Inhaltsverzeichnis
Das Wichtigste in Kürze
Pflichtprogramm: Technische und organisatorische Maßnahmen (TOMs) sind nach Art. 32 DSGVO für alle Verantwortlichen und Auftragsverarbeiter zwingend erforderlich.
Risikobasierter Ansatz: Das Schutzniveau muss dem Risiko angemessen sein, wobei Stand der Technik, Implementierungskosten und Verarbeitungsrisiken zu berücksichtigen sind.
Vier Schutzziele: Im Fokus stehen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
Nachweispflicht: Eine lückenlose Dokumentation der TOMs ist obligatorisch für Behördenanfragen.
Kontinuierlicher Prozess: Statische Dokumentationen genügen nicht; TOMs erfordern regelmäßige Überprüfung und Aktualisierung.
Was sind TOM Maßnahmen nach der DSGVO?
Die Abkürzung TOM steht für technische und organisatorische Maßnahmen. Der Begriff bezeichnet die Gesamtheit aller Vorkehrungen, die ein Unternehmen treffen muss, um den Schutz personenbezogener Daten bei deren Verarbeitung sicherzustellen.
Die rechtliche Grundlage findet sich in Artikel 32 DSGVO (Sicherheit der Verarbeitung). Dort heißt es:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.”
TOMs sind damit kein optionaler Bestandteil des Datenschutzes, sondern eine verbindliche Pflicht. Sie betreffen jedes Unternehmen, das personenbezogene Daten verarbeitet – vom Einzelunternehmer bis zum Konzern, vom Auftragsverarbeiter bis zum Verantwortlichen.
Die vier Schutzziele der TOM Maßnahmen
Artikel 32 Abs. 1 DSGVO nennt vier zentrale Schutzziele, an denen sich die TOM Maßnahmen DSGVO orientieren müssen. Zur besseren Übersicht sind diese nachfolgend dargestellt:
| Schutzziel | Bedeutung & Anforderung |
|---|---|
| 1. Vertraulichkeit | Sicherstellung, dass personenbezogene Daten nur von autorisierten Personen eingesehen, verarbeitet oder weitergegeben werden können. Unbefugte dürfen keinen Zugriff erlangen. |
| 2. Integrität | Gewährleistung, dass personenbezogene Daten korrekt und unverändert bleiben. Unautorisierte oder unbeabsichtigte Modifikationen müssen verhindert oder erkannt werden. |
| 3. Verfügbarkeit | Personenbezogene Daten und die Systeme zu ihrer Verarbeitung müssen bei Bedarf zugänglich sein. Systemausfälle und Datenverluste sind zu minimieren. |
| 4. Belastbarkeit (Resilienz) | Die Systeme müssen auch unter außergewöhnlichen Belastungen (Cyberangriffe, Naturkatastrophen) funktionsfähig bleiben oder rasch wiederhergestellt werden können. |
Ergänzend fordert Art. 32 Abs. 1 lit. d DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Maßnahmen.
Technische und organisatorische Maßnahmen Beispiele: Der Praxisleitfaden
Die folgende Übersicht strukturiert konkrete Beispiele für TOMs nach den klassischen Datenschutz-Kontrollkategorien. Anstatt langer Listen finden Sie hier kompakte Gegenüberstellungen der technischen und organisatorischen Aspekte.
| Kontrollkategorie | Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|---|
| ZutrittskontrollePhysischer Schutz der Datenverarbeitung vor unbefugtem Zugang. | Elektronische Zutrittskontrollsysteme (Badge, Chipkarten), biometrische Zugangssicherung für Serverräume, Videoüberwachung sensibler Bereiche, automatische Türschließer sowie Alarm- und Einbruchmeldesysteme. | Besucherrichtlinien mit Anmeldepflicht, dokumentierte Schlüsselverwaltung, regelmäßige Überprüfung von Zutrittsberechtigungen, Umsetzung eines Zonenkonzepts und die Protokollierung von Zutrittsversuchen. |
| Zugangskontrolle Schutz vor unbefugter Systemnutzung. |
Einsatz von Multi-Faktor-Authentifizierung (MFA), starke Passwortrichtlinien, automatische Bildschirmsperren, Festplattenverschlüsselung, VPN-Pflicht für Remote-Arbeit und automatische Kontosperrungen. | Festgelegte Verfahren zur Benutzerverwaltung (Anlage, Änderung, Löschung), Clean-Desk-Policy, Richtlinien für mobile Geräte (BYOD) und regelmäßige Rezertifizierung der Benutzerkonten. |
| Zugriffskontrolle Berechtigungsmanagement nach dem Need-to-know-Prinzip. |
Rollenbasierte Berechtigungskonzepte (RBAC), granulare Zugriffssteuerung auf Dateiebene, Data Loss Prevention (DLP) Systeme und die Protokollierung aller Datenzugriffe (Audit Trails). | Anwendung des Prinzips der minimalen Rechtevergabe (Least Privilege), regelmäßige Berechtigungsreviews, dokumentierte Antrags- und Genehmigungsprozesse sowie sofortige Entzüge bei Rollenwechseln. |
| Weitergabekontrolle Schutz bei der Datenübertragung und -speicherung. |
TLS/SSL- und Ende-zu-Ende-Verschlüsselung, VPN-Tunnel für Transfers, sichere Protokolle (SFTP), verschlüsselte E-Mail-Anhänge und die Deaktivierung von USB-Ports. | Richtlinien für den Datenversand, Verbot privater E-Mail-Accounts für dienstliche Zwecke, Protokollierung von Exporten und die zertifizierte Entsorgung von Datenträgern. |
| Eingabekontrolle Nachvollziehbarkeit der Datenverarbeitung. |
Umfassende Audit-Logs, Versionierung von Datensätzen, manipulationssichere WORM-Speicher für Log-Dateien und automatische Zeitstempel bei jeder Änderung. | Festgelegte Verantwortlichkeiten für die Dateneingabe, Anwendung des Vier-Augen-Prinzips bei kritischen Änderungen und definierte Aufbewahrungsfristen für Log-Daten. |
| Auftragskontrolle Absicherung der Auftragsverarbeitung. |
Technische Durchsetzung von Zugriffsrichtlinien bei Dienstleistern, Monitoring-Tools und die strikte Verschlüsselung von Daten vor der Übermittlung an Verarbeiter. | Abschluss von Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DSGVO, Due-Diligence-Prüfungen vorab, regelmäßige Audits und vertraglich geregelte Löschpflichten. |
| Verfügbarkeitskontrolle Schutz vor Datenverlust. |
Automatisierte Backups nach der 3-2-1-Regel, USV und Notstromaggregate, redundante Systemarchitekturen (Clustering, RAID), DDoS-Schutz und Brandschutzsysteme. | Dokumentierte Backup-Konzepte, regelmäßige Restore-Tests, Business-Continuity-Management (BCM), Disaster-Recovery-Pläne und regelmäßige Notfallübungen. |
| Trennungsgebot Zweckgebundene Verarbeitung. |
Logische Mandantentrennung, physische Trennung von Produktiv- und Testsystemen, Sandboxing, Netzwerksegmentierung sowie Pseudonymisierung von Testdaten. | Dokumentiertes Konzept zur Datentrennung, klare Festlegung von Verarbeitungszwecken im VVT und gezielte Mitarbeiterschulungen zum Trennungsgebot. |
Tipp: Das Vendor Risk Management von TrustSpace ermöglicht eine systematische Auswahl, Bewertung und laufende Überwachung von Auftragsverarbeitern – inklusive automatisiertem AVV-Management und Audit-Dokumentation.
TOM Maßnahmen dokumentieren: Anforderungen und Best Practices
Die Dokumentation der TOMs ist eine Pflicht aus Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht). Sie wird zwingend in diversen Situationen benötigt: Bei Behördenanfragen, als Anlage zu Auftragsverarbeitungsverträgen, für Datenschutz-Folgenabschätzungen, als Nachweis gegenüber Partnern, im Falle einer Datenpanne sowie bei Zertifizierungsverfahren (z.B. ISO 27001).
Strukturierte inhaltliche Anforderungen
Eine vollständige Dokumentation sollte tabellarisch oder systematisch folgende Punkte abdecken:
Erforderliche Metadaten pro Maßnahme: Konkrete Beschreibung der Maßnahme | Zuordnung zum Schutzziel | Zuordnung zur Kontrollkategorie | Verantwortliche Person/Abteilung | Umsetzungsstatus & Implementierungsdatum | Datum der letzten und nächsten Überprüfung | Ergebnis der Wirksamkeitsprüfung.
Häufige Dokumentationsfehler (und wie man sie vermeidet)
- Zu generische Beschreibungen
- Aussagen wie „Es bestehen Sicherheitsmaßnahmen” reichen nicht. Benennen Sie präzise, welche Software oder welcher Prozess genutzt wird.
- Veraltete Dokumentation
- Maßnahmen, die seit Jahren nicht angefasst wurden, führen fast immer zu Prüfungsbefunden. Ein laufendes Review-Verfahren ist Pflicht.
- Fehlende Wirksamkeitsprüfung
- Maßnahmen nur zu beschreiben genügt nicht; sie müssen aktiv und nachweisbar getestet werden (z.B. durch Penetrationstests oder Restore-Übungen).
- Keine Risikoorientierung
- Die Maßnahmen müssen zum Risiko passen. Ein Newsletter-Versand erfordert andere TOMs als die Verarbeitung hochsensibler Gesundheitsdaten.
Eine Plattformlösung wie TrustSpace ermöglicht die zentrale, strukturierte Dokumentation aller TOMs mit automatischen Erinnerungen für Reviews, Versionierung und direkter Verknüpfung mit dem Verzeichnis der Verarbeitungstätigkeiten.
TOM-Checkliste für Unternehmen
Nutzen Sie die folgende Check-Tabelle zur Evaluierung und Optimierung Ihrer Maßnahmen:
| Status | Prüfbereich | Konkrete Fragestellung |
|---|---|---|
| ☐ | Grundlagen | Sind alle Verarbeitungstätigkeiten identifiziert, im VVT erfasst und einer Risikobewertung unterzogen worden? |
| ☐ | Grundlagen | Ist ein Datenschutzbeauftragter benannt (sofern gesetzlich vorgeschrieben)? |
| ☐ | IT & Technik | Ist Multi-Faktor-Authentifizierung (MFA) für relevante Systeme aktiviert und existiert ein getestetes Backup-Konzept? |
| ☐ | IT & Technik | Werden Verschlüsselungen, Patch-Management, Netzwerksegmentierung und Endpoint-Schutz konsequent angewendet? |
| ☐ | Organisation | Finden regelmäßige, dokumentierte Mitarbeiterschulungen zum Datenschutz statt? |
| ☐ | Organisation | Sind AV-Verträge geschlossen, Löschkonzepte definiert und Prozesse für Datenschutzvorfälle etabliert? |
| ☐ | Evaluation | Werden die TOMs mindestens jährlich auf ihre Wirksamkeit überprüft und bei Prozessänderungen sofort angepasst? |
TOMs im Zusammenspiel mit ISO 27001 und anderen Standards
Die DSGVO-Maßnahmen agieren nicht im luftleeren Raum. Sie überschneiden sich stark mit etablierten Sicherheitsframeworks:
- ISO 27001
- Der internationale Standard für Informationssicherheits-Managementsysteme (ISMS) definiert in Anhang A Maßnahmen (Controls), die große Überlappungen mit den TOMs aufweisen. Ein ISMS ist die ideale Basis für DSGVO-Compliance.
- BSI IT-Grundschutz
- Das Kompendium des Bundesamts für Sicherheit in der Informationstechnik bietet äußerst detaillierte Maßnahmenkataloge, die als Blaupause für die technische Umsetzung dienen.
- SOC 2 & NIS-2-Richtlinie
- Während SOC 2 ähnliche Trust Service Criteria adressiert, erweitert NIS-2 die Anforderungen an das Risikomanagement für Cybersicherheit kritischer Infrastrukturen und Lieferketten.
Unternehmen, die ihre TOMs im Rahmen eines integrierten Managementsystems umsetzen, profitieren von Synergien. TrustSpace ermöglicht diesen Ansatz: Die Plattform verknüpft DSGVO-TOMs direkt mit ISO 27001 Controls und NIS-2-Anforderungen – ohne doppelte Dokumentation.
Häufige Fehler bei der TOM-Umsetzung
1. One-Size-Fits-All-Ansatz
Eine Einheitsliste für alle Verarbeitungen ignoriert das gesetzlich geforderte konkrete Risiko. Die Maßnahmen müssen stets verhältnismäßig und individuell angepasst sein.
2. Reine Techniklastigkeit
Die beste Firewall nützt nichts, wenn Mitarbeiter auf Phishing hereinfallen. Mitarbeitersensibilisierung und klare Prozesse sind ebenso wichtig wie Hard- und Software.
3. Fehlende Kontinuität
Art. 32 DSGVO fordert ein Verfahren zur regelmäßigen Überprüfung. Wer TOMs einmalig definiert und ablegt, verfehlt die rechtlichen Anforderungen.
4. Blindflug bei Dienstleistern
Sich nur auf vertragliche Zusagen im AVV zu verlassen, ist riskant. Auch die TOMs der Dienstleister müssen aktiv eingefordert und auditiert werden.
Bußgelder und Konsequenzen bei unzureichenden TOMs
Fehlende oder unzureichende Maßnahmen sind kein Kavaliersdelikt. Die Aufsichtsbehörden prüfen bei Datenpannen als Erstes die implementierten TOMs. Folgende Konsequenzen drohen:
| Hohe Bußgelder | Nach Art. 83 Abs. 4 DSGVO drohen Sanktionen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes für Verstöße gegen Art. 32. |
| Schadensersatz | Betroffene Personen können materiellen und immateriellen Schadensersatz (Art. 82 DSGVO) einklagen. |
| Behördliche Anordnungen | Behörden können die sofortige Einstellung von Verarbeitungstätigkeiten anordnen, bis die IT-Sicherheit nachgebessert wurde. |
| Reputationsschaden | Datenlecks zerstören das Vertrauen von Kunden und Geschäftspartnern meist langfristig und ziehen negative Presse nach sich. |
Fazit: TOM Maßnahmen als Fundament des Datenschutzes
Technische und organisatorische Maßnahmen sind keine Nebensache des Datenschutzes – sie sind sein operatives Fundament. Ohne angemessene TOMs bleibt jedes Datenschutzkonzept ein Papiertiger.
Entscheidend ist ein risikobasierter, systematischer Ansatz: Identifizieren Sie Ihre Verarbeitungstätigkeiten, bewerten Sie die Risiken, implementieren Sie angemessene Maßnahmen und überprüfen Sie deren Wirksamkeit regelmäßig. Die Dokumentation muss stets aktuell, vollständig und nachweisbar sein.
Unternehmen, die ihre TOMs in ein integriertes Managementsystem einbetten – etwa in Verbindung mit einer ISO 27001 Zertifizierung – profitieren von Synergien, vermeiden Redundanzen und schaffen eine solide Basis für langfristige Compliance. Plattformlösungen wie TrustSpace machen diesen integrierten Ansatz effizient umsetzbar.
Autor
