- +49 681 94005430
- kanzlei@dury.de
- Montag - Freitag 08:00 - 17:00
Auftragsdatenverarbeitung Muster §11BDSG - Art. 28 DSGVO
Seite 3 von 4
Was hat es mit den technischen und organisatorischen Maßnahmen (TOM) auf sich, deren Auflistung dem ADV-Vertrag beigefügt werden muss?
Alle Muster scheitern bei der Auflistung der technischen und organisatorischen Maßnahmen (TOM) gem. § 9 BDSG, die jedem ADV-Vertrag beigefügt werden muss.
Die TOM richten sich jeweils nach den Umständen des Einzelfalles und können wir folgt kategorisiert werden:
- Zugangskontrolle
Maßnahmen um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten i.S.d. § 3 Abs. 5 BDSG benutzt werden können). - Zutrittskontrolle
Maßnahmen um zu verhindern, dass Unbefugte Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit denen die personenbezogene Daten verarbeitet werden. - Zugriffskontrolle
Maßnahmen, die sicherstellen, dass ausschließlich durch berechtigte Nutzer auf die personenbezogenen Daten zugegriffen werden kann, für die sie berechtigt sind und das die personenbezogene Daten bei der Verarbeitung und Nutzung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können (z.B. durch ein Berechtigungskonzept (Active Directory, etc.), Benutzerkennung mit Passwort, gesicherte Schnittstellen (USB, Firewire, Netzwerk, etc.). - Weitergabekontrolle
Maßnahmen, mit denen verhindert werden soll, dass personenbezogenen Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können (z.B. Verschlüsselungstechnik, VPN, etc.) - Eingabekontrolle
Maßnahmen, die dazu dienen, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind (z.B. Logging, Benutzeridentifikation, etc.) - Auftragskontrolle
Maßnahmen, mit denen sichergestellt werden soll, dass personenbezogene Daten die im Rahmen einer Auftragsdatenverarbeitung verarbeitet werden nur gemäß den Weisungen des Auftraggebers verarbeitet werden (z.B. Reportings, ADV-Vertrag gem. § 11 BDSG, Stichprobenkontrollen oder Vor-Ort-Audits). - Verfügbarkeitskontrolle
Maßnahmen, die dazu dienen, dass die personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden (z.B. Brandschutzmaßnahmen, Backupkonzept, Virenschutzkonzept, Schutz vor Diebstahl, etc.)