Technische und organisatorische Maßnahmen bei der MAMMUT

Was sind technische und organisatorische Maßnahmen (TOMs) im Sinne der DSGVO?

Die technischen und organisatorische Maßnahmen (kurz: TOM’s) sind abgeleitet aus der Datenschutzgrundverordnung (Art. 32 DSGVO) und beschreiben die Rahmenbedingungen, die Entsorgungsfachbetriebe für die datenschutzkonforme Vernichtung von Daten erfüllen müssen. Diese Maßnahmen gewährleisten, dass der gesetzlich vorgeschriebene Rahmen eingehalten wird und personenbezogene Daten vor unbefugtem Zugriff geschützt sind.

Die Zertifizierung aller MAMMUT Deutschland Partner setzt die konsequente Umsetzung der TOM’s voraus. Diese Zertifizierungen werden gemäß ISO 9001:2015 und nach DIN 66399 regelmäßig von externen Qualitätsmanagern überprüft und erneuert.

 

Was bedeutet dies konkret?

Nachfolgend zeigen wir Ihnen auf, welche Maßnahmen im Rahmen der Aktenvernichtung und Datenträgervernichtung zur Sicherheit aller Kunden getroffen werden und welchen Bereichen diese zugeordnet werden:

Vetraulichkeit

Zutrittskontrolle

Kontrolliert den Zugang zum Betriebsgelände und den Sicherheitsbereichen. Dies umfasst beispielsweise:

Maßnahmen:

  • Zutrittssicherung an allen Zutrittsmöglichkeiten zur Datenvernichtungsanlage
  • Zutritt von Dritten nur mit Voranmeldung
  • Zutrittsschleusen für Personen und LKW (ab Schutzklasse 2)
  • Überwachung der Türen mit Meldeeinrichtung (ab Schutzklasse 3)
  • Einbruchmeldeanlage (ab Schutzklasse 2)
  • Brandmeldeanlage
  • Schlüsselverzeichnis
  • Wachschutz
  • Videoüberwachung (ab Schutzklasse 2)
  • Taggleiche Vernichtung (ab Schutzklasse 3)
  • Mitarbeiter- und Besucherausweise
  • Sicherheitsbereich in massiver Bauausführung (ab Schutzklasse 2)

Zugangskontrolle

Mit der Zugangskontrolle wird reguliert, ob und welche Personen Zugang zu Datenverarbeitungsanlagen innerhalb des Betriebes haben. Damit wird ein unbefugter Zugriff auf Kundendaten verhindert.

Maßnahmen:

  • Passwortauthentifizierungen für alle Computersysteme
  • Verschlüsselung von elektr. Kundendaten (ansonsten keine Datenverarbeitung)
  • Sperrung aller Systeme für externe Datenträger wie USB-Sticks
  • Firewalls und Virenschutz
  • Beschränkung sowie Regelungen, welche Personen Schlüssel zu bestimmten Räumlichkeiten erhalten

Zugriffskontrolle

Die Regeln für die Zugriffskontrolle definieren personelle und technische Maßnahmen, welche den Zugriff auf Kundendaten beschränken und deren Weitergabe verhindern.

Maßnahmen:

  • Verpflichtung aller Mitarbeiter auf das Datengeheimnis nach § 203 StGB
  • Verschwiegenheitsverpflichtung der Mitarbeiter
  • Regelungen im Arbeitsvertrag
  • sorgfältige Auswahl der Mitarbeiter (Führungszeugnis)
  • Innensicherheitsrevision
  • Sicherheitsschleusen
  • personenbezogene Passwortvergabe für Datenverarbeitungssysteme
  • Stellenbeschreibungen zur Definition von Mitarbeiterrechten
  • Verwendung von geschlossenen und verschlossenen Sicherheitsbehältern (ab Schutzklasse 2)
  • Verwendung von Fahrzeugen mit geschlossenem und verschlossenem festem Aufbau (ab Schutzklasse 2)
  • Kunde kann bei Vernichtung anwesend sein (ab Schutzklasse 3)
  • Übergabeprotokoll
  • Ausschließliche Lagerung im Sicherheitsbereich (ab Schutzklasse2)

Trennungskontrolle

Bestimmt, dass Daten, die unterschiedlichen Zwecken dienen, auch getrennt verarbeitet werden. Dies reguliert z.B. die getrennte Speicherung und Verarbeitung von Personal- und Kundendaten.

Maßnahmen:

  • Verwendung von mitarbeiterbezogenen Sicherheitskontrollstreifen
  • MAMMUT sind die Zwecke der Erhebung unbekannt, die Trennungskontrolle muss insoweit vom Auftraggeber gewährleistet werden.

Integrität

Weitergabekontrolle

Reguliert im Themenbereich der Aktenvernichtung/Datenvernichtung die Weitergabe bzw. den Transport der Kundendaten. Hierzu zählen Maßnahmen wie:

Maßnahmen:

  • Transport in geschlossenen Fahrzeugen
  • Transport in geschlossenen Behältern / Containern
  • Lieferschein
  • Tourenplan
  • Übernahmeprotokoll
  • Dienstanweisung im Fahrerhandbuch
  • Verwendung von mitarbeiterbezogenen Sicherheitskontrollstreifen

Eingabekontrolle

Dies ist eine Maßnahme, mit der sämtliche Änderungen in Datenverarbeitungssysteme protokoliert und bestimmten Personen zugeordnet werden können.

Maßnahmen:

  • Schichtbericht
  • Tourenplan
  • Lieferschein

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle:

Dies sind Maßnahmen, die den Verlust oder die unkontrollierte und undokumentierte Zerstörung von Daten verhindern. Hierzu gehören:

Maßnahmen:

  • Notfallplan (ab Schutzklasse 2)
  • Redundante Anlage (ab Schutzklasse 3)
  • Brandbekämpfungseinrichtungen
  • Einbruchmeldeanlage
  • Brandmeldeanlage
  • Regelmäßige Probeentnahme zur Kontrolle des Erreichens der Sicherheitsstufen
  • Nachweis zum Einsatz geeigneter Maschinen („Maschinenzertifikat“)

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Auftragskontrolle:

Dokumentiert das Vorhandensein und die korrekte Abwicklung eines Kundenauftrages im Sinne des Auftraggebers. Maßnahmen in diesem Bereich umfassen:

Maßnahmen:

  • eindeutige Vertragsgestaltung
  • formalisiertes Auftragsmanagement
  • strenge Auswahl des Dienstleisters
  • Audits/Kundenaudits
    – Vorabüberzeugungspflicht
    – Nachkontrollen
    – Innensicherheitsrevision

Ihr Ansprechpartner

Wir freuen uns auf Ihre Anfrage zu den technischen und organisatorischen Maßnahmen (TOMs) bei der MAMMUT Deutschland.

Klaus Dräger

Telefon
Mobil

: 040 659 08 35 – 40
: 0160 939 76 555

klaus.draeger@mammut-deutschland.de

weiter zu Kontakt