TOMs von BDSG zur DSGVO übertragen

Manche Unternehmen haben bereits TOMs im Rahmen eines Verfahrensverzeichnis erstellt und stehen nun vor der Frage, ob man diese Daten weiterverwenden kann. Denn nach der DSGVO gibt es diese Unterteilung des alten BDSGs für TOM´s nicht mehr.

TOMs nach der DSGVO gliedern

Grundlegend für die TOM-Beschreibung  ist Artikel 32 DSGVO. Hieraus können folgende Gliederungspunkte abgeleitet werden:

  1. Vertraulichkeit der Systeme und Dienste
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  2. Integrität der Systeme und Dienste
  3. Verfügbarkeit und Belastbarkeit der Systeme und Dienste
    • Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Ich habe die Themen so organisiert, dass die Inhalte zueinander passen.Hierbei kann man sich insbesondere an den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit orientieren. Ergänzt werden sollten diese um Informationen zu dem Verfahren (Artikel 32 lit d) zur regelmäßigen Überprüfung, Bewertung, … was letztendlich wieder ein Hinweis auf ein Managementsystem ist.

Alte TOMs den neuen TOMs zuordnen

Die bisherigen Punkte aus den TOMs nach dem BDSG lassen sich nun wunderbar in diese Differenzierung einsortieren:

Vertraulichkeit der Systeme und Dienste Zutrittskontrolle (BDSG alt)
Zugangskontrolle (BDSG alt)
Zugriffskontrolle (BDSG alt)
Pseudonymisierung und Verschlüsselung personenbezogener Daten
Integrität der Systeme und Dienste Eingabekontrolle (BDSG alt)
Weitergabekontrolle (BDSG alt)
Trennunggebot (BSDG alt)
Verfügbarkeit und Belastbarkeit der Systeme und Dienste Verfügbarkeitskontrolle (BDSG alt)
Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Auftragskontrolle (BDSG alt)

 

Natürlich sollten diese Punkte anschließend um weitere Maßnahmen ergänzt bzw. Anpassungen vorgenommen werden.