TOMs von BDSG zur DSGVO übertragen
Manche Unternehmen haben bereits TOMs im Rahmen eines Verfahrensverzeichnis erstellt und stehen nun vor der Frage, ob man diese Daten weiterverwenden kann. Denn nach der DSGVO gibt es diese Unterteilung des alten BDSGs für TOM´s nicht mehr.
TOMs nach der DSGVO gliedern
Grundlegend für die TOM-Beschreibung ist Artikel 32 DSGVO. Hieraus können folgende Gliederungspunkte abgeleitet werden:
- Vertraulichkeit der Systeme und Dienste
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Integrität der Systeme und Dienste
- Verfügbarkeit und Belastbarkeit der Systeme und Dienste
- Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Ich habe die Themen so organisiert, dass die Inhalte zueinander passen.Hierbei kann man sich insbesondere an den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit orientieren. Ergänzt werden sollten diese um Informationen zu dem Verfahren (Artikel 32 lit d) zur regelmäßigen Überprüfung, Bewertung, … was letztendlich wieder ein Hinweis auf ein Managementsystem ist.
Alte TOMs den neuen TOMs zuordnen
Die bisherigen Punkte aus den TOMs nach dem BDSG lassen sich nun wunderbar in diese Differenzierung einsortieren:
Vertraulichkeit der Systeme und Dienste | Zutrittskontrolle (BDSG alt) |
Zugangskontrolle (BDSG alt) | |
Zugriffskontrolle (BDSG alt) | |
Pseudonymisierung und Verschlüsselung personenbezogener Daten | |
Integrität der Systeme und Dienste | Eingabekontrolle (BDSG alt) |
Weitergabekontrolle (BDSG alt) | |
Trennunggebot (BSDG alt) | |
Verfügbarkeit und Belastbarkeit der Systeme und Dienste | Verfügbarkeitskontrolle (BDSG alt) |
Wiederherstellung der Verfügbarkeit der personenbezogenen Daten nach Zwischenfall | |
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung | Auftragskontrolle (BDSG alt) |
Natürlich sollten diese Punkte anschließend um weitere Maßnahmen ergänzt bzw. Anpassungen vorgenommen werden.