Tipp: Diese TOM können Sie als Anlage zu einem Auftragsverarbeitungs- vertrag (AVV) verwenden und mit Ihrem Verzeichnis von Verarbeitungs- tätigkeiten (VVT) verknüpfen.