Was sind technische und organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen – kurz TOMs – sind alle Schutzmaßnahmen, die ein Unternehmen ergreift, um personenbezogene Daten angemessen zu sichern. Art. 32 DSGVO verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, geeignete TOMs zu implementieren.
Die Maßnahmen müssen dem Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gewährleisten. Dabei sind die Implementierungskosten, die Art und der Umfang der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos zu berücksichtigen.
Schutzziele der TOMs nach Art. 32 DSGVO
Art. 32 Abs. 1 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen treffen, um ein dem Risiko entsprechendes Schutzniveau zu gewährleisten. Die Norm benennt sechs zentrale Schutzziele, an denen sich Ihre TOMs ausrichten müssen:
- Vertraulichkeit – Schutz davor, dass Unbefugte personenbezogene Daten einsehen oder verwenden können (z. B. Verschlüsselung, Zugangskontrolle, Rollen- und Berechtigungskonzepte).
- Integrität – Schutz vor unbemerkter Veränderung der Daten (z. B. Eingabekontrollen, Protokollierung, Hash-Verfahren).
- Verfügbarkeit – Sicherstellen, dass befugte Personen jederzeit auf die Daten zugreifen können (z. B. Backups, redundante Systeme, USV).
- Belastbarkeit – Widerstandsfähigkeit der Systeme gegenüber Last- und Bedrohungsspitzen (z. B. Lastverteilung, DDoS-Schutz, Patch-Management).
- Wiederherstellbarkeit – Schnelle Verfügbarmachung der Daten nach einem Zwischenfall (z. B. dokumentiertes Disaster-Recovery, Restore-Tests).
- Regelmäßige Überprüfung und Bewertung – Die Wirksamkeit der TOMs muss laufend kontrolliert und an neue Risiken angepasst werden (z. B. Audits, Penetrationstests, jährliches TOM-Review).
Aus diesen sechs Schutzzielen werden in der Praxis die klassischen acht Kontrollbereiche abgeleitet, die im nächsten Abschnitt erläutert werden.
Die 8 Kategorien technischer und organisatorischer Maßnahmen
TOMs werden traditionell in acht Kontrollkategorien unterteilt, die zusammen ein umfassendes Schutzkonzept bilden:
Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren. Beispiele: Schließsysteme, Chipkarten, Besucherprotokolle, Alarmanlagen, Videoüberwachung des Serverraums.
Verhindern, dass Unbefugte IT-Systeme nutzen können. Beispiele: Passwort-Richtlinien, Zwei-Faktor-Authentifizierung, automatische Bildschirmsperre, Verschlüsselung von Datenträgern.
Sicherstellen, dass Berechtigte nur auf die Daten zugreifen können, die sie benötigen. Beispiele: Berechtigungskonzepte, rollenbasierte Zugriffe, Protokollierung von Zugriffen.
Schutz bei elektronischer Übertragung und Transport von Daten. Beispiele: SSL/TLS-Verschlüsselung, VPN-Verbindungen, E-Mail-Verschlüsselung, sichere Dateiübertragung.
Nachvollziehbar machen, wer wann welche Daten eingegeben oder verändert hat. Beispiele: Protokollierung, Audit-Trails, Versionierung von Dokumenten.
Sicherstellen, dass Auftragsverarbeiter Daten nur nach Weisung verarbeiten. Beispiele: AV-Verträge, regelmässige Audits, dokumentierte Weisungen, Kontrolle von Subunternehmern.
Schutz vor zufälliger Zerstörung oder Verlust von Daten. Beispiele: Backup-Konzepte, USV-Anlagen, Brandschutz, Notfallpläne, redundante Systeme.
Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeiten. Beispiele: Mandantentrennung, logische Trennung von Datenbanken, getrennte Systeme für Test und Produktion.
TOM-Dokumentation – Was gehört hinein?
Eine vollständige TOM-Dokumentation beschreibt für jede Maßnahme:
| Element | Beschreibung | Beispiel |
|---|---|---|
| Maßnahme | Konkrete Beschreibung der Schutzmaßnahme | Festplattenverschlüsselung mit BitLocker |
| Kategorie | Zuordnung zur Kontrollkategorie | Zugangskontrolle |
| Verantwortlich | Zuständige Person oder Abteilung | IT-Abteilung / Systemadministrator |
| Überprüfungszyklus | Wann wird die Wirksamkeit geprüft? | Jährlich im Rahmen des IT-Audits |
| Status | Aktueller Umsetzungsstand | Implementiert seit 01/2024 |
Typische TOMs für kleine und mittlere Unternehmen
Nicht jedes Unternehmen braucht einen biometrischen Zugang oder ein eigenes Rechenzentrum. Hier sind die wichtigsten TOMs, die jedes KMU umsetzen sollte:
Technische Maßnahmen
Verschlüsselung: Festplattenverschlüsselung auf allen Geräten, SSL/TLS für Websites und E-Mail, verschlüsselte Backups
Zugangsschutz: Starke Passwörter (mind. 12 Zeichen), Zwei-Faktor-Authentifizierung für kritische Systeme, automatische Bildschirmsperre nach 5 Minuten
Netzwerksicherheit: Firewall, aktueller Virenschutz, regelmässige Updates und Patches, getrennte Netzwerke für Gäste
Datensicherung: Tägliche automatische Backups, Aufbewahrung an getrenntem Ort, regelmässige Wiederherstellungstests
Organisatorische Maßnahmen
Schulungen: Regelmässige Datenschutz-Schulungen für alle Mitarbeiter, Sensibilisierung für Phishing und Social Engineering
Richtlinien: Passwort-Richtlinie, Clean-Desk-Policy, Richtlinie zur privaten IT-Nutzung, Homeoffice-Vereinbarung
Verträge: Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern, Vertraulichkeitsvereinbarungen mit Mitarbeitern
Prozesse: Dokumentiertes Löschkonzept, Meldeprozess bei Datenpannen (72-Stunden-Frist), regelmässige Überprüfung der Maßnahmen
TOMs und das Verarbeitungsverzeichnis
Neben dem Verarbeitungsverzeichnis sind TOMs auch verbindlicher Bestandteil jedes Auftragsverarbeitungsvertrags (AVV): Der Verantwortliche muss sich vertraglich zusichern lassen, welche TOMs der Auftragsverarbeiter einsetzt. Die TOM-Anlage zum AVV ist deshalb in der Praxis meist identisch mit der TOM-Dokumentation aus dem eigenen Datenschutz-Management.
TOMs und das Verarbeitungsverzeichnis sind eng miteinander verknüpft. Für jede Verarbeitungstätigkeit im VVT müssen Sie angeben, welche technischen und organisatorischen Maßnahmen zum Schutz der Daten implementiert sind.
Unsere Software verknüpft beides automatisch: Sie definieren Ihre TOMs einmal zentral und ordnen sie dann den einzelnen Verarbeitungstätigkeiten zu. So haben Sie immer einen vollständigen Überblick und vermeiden Redundanzen.
Häufige Fehler bei TOMs
Fehler 1: Zu allgemein formuliert
„Wir haben eine Firewall“ reicht nicht. Dokumentieren Sie konkret: Welches Produkt, welche Konfiguration, wer ist verantwortlich, wann wird geprüft?
Fehler 2: Nicht dem Stand der Technik entsprechend
WEP-Verschlüsselung im WLAN oder Passwörter mit 6 Zeichen sind nicht mehr zeitgemäss. TOMs müssen regelmässig an den Stand der Technik angepasst werden.
Fehler 3: Keine regelmässige Überprüfung
TOMs, die einmal dokumentiert und dann vergessen werden, verlieren ihren Wert. Planen Sie mindestens eine jährliche Überprüfung ein.
Fehler 4: Fehlende Nachweise
Bei einer Prüfung müssen Sie nicht nur Maßnahmen benennen, sondern deren Wirksamkeit nachweisen können. Protokolle, Schulungsnachweise und Audit-Berichte sind essentiell.
TOMs mit unserer Software verwalten
Unsere Datenschutz-Software macht die Verwaltung Ihrer TOMs effizient und nachweissicher:
Über 80 typische Maßnahmen nach Stand der Technik
TOMs werden direkt mit Verarbeitungstätigkeiten verknüpft
Automatische Erinnerungen wenn Prüfungen fällig sind
Alle Nachweise zentral gespeichert und exportierbar
TOMs jetzt strukturiert dokumentieren
Testen Sie unsere Software mit vorgefertigten technischen und organisatorischen Maßnahmen.
Häufig gestellte Fragen zu TOMs
Was sind technische und organisatorische Maßnahmen (TOMs)?
TOMs sind Schutzmaßnahmen nach Art. 32 DSGVO, die Unternehmen ergreifen müssen, um personenbezogene Daten angemessen zu schützen. Technische Maßnahmen sind z. B. Verschlüsselung, Backups oder Zugangskontrollen; organisatorische Maßnahmen umfassen Richtlinien, Mitarbeiterschulungen und Auftragsverarbeitungs-Verträge.
Welche 8 Kategorien von TOMs gibt es?
Klassisch werden die TOMs in 8 Kategorien eingeteilt: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot. Jede Kategorie erfordert spezifische Maßnahmen, die in Ihrer TOM-Dokumentation konkret beschrieben sein müssen.
Wie dokumentiert man TOMs richtig?
TOMs sollten schriftlich dokumentiert werden mit konkreten Maßnahmen je Kategorie, dem Umsetzungsstatus und dem Verantwortlichen. Die Dokumentation muss regelmäßig überprüft und aktualisiert werden. Eine \’TOMs vorhanden\‘-Checkbox reicht nicht – Aufsichtsbehörden verlangen konkrete Beschreibungen.
Wie hängen TOMs mit dem Verarbeitungsverzeichnis und dem AVV zusammen?
Das Verarbeitungsverzeichnis verlangt nach Art. 30 Abs. 1 DSGVO eine allgemeine Beschreibung der TOMs je Verarbeitungstätigkeit. Im Auftragsverarbeitungsvertrag (AVV) sind die TOMs des Dienstleisters als verbindliche Anlage zu dokumentieren. Beide Dokumente bauen auf den TOMs auf.
Welche TOMs sind für KMU realistisch umsetzbar?
Für kleine Unternehmen sind realistische Mindest-TOMs: starke Passwörter und MFA, regelmäßige Backups (3-2-1-Regel), Festplatten- und Mail-Verschlüsselung, Rollen-basierte Zugriffe, jährliche Datenschutz-Schulungen, dokumentierte Lösch- und Vertretungsregelungen sowie schriftliche AVVs mit allen externen Dienstleistern.
Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?
Technische Maßnahmen sind ITgestützte Schutzmechanismen wie Verschlüsselung, Firewalls, Antivirus oder Zugangskontrollen. Organisatorische Maßnahmen sind prozessuale Regelungen wie Datenschutz-Richtlinien, Schulungen, Vertretungspläne, Audit-Konzepte und Verfahrensdokumentationen. Beides muss zusammenspielen.
Wie oft müssen TOMs überprüft werden?
Es gibt keine feste Frist, aber eine jährliche Routineprüfung gilt als angemessen. Anlassbezogen muss sofort angepasst werden: bei neuer Software oder Hardware, einer Datenpanne, neuen Verarbeitungstätigkeiten, neuen Sub-Auftragsverarbeitern oder geänderter Bedrohungslage.
Was passiert bei unzureichenden TOMs?
Unzureichende TOMs sind ein eigenständiger DSGVO-Verstoß. Nach Art. 83 Abs. 4 DSGVO drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Plus: Bei einer Datenpanne erhöht sich das Risiko deutlich, weil unzureichende TOMs als grobe Fahrlässigkeit gewertet werden.
Weiterführende Themen zum Datenschutz
TOMs müssen im Verarbeitungsverzeichnis für jede Verarbeitungstätigkeit dokumentiert werden.
Datenschutzkonzept →
Technische und organisatorische Maßnahmen sind ein wesentlicher Teil Ihres Datenschutzkonzepts.
DSGVO Bußgeldkatalog →
Fehlende oder unzureichende TOMs können zu hohen Bußgeldern führen.
ISO 27001 Zertifizierung →
Im Rahmen einer ISO 27001 Zertifizierung werden TOMs systematisch nach 93 Kontrollen geprüft.
DSGVO Checkliste →
Unsere DSGVO-Checkliste hilft Ihnen, alle erforderlichen TOMs zu identifizieren.