Also: Technische und organisatorische Massnahmen, GDPR Art. 32 TOMs, Art. 32 DSGVO

Technische und organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten. Pflicht aus Art. 32 DSGVO, einschlägig für jeden Verantwortlichen und Auftragsverarbeiter in der EU.

Art. 32 DSGVO nennt vier Beispiel-Felder: Pseudonymisierung und Verschlüsselung, Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit, regelmäßige Überprüfung. Der Stand der Technik, Implementierungs-Kosten, Art/Umfang/Umstände/Zwecke der Verarbeitung und Risiken sind explizit als Maßstab genannt.

Strukturierung: TOM werden üblicherweise nach Kategorien dokumentiert (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits-, Trennungs-Kontrolle plus organisatorische Maßnahmen wie Schulung, Vertraulichkeits-Vereinbarungen, Notfall-Management). Format-Vorlagen liefern Landes-Datenschutz-Behörden und Verbände wie BvD oder GDD.

Audit-Relevanz: TOM sind Pflicht-Anlage zu Auftragsverarbeitungs-Verträgen nach Art. 28 DSGVO. Aufsicht (Bundes- und Länder-Datenschutz) prüft TOM stichprobenartig, bei Meldungen nach Art. 33 systematisch. Generische TOM-Listen ohne Spezifizierung auf die Verarbeitung sind als Mängel-Beispiel in Aufsichts-Veröffentlichungen häufig.

DSGVO Art. 32 TOM

Related terms