TOMS = technische und organisatorische Maßnahmen, Dokumentationspflicht
= Herzstück des Datenschutzes
Je nach Art, Umfang, Umstände der Verarbeitung. Was ist angemessen?
Maßnahmen durchführen - und dokumentieren.
z.B. Personalakte: geschlossener Schrank, geschlossenes Büro
Das gilt auch in IT-Systemen: Rollen- und Rechtesysteme. Sensible Daten dürfen nur für die zuständigen Mitarbeiter einsehbar sein.