TOMs nach Art. 32 DSGVO – Technische und organisatorische Maßnahmen

Auf einen Blick: Technische und organisatorische Maßnahmen (TOMs) sind nach Art. 32 DSGVO verpflichtend. Sie schützen personenbezogene Daten vor unbefugtem Zugriff, Verlust und Zerstörung. Mit unserer Software dokumentieren und verwalten Sie Ihre TOMs strukturiert und nachweissicher.

Was sind technische und organisatorische Maßnahmen?

Technische und organisatorische Maßnahmen – kurz TOMs – sind alle Schutzmaßnahmen, die ein Unternehmen ergreift, um personenbezogene Daten angemessen zu sichern. Art. 32 DSGVO verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, geeignete TOMs zu implementieren.

Die Maßnahmen müssen dem Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gewährleisten. Dabei sind die Implementierungskosten, die Art und der Umfang der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen.

Schutzziele der TOMs nach Art. 32 DSGVO

Art. 32 Abs. 1 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen treffen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten. Die Norm benennt sechs zentrale Schutzziele, an denen sich Ihre TOMs ausrichten müssen:

  • Vertraulichkeit – Schutz davor, dass Unbefugte personenbezogene Daten einsehen oder verwenden können (z. B. Verschlüsselung, Zugangskontrolle, Rollen- und Berechtigungskonzepte).
  • Integrität – Schutz vor unbemerkter Veränderung der Daten (z. B. Eingabekontrollen, Protokollierung, Hash-Verfahren).
  • Verfügbarkeit – Sicherstellen, dass befugte Personen jederzeit auf die Daten zugreifen können (z. B. Backups, redundante Systeme, USV).
  • Belastbarkeit – Widerstandsfähigkeit der Systeme gegenüber Last- und Bedrohungsspitzen (z. B. Lastverteilung, DDoS-Schutz, Patch-Management).
  • Wiederherstellbarkeit – Schnelle Verfügbarmachung der Daten nach einem Zwischenfall (z. B. dokumentiertes Disaster-Recovery, Restore-Tests).
  • Regelmäßige Überprüfung und Bewertung – Die Wirksamkeit der TOMs muss laufend kontrolliert und an neue Risiken angepasst werden (z. B. Audits, Penetrationstests, jährliches TOM-Review).

Aus diesen sechs Schutzzielen werden in der Praxis die klassischen acht Kontrollbereiche abgeleitet, die im nächsten Abschnitt erläutert werden.

Die 8 Kategorien technischer und organisatorischer Maßnahmen

TOMs werden traditionell in acht Kontrollkategorien unterteilt, die zusammen ein umfassendes Schutzkonzept bilden:

1. Zutrittskontrolle

Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren. Beispiele: Schließsysteme, Chipkarten, Besucherprotokolle, Alarmanlagen, Videoüberwachung des Serverraums.

2. Zugangskontrolle

Verhindern, dass Unbefugte IT-Systeme nutzen können. Beispiele: Passwort-Richtlinien, Zwei-Faktor-Authentifizierung, automatische Bildschirmsperre, Verschlüsselung von Datenträgern.

3. Zugriffskontrolle

Sicherstellen, dass Berechtigte nur auf die Daten zugreifen können, die sie benötigen. Beispiele: Berechtigungskonzepte, rollenbasierte Zugriffe, Protokollierung von Zugriffen.

4. Weitergabekontrolle

Schutz bei elektronischer Übertragung und Transport von Daten. Beispiele: SSL/TLS-Verschlüsselung, VPN-Verbindungen, E-Mail-Verschlüsselung, sichere Dateiübertragung.

5. Eingabekontrolle

Nachvollziehbar machen, wer wann welche Daten eingegeben oder verändert hat. Beispiele: Protokollierung, Audit-Trails, Versionierung von Dokumenten.

6. Auftragskontrolle

Sicherstellen, dass Auftragsverarbeiter Daten nur nach Weisung verarbeiten. Beispiele: AV-Verträge, regelmässige Audits, dokumentierte Weisungen, Kontrolle von Subunternehmern.

7. Verfügbarkeitskontrolle

Schutz vor zufälliger Zerstörung oder Verlust von Daten. Beispiele: Backup-Konzepte, USV-Anlagen, Brandschutz, Notfallpläne, redundante Systeme.

8. Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten. Beispiele: Mandantentrennung, logische Trennung von Datenbanken, getrennte Systeme für Test und Produktion.

TOM-Dokumentation – Was gehört hinein?

Eine vollständige TOM-Dokumentation beschreibt für jede Maßnahme:

Element Beschreibung Beispiel
Maßnahme Konkrete Beschreibung der Schutzmaßnahme Festplattenverschlüsselung mit BitLocker
Kategorie Zuordnung zur Kontrollkategorie Zugangskontrolle
Verantwortlich Zuständige Person oder Abteilung IT-Abteilung / Systemadministrator
Überprüfungszyklus Wann wird die Wirksamkeit geprüft? Jährlich im Rahmen des IT-Audits
Status Aktueller Umsetzungsstand Implementiert seit 01/2024

Typische TOMs für kleine und mittlere Unternehmen

Nicht jedes Unternehmen braucht einen biometrischen Zugang oder ein eigenes Rechenzentrum. Hier sind die wichtigsten TOMs, die jedes KMU umsetzen sollte:

Technische Maßnahmen

Verschlüsselung: Festplattenverschlüsselung auf allen Geräten, SSL/TLS für Websites und E-Mail, verschlüsselte Backups

Zugangsschutz: Starke Passwörter (mind. 12 Zeichen), Zwei-Faktor-Authentifizierung für kritische Systeme, automatische Bildschirmsperre nach 5 Minuten

Netzwerksicherheit: Firewall, aktueller Virenschutz, regelmässige Updates und Patches, getrennte Netzwerke für Gäste

Datensicherung: Tägliche automatische Backups, Aufbewahrung an getrenntem Ort, regelmässige Wiederherstellungstests

Organisatorische Maßnahmen

Schulungen: Regelmässige Datenschutz-Schulungen für alle Mitarbeiter, Sensibilisierung für Phishing und Social Engineering

Richtlinien: Passwort-Richtlinie, Clean-Desk-Policy, Richtlinie zur privaten IT-Nutzung, Homeoffice-Vereinbarung

Verträge: Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern, Vertraulichkeitsvereinbarungen mit Mitarbeitern

Prozesse: Dokumentiertes Löschkonzept, Meldeprozess bei Datenpannen (72-Stunden-Frist), regelmässige Überprüfung der Maßnahmen

TOMs und das Verarbeitungsverzeichnis

Neben dem Verarbeitungsverzeichnis sind TOMs auch verbindlicher Bestandteil jedes Auftragsverarbeitungsvertrags (AVV): Der Verantwortliche muss sich vertraglich zusichern lassen, welche TOMs der Auftragsverarbeiter einsetzt. Die TOM-Anlage zum AVV ist deshalb in der Praxis meist identisch mit der TOM-Dokumentation aus dem eigenen Datenschutz-Management.

TOMs und das Verarbeitungsverzeichnis sind eng miteinander verknüpft. Für jede Verarbeitungstätigkeit im VVT müssen Sie angeben, welche technischen und organisatorischen Maßnahmen zum Schutz der Daten implementiert sind.

Unsere Software verknüpft beides automatisch: Sie definieren Ihre TOMs einmal zentral und ordnen sie dann den einzelnen Verarbeitungstätigkeiten zu. So haben Sie immer einen vollständigen Überblick und vermeiden Redundanzen.

Häufige Fehler bei TOMs

Fehler 1: Zu allgemein formuliert
„Wir haben eine Firewall“ reicht nicht. Dokumentieren Sie konkret: Welches Produkt, welche Konfiguration, wer ist verantwortlich, wann wird geprüft?

Fehler 2: Nicht dem Stand der Technik entsprechend
WEP-Verschlüsselung im WLAN oder Passwörter mit 6 Zeichen sind nicht mehr zeitgemäss. TOMs müssen regelmässig an den Stand der Technik angepasst werden.

Fehler 3: Keine regelmässige Überprüfung
TOMs, die einmal dokumentiert und dann vergessen werden, verlieren ihren Wert. Planen Sie mindestens eine jährliche Überprüfung ein.

Fehler 4: Fehlende Nachweise
Bei einer Prüfung müssen Sie nicht nur Maßnahmen benennen, sondern deren Wirksamkeit nachweisen können. Protokolle, Schulungsnachweise und Audit-Berichte sind essentiell.

TOMs mit unserer Software verwalten

Unsere Datenschutz-Software macht die Verwaltung Ihrer TOMs effizient und nachweissicher:

Vorgefertigte TOMs
Über 80 typische Maßnahmen nach Stand der Technik
Automatische Verknüpfung
TOMs werden direkt mit Verarbeitungstätigkeiten verknüpft
Überprüfungs-Erinnerungen
Automatische Erinnerungen wenn Prüfungen fällig sind
Nachweis-Management
Alle Nachweise zentral gespeichert und exportierbar

TOMs jetzt strukturiert dokumentieren

Testen Sie unsere Software mit vorgefertigten technischen und organisatorischen Maßnahmen.

Kostenlose Demo testen →
  
Alle Editionen vergleichen →

Häufig gestellte Fragen zu TOMs

Was sind technische und organisatorische Maßnahmen (TOMs)?

TOMs sind Schutzmaßnahmen nach Art. 32 DSGVO, die Unternehmen ergreifen müssen, um personenbezogene Daten angemessen zu schützen. Technische Maßnahmen sind z. B. Verschlüsselung, Backups oder Zugangskontrollen; organisatorische Maßnahmen umfassen Richtlinien, Mitarbeiterschulungen und Auftragsverarbeitungs-Verträge.

Welche 8 Kategorien von TOMs gibt es?

Klassisch werden die TOMs in 8 Kategorien eingeteilt: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot. Jede Kategorie erfordert spezifische Maßnahmen, die in Ihrer TOM-Dokumentation konkret beschrieben sein müssen.

Wie dokumentiert man TOMs richtig?

TOMs sollten schriftlich dokumentiert werden mit konkreten Maßnahmen je Kategorie, dem Umsetzungsstatus und dem Verantwortlichen. Die Dokumentation muss regelmäßig überprüft und aktualisiert werden. Eine \’TOMs vorhanden\‘-Checkbox reicht nicht – Aufsichtsbehörden verlangen konkrete Beschreibungen.

Wie hängen TOMs mit dem Verarbeitungsverzeichnis und dem AVV zusammen?

Das Verarbeitungsverzeichnis verlangt nach Art. 30 Abs. 1 DSGVO eine allgemeine Beschreibung der TOMs je Verarbeitungstätigkeit. Im Auftragsverarbeitungsvertrag (AVV) sind die TOMs des Dienstleisters als verbindliche Anlage zu dokumentieren. Beide Dokumente bauen auf den TOMs auf.

Welche TOMs sind für KMU realistisch umsetzbar?

Für kleine Unternehmen sind realistische Mindest-TOMs: starke Passwörter und MFA, regelmäßige Backups (3-2-1-Regel), Festplatten- und Mail-Verschlüsselung, Rollen-basierte Zugriffe, jährliche Datenschutz-Schulungen, dokumentierte Lösch- und Vertretungsregelungen sowie schriftliche AVVs mit allen externen Dienstleistern.

Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?

Technische Maßnahmen sind ITgestützte Schutzmechanismen wie Verschlüsselung, Firewalls, Antivirus oder Zugangskontrollen. Organisatorische Maßnahmen sind prozessuale Regelungen wie Datenschutz-Richtlinien, Schulungen, Vertretungspläne, Audit-Konzepte und Verfahrensdokumentationen. Beides muss zusammenspielen.

Wie oft müssen TOMs überprüft werden?

Es gibt keine feste Frist, aber eine jährliche Routineprüfung gilt als angemessen. Anlassbezogen muss sofort angepasst werden: bei neuer Software oder Hardware, einer Datenpanne, neuen Verarbeitungstätigkeiten, neuen Sub-Auftragsverarbeitern oder geänderter Bedrohungslage.

Was passiert bei unzureichenden TOMs?

Unzureichende TOMs sind ein eigenständiger DSGVO-Verstoß. Nach Art. 83 Abs. 4 DSGVO drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Plus: Bei einer Datenpanne erhöht sich das Risiko deutlich, weil unzureichende TOMs als grobe Fahrlässigkeit gewertet werden.

Weiterführende Themen zum Datenschutz

Verarbeitungsverzeichnis DSGVO →

TOMs müssen im Verarbeitungsverzeichnis für jede Verarbeitungstätigkeit dokumentiert werden.


Datenschutzkonzept →

Technische und organisatorische Maßnahmen sind ein wesentlicher Teil Ihres Datenschutzkonzepts.


DSGVO Bußgeldkatalog →

Fehlende oder unzureichende TOMs können zu hohen Bußgeldern führen.


ISO 27001 Zertifizierung →

Im Rahmen einer ISO 27001 Zertifizierung werden TOMs systematisch nach 93 Kontrollen geprüft.


DSGVO Checkliste →

Unsere DSGVO-Checkliste hilft Ihnen, alle erforderlichen TOMs zu identifizieren.

Von TSMONDO

IT-Security Software & Beratung

NIS2, ISO 27001, DSGVO, BCM — mandanten­fähige SaaS-Tools und professionelle Beratung.

Software ansehen → Beratung anfragen
v1.2.0-20260415-1105

Build-Info

Versionv1.2.0-20260415-1105
Build2026-04-15 11:05:00 Europe/Berlin
Commit6960793