Datenschutz & Compliance

TOM nach DSGVO: Technische und organisatorische Maßnahmen richtig umsetzen

9 Min. Lesezeit
Kurze Antwort

TOMs sind konkrete Schutzmaßnahmen für personenbezogene Daten – von Verschlüsselung über Zugangskontrollen bis hin zu Mitarbeiterschulungen – und müssen risikobasiert, dokumentiert und regelmäßig überprüft werden.

Ein Antivirenprogramm ist kein TOM-Konzept – Art. 32 DSGVO fordert ein systematisches, risikobasiertes Schutzkonzept für alle personenbezogenen Daten.

Was sind Technische und Organisatorische Maßnahmen (TOM)?

Technische und Organisatorische Maßnahmen, kurz TOM, sind alle Vorkehrungen, die ein Unternehmen trifft, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Vernichtung zu schützen. Die Rechtsgrundlage findet sich in Art. 32 DSGVO, der Verantwortliche und Auftragsverarbeiter gleichermaßen verpflichtet, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Entscheidend ist das Wort angemessen: Die DSGVO schreibt keine universelle Checkliste vor. Stattdessen verlangt sie eine individuelle Risikoabwägung. Ein mittelständisches Handwerksunternehmen mit wenigen Kundenadressen steht vor anderen Anforderungen als eine Online-Plattform mit Millionen von Nutzerprofilen. Maßstab ist immer der sogenannte Stand der Technik – also das, was nach aktuellem Wissensstand technisch möglich und wirtschaftlich vertretbar ist.

TOMs sind keine einmalige Aufgabe, die man abhaken und vergessen kann. Sie sind ein lebendiges System, das regelmäßig überprüft, angepasst und dokumentiert werden muss. Wer heute seine Infrastruktur absichert und in drei Jahren keine einzige Überprüfung durchgeführt hat, hat die DSGVO-Anforderungen dennoch verletzt – selbst wenn zwischenzeitlich nichts passiert ist. Aufsichtsbehörden prüfen bei Kontrollen nicht nur den aktuellen Zustand, sondern auch die Nachweise über regelmäßige Reviews.

Die 8 Schutzziele nach DSGVO

  • Vertraulichkeit: Nur befugte Personen dürfen auf personenbezogene Daten zugreifen – technisch durch Verschlüsselung, organisatorisch durch Berechtigungskonzepte.
  • Integrität: Daten dürfen nicht unbemerkt verändert werden – gesichert durch Hashverfahren, Protokollierung und Versionierung.
  • Verfügbarkeit: Daten müssen bei Bedarf zugänglich sein – Ausfallschutz durch Backups, Redundanzen und Notfallpläne.
  • Belastbarkeit: Systeme müssen auch unter Last oder nach Angriffen stabil und funktionsfähig bleiben.
  • Pseudonymisierung: Personenbezug wird getrennt gespeichert, sodass Daten ohne Zusatzwissen nicht einer Person zugeordnet werden können.
  • Verschlüsselung: Sowohl Daten im Ruhezustand (at rest) als auch bei der Übertragung (in transit) sind zu verschlüsseln.
  • Zutrittskontrolle: Physischer Zugang zu Räumen mit Datenverarbeitung muss kontrolliert und protokolliert werden.
  • Zugangskontrolle: Digitaler Zugang zu Systemen ist durch starke Authentifizierung (z. B. MFA) abzusichern.

Konkrete TOM-Beispiele nach Kategorie

Rechenzentrum und Infrastruktur: Serverräume mit Zugangskontrolle (Chipkarte, PIN, Kamera), klimatisierte und gesicherte Schränke, unterbrechungsfreie Stromversorgung (USV), Brandschutzanlagen, redundante Internetanbindung. Wer Hosting-Dienste nutzt, sollte den AVV des Anbieters prüfen und sicherstellen, dass Rechenzentren mindestens ISO 27001 oder SOC 2 zertifiziert sind.

Netzwerk und Systeme: Firewall mit definierten Regelwerken, Netzwerksegmentierung (z. B. VLAN für produktive Systeme und Gäste getrennt), regelmäßige Patch- und Update-Zyklen für Betriebssysteme und Applikationen, Intrusion-Detection-Systeme (IDS), Protokollierung von Zugriffen und Anomalien, verschlüsselte VPN-Verbindungen für Fernzugriffe.

Zugang und Identität: Rollenbasierte Zugriffsrechte (Prinzip der minimalen Rechtevergabe), Mehrfaktor-Authentifizierung für alle externen Zugänge und privilegierten Accounts, automatische Sperrung nach Inaktivität, zentrales Identity- und Access-Management (IAM), sofortige Deaktivierung von Accounts ausgeschiedener Mitarbeiter.

Organisation und Prozesse: Dokumentiertes Löschkonzept mit definierten Aufbewahrungsfristen, Verpflichtung aller Mitarbeiter auf Vertraulichkeit, standardisierte Prozesse für Datenpannen (Incident Response), AVV mit allen Dienstleistern, die personenbezogene Daten verarbeiten, regelmäßige Datenschutz-Folgenabschätzungen (DSFA) für risikoreiche Verarbeitungen.

Ein Antivirenprogramm allein reicht nicht. Die DSGVO fordert ein systematisches, dokumentiertes Schutzkonzept – nicht eine Liste einzelner Tools. Fehlende TOM-Dokumentation kann bei Kontrollen direkt zu Bußgeldern führen, auch wenn kein Datenschutzvorfall eingetreten ist.

Risikobasierter Ansatz: Was bedeutet Stand der Technik?

Der Begriff Stand der Technik ist eine dynamische Größe. Er beschreibt, was technisch verfügbar, praxiserprobt und wirtschaftlich vertretbar ist. Was vor fünf Jahren als sicher galt – etwa MD5 als Hash-Algorithmus oder WEP-Verschlüsselung im WLAN – ist heute technisch überholt und würde einem Datenschutz-Audit nicht standhalten.

Praktisch bedeutet das: Unternehmen müssen ihre TOMs regelmäßig an den aktuellen Stand anpassen. Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und Hinweise der Datenschutzkonferenz (DSK) sind gute Orientierungspunkte für den deutschen Markt. Die DSK hat etwa konkrete Empfehlungen zu Passwortlängen, Verschlüsselungsstandards und Backup-Intervallen veröffentlicht.

Bei der Risikoabwägung zählen Faktoren wie: Art und Sensibilität der verarbeiteten Daten (Gesundheitsdaten erfordern mehr als eine Kundenliste), Umfang der Verarbeitung (1.000 vs. 1.000.000 Datensätze), Eintrittswahrscheinlichkeit von Bedrohungen und die möglichen Folgen eines Datenschutzvorfalls für die Betroffenen. Das Ergebnis dieser Abwägung muss dokumentiert werden – sie ist der Kern eines rechtssicheren TOM-Konzepts.

TOM-Dokumentation: So geht es richtig

  1. Schritt 1: Verarbeitungstätigkeiten erfassen

    Starten Sie mit dem Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Jede Verarbeitungstätigkeit bildet die Grundlage für eine eigene TOM-Bewertung. Ohne VVT ist keine sinnvolle TOM-Dokumentation möglich.

  2. Schritt 2: Risikobewertung durchführen

    Bewerten Sie für jede Verarbeitungstätigkeit die Risiken: Welche Schäden könnten Betroffene erleiden, wenn Daten verloren gehen, gestohlen oder verändert werden? Dokumentieren Sie Eintrittswahrscheinlichkeit und Schadensausmaß in einer einfachen Matrix.

  3. Schritt 3: Maßnahmen definieren und zuordnen

    Ordnen Sie jeder identifizierten Risikoklasse konkrete Maßnahmen zu. Referenzieren Sie dabei die 8 Schutzziele. Halten Sie fest, wer für die Umsetzung verantwortlich ist und bis wann die Maßnahme implementiert sein muss.

  4. Schritt 4: Implementierung nachweisen

    TOMs müssen nicht nur auf dem Papier stehen – die tatsächliche Umsetzung muss nachweisbar sein. Screenshots, Konfigurationsexporte, Zertifikate und Auditberichte sind geeignete Nachweise. Sammeln Sie diese Dokumente systematisch.

  5. Schritt 5: Regelmäßiges Review

    Legen Sie feste Review-Termine fest – mindestens jährlich, bei größeren technischen Änderungen sofort. Dokumentieren Sie das Reviewdatum, den Prüfer und das Ergebnis. Anpassungen an den TOMs müssen nachvollziehbar sein.

Nutzen Sie ISO 27001 oder den BSI IT-Grundschutz als Orientierungsrahmen – auch ohne formelle Zertifizierung. Wer die Maßnahmen dieser Standards dokumentiert umsetzt, hat im Datenschutz-Audit bereits eine sehr gute Ausgangsposition und kann den Stand der Technik überzeugend belegen.

Verhältnis zu ISO 27001 und BSI Grundschutz

ISO 27001 und BSI IT-Grundschutz sind internationale bzw. nationale Standards für Informationssicherheits-Managementsysteme (ISMS). Sie sind nicht identisch mit der DSGVO-TOM-Pflicht, überschneiden sich aber stark. Wer nach ISO 27001 zertifiziert ist, erfüllt in der Regel einen Großteil der TOM-Anforderungen – allerdings nicht automatisch alle datenschutzspezifischen Aspekte.

Für den Mittelstand, der keine formelle Zertifizierung anstrebt, lohnt es sich dennoch, die Maßnahmenkataloge dieser Standards als Checkliste zu nutzen. Der BSI IT-Grundschutz-Kompendium ist kostenlos verfügbar und bietet konkrete, praxisnahe Maßnahmenbeschreibungen für alle gängigen IT-Bereiche. Die ISO 27701 ergänzt ISO 27001 speziell um datenschutzrechtliche Anforderungen und kann als Brücke zwischen ISMS und DSGVO-Compliance dienen.

Typische Schwachstellen im Mittelstand sind: fehlende oder veraltete Netzwerkdokumentation, keine klaren Rollenkonzepte, Backups die nie auf Wiederherstellbarkeit getestet werden, fehlende AVVs mit Cloud-Diensten (Microsoft 365, Google Workspace, Dropbox) sowie Mitarbeiter ohne Datenschutz-Grundschulung. Diese Lücken sind kein Ausdruck bösen Willens – sie entstehen, weil IT-Sicherheit und Datenschutz im Tagesgeschäft oft keine Priorität haben. Ein externer Datenschutzbeauftragter oder eine strukturierte Erstberatung hilft, diese Lücken schnell und kostengünstig zu schließen.

Zusammenfassung
  • TOMs sind keine optionale Maßnahme, sondern Pflicht nach Art. 32 DSGVO – und müssen dokumentiert, umgesetzt und regelmäßig überprüft werden.
  • Der risikobasierte Ansatz erfordert eine individuelle Bewertung: Welche Daten werden verarbeitet, welche Schäden drohen, was ist der Stand der Technik?
  • ISO 27001 und BSI Grundschutz sind wertvolle Orientierungsrahmen – auch ohne Zertifizierung helfen ihre Maßnahmenkataloge beim Aufbau eines rechtssicheren TOM-Konzepts.

Jetzt TOM-Konzept prüfen lassen

Sie sind unsicher, ob Ihre technischen und organisatorischen Maßnahmen den DSGVO-Anforderungen entsprechen? Wir prüfen Ihr bestehendes Schutzkonzept und entwickeln gemeinsam mit Ihnen eine dokumentationssichere TOM-Struktur.

Beratung anfragen

Häufige Fragen

Was sind TOM nach DSGVO kurz erklärt?
TOM (Technische und Organisatorische Maßnahmen) sind alle Schutzmaßnahmen, die ein Unternehmen nach Art. 32 DSGVO ergreifen muss, um personenbezogene Daten zu sichern – von Verschlüsselung und Zugangskontrolle bis zu Mitarbeiterschulungen und Notfallplänen.
Wer muss TOMs nach DSGVO umsetzen?
Alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten – unabhängig von Größe oder Branche. Auch Auftragsverarbeiter (z. B. Cloud-Anbieter, IT-Dienstleister) sind verpflichtet, im Rahmen des AVV geeignete TOMs nachzuweisen.
Wie oft müssen TOMs überprüft werden?
Die DSGVO nennt keine festen Intervalle, jedoch gilt als Mindeststandard eine jährliche Überprüfung. Bei technischen Änderungen, neuen Verarbeitungen oder bekannt gewordenen Sicherheitslücken ist eine sofortige Überprüfung und ggf. Anpassung erforderlich.
Was passiert, wenn TOMs nicht dokumentiert sind?
Fehlende TOM-Dokumentation ist ein eigenständiger DSGVO-Verstoß, der unabhängig von einem tatsächlichen Datenschutzvorfall zu Bußgeldern führen kann. Aufsichtsbehörden können bei Kontrollen die Vorlage der TOM-Dokumentation verlangen – wer sie nicht hat, steht schlechter da.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Auftragsverarbeitung: Welche Verträge Unternehmen mit ihren Dienstleistern brauchen
6 Min. Lesezeit
Datenschutz & Compliance
AVV-Checkliste: Mit welchen Dienstleistern Sie einen Vertrag brauchen
8 Min. Lesezeit
Datenschutz & Compliance
Betroffenenanfrage korrekt beantworten: Fristen und Inhalt
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen