Jetzt anfragen
Glossar

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOM) sind alle Vorkehrungen, mit denen ein Verantwortlicher personenbezogene Daten gegen Verlust, Missbrauch und unbefugten Zugriff absichert. Art. 32 DSGVO macht sie zur Pflicht.

Was sind technische und organisatorische Maßnahmen?

Technische und organisatorische Maßnahmen – kurz TOM – sind das praktische Rückgrat des Datenschutzes. Art. 32 DSGVO verlangt, dass jeder Verantwortliche ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten herstellt. TOM sind die konkreten Vorkehrungen, mit denen das gelingt: alles von der verschlüsselten Festplatte über das Berechtigungskonzept bis zur Schulung der Mitarbeiter.

Die Unterscheidung steckt im Namen. Technische Maßnahmen betreffen die IT und die physische Umgebung – Verschlüsselung, Firewalls, Zutrittskontrollen, Backups. Organisatorische Maßnahmen betreffen Abläufe und Menschen – Rollen, Richtlinien, Verpflichtungen auf Vertraulichkeit, Vertretungsregelungen. Erst beide zusammen ergeben ein belastbares Schutzkonzept. Eine perfekte Verschlüsselung nützt wenig, wenn das Passwort am Monitor klebt.

Typische TOM in der Praxis

Welche Maßnahmen angemessen sind, hängt vom Risiko ab: Eine Arztpraxis mit Gesundheitsdaten braucht mehr als ein Handwerksbetrieb mit ein paar Kundenadressen. Art. 32 nennt selbst einige Bausteine ausdrücklich, etwa Pseudonymisierung und Verschlüsselung. In der Praxis bewährt sich eine Gliederung nach Schutzzielen:

  • Zutritts- und Zugangskontrolle: abschließbare Räume, Bildschirmsperren, individuelle Benutzerkonten, starke Passwörter, Zwei-Faktor-Authentifizierung.
  • Zugriffskontrolle: Berechtigungen nach dem Need-to-know-Prinzip, dokumentierte Rollenvergabe, Protokollierung kritischer Zugriffe.
  • Integrität und Vertraulichkeit: Verschlüsselung bei Übertragung und Speicherung, sichere Löschung, Verpflichtung der Beschäftigten auf Vertraulichkeit.
  • Verfügbarkeit und Belastbarkeit: regelmäßige Backups, geprüfte Wiederherstellung, Schutz vor Schadsoftware.
  • Verfahren zur Überprüfung: wiederkehrende Kontrolle und Aktualisierung der Maßnahmen, dokumentiert in einem Datenschutzkonzept.

TOM dokumentieren und nachweisen

TOM sind keine einmalige Liste, sondern müssen aktuell, wirksam und nachweisbar sein. Die Rechenschaftspflicht der DSGVO verlangt, dass Sie im Ernstfall belegen können, welche Maßnahmen Sie getroffen haben. Deshalb gehören TOM in eine schriftliche Dokumentation, die zum Verzeichnis von Verarbeitungstätigkeiten passt und bei Bedarf der Aufsichtsbehörde vorgelegt werden kann.

Auch in der Auftragsverarbeitung spielen TOM eine zentrale Rolle: Ein guter Auftragsverarbeitungsvertrag enthält eine Anlage mit den TOM des Dienstleisters. Wer hier nur Textbausteine kopiert, übersieht oft die Lücken. Ich prüfe TOM im Rahmen eines Datenschutz-Audits auf das, was wirklich zum Risiko passt – und nicht auf das, was sich gut liest.

FAQ

Technische und organisatorische Maßnahmen (TOM) – häufige Fragen

Sind TOM für jedes Unternehmen Pflicht?

Ja. Art. 32 DSGVO verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter, ein angemessenes Schutzniveau zu gewährleisten. Umfang und Tiefe der Maßnahmen richten sich nach dem Risiko der Verarbeitung – eine Mindestabsicherung schuldet aber jeder.

Wie oft müssen TOM überprüft werden?

Art. 32 verlangt ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit. In der Praxis hat sich eine jährliche Kontrolle bewährt – zusätzlich immer dann, wenn sich Prozesse, IT-Systeme oder Risiken ändern.

Reicht eine Vorlage aus dem Internet für meine TOM?

Eine Vorlage gibt Struktur, ersetzt aber keine Bewertung. TOM müssen zu Ihren tatsächlichen Systemen, Daten und Risiken passen. Eine ungeprüft übernommene Liste behauptet oft Maßnahmen, die es bei Ihnen gar nicht gibt – das fällt spätestens bei einer Prüfung auf.

Was passiert bei fehlenden oder unzureichenden TOM?

Unzureichende technische und organisatorische Maßnahmen sind ein häufiger Bußgeldgrund, besonders nach Datenpannen. Kommt es zu einem Sicherheitsvorfall, prüft die Behörde, ob das Schutzniveau angemessen war. Gut dokumentierte TOM sind hier Ihr wichtigster Nachweis.

Sind Ihre TOM mehr als nur ein Dokument?

In einem kostenlosen Erstgespräch schauen wir gemeinsam, ob Ihre technischen und organisatorischen Maßnahmen zum tatsächlichen Risiko Ihres Betriebs passen. Ehrlich und ohne Verkaufsdruck.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen