TOM = Technische und Organisatorische Maßnahmen gemäß Art. 32 DSGVO (Auftragsverarbeiter von Hosting-Diensten oder Zugriff auf Kundendaten)
TOM sind Sicherheitsmaßnahmen zum Schutz personenbezogener Daten.
Anlage – Technische und Organisatorische Maßnahmen (TOM)
1. Zutrittskontrolle
* Server befinden sich in gesicherten Rechenzentren
* Zugang nur für autorisierte Personen
* Physische Sicherung der Infrastruktur durch Rechenzentrumsbetreiber
—
2. Zugangskontrolle
* Passwortgeschützte Systeme
* Individuelle Benutzerkonten
* Zwei-Faktor-Authentifizierung (sofern verfügbar)
* Keine gemeinsame Nutzung von Zugangsdaten
—
3. Zugriffskontrolle
* Zugriff auf Kundendaten nur, soweit zur Vertragserfüllung erforderlich
* Rollenbasierte Rechtevergabe
* Protokollierung administrativer Zugriffe
—
4. Weitergabekontrolle
* SSL-/TLS-Verschlüsselung bei Datenübertragung
* Keine Weitergabe personenbezogener Daten an Dritte ohne vertragliche Grundlage
* Subunternehmer nur mit DSGVO-konformer Vereinbarung
—
5. Eingabekontrolle
* Protokollierung von administrativen Änderungen
* Nachvollziehbarkeit von Systemänderungen
—
6. Auftragskontrolle
* Verarbeitung ausschließlich auf dokumentierte Weisung des Auftraggebers
* Abschluss eines Auftragsverarbeitungsvertrages
* Verpflichtung auf Vertraulichkeit
—
7. Verfügbarkeitskontrolle
* Regelmäßige Datensicherungen (Backups)
* Firewall-Schutz
* Regelmäßige System-Updates
* Schutz vor Malware
—
8. Trennungsgebot
* Logische Trennung von Kundendaten
* Getrennte Hosting-Umgebungen (sofern technisch möglich)