Top Themen im Datenschutz:
TOM sind keine Option, sondern Pflicht – und Bestandteil jeder professionellen Datenschutzberatung.
Technisch organisatorische Maßnahmen (TOM) umfassen alle Schutzmaßnahmen, die personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation bewahren. Sie bestehen aus zwei Säulen:
Technische Maßnahmen betreffen physische und digitale Schutzsysteme: Verschlüsselung, Firewalls, Zugangskontrollen, Backup-Systeme, Virenschutz und Gebäudesicherung.
Organisatorische Maßnahmen regeln Abläufe und Verantwortlichkeiten: Datenschutzrichtlinien, Datenschutz-Grundschulungen, Berechtigungskonzepte, Notfallpläne und Verfahrensanweisungen.
Beide Säulen greifen ineinander. Die beste Backup-Struktur hilft nicht, wenn Sicherungen nur monatlich laufen. Eine hochsichere Firewall schützt nicht, wenn das Passwort firmenweit bekannt ist. Erst die Kombination aus technischen Systemen und organisatorischen Regeln schafft ein belastbares Schutzniveau.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenArt. 32 DSGVO definiert in Abs. 1b vier Schutzziele. Jede technisch organisatorische Maßnahme muss mindestens eines davon erfüllen:
Vertraulichkeit: Unbefugte erhalten keinen Zugriff auf personenbezogene Daten. Zugangskontrollen, Verschlüsselung und Berechtigungskonzepte setzen dieses Ziel um.
Integrität: Daten bleiben korrekt und vollständig. Eingabekontrollen, Vier-Augen-Prinzip und Protokollierung verhindern unbemerkte Veränderungen.
Verfügbarkeit: Systeme laufen stabil und Daten sind bei Bedarf abrufbar. Backups, unterbrechungsfreie Stromversorgung und redundante Systeme sichern dieses Ziel.
Belastbarkeit: Systeme halten ungewöhnlich hoher Last stand. Skalierende Infrastruktur und DDoS-Schutzsysteme wehren Überlastungsangriffe ab.
Der Katalog aus § 64 Abs. 3 BDSG dient als Orientierungshilfe. Er definiert acht Kontrollarten, die zusammen ein umfassendes Schutzkonzept bilden:
Kontrollart | Ziel | Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|---|---|
Zutrittskontrolle | Unbefugten den physischen Zugang verwehren | Alarmanlagen, Chipkarten, Sicherheitsschlösser, biometrische Zugangssperren | Besucheranmeldung, Besucherprotokolle, Ausweispflicht |
Zugangskontrolle | Unbefugte an der Systemnutzung hindern | VPN, Verschlüsselung mobiler Geräte, Firewall, Anti-Viren-Software | Passwortrichtlinien, Schlüsselregelungen, Benutzerprofilverwaltung |
Zugriffskontrolle | Nur berechtigte Nutzer auf Daten zugreifen lassen | Zugriffsprotokollierung, verschlüsselte Datenträger, datenschutzkonforme Datenvernichtung | Berechtigungskonzepte, Minimierung der Admin-Zugänge |
Weitergabekontrolle | Daten bei Übertragung und Transport schützen | VPN-Technologie, E-Mail-Verschlüsselung, gesicherte Transportbehälter | Übermittlungsprotokolle, Dokumentation der Datenempfänger |
Eingabekontrolle | Nachvollziehbarkeit von Datenänderungen gewährleisten | Protokollierung aller Änderungen, digitales Berechtigungskonzept | Individuelle Benutzernamen, differenzierte Zugriffsberechtigungen |
Auftragskontrolle | Weisungsgemäße Verarbeitung durch Auftragsverarbeiter sicherstellen | – | Sorgfältige Auftragnehmerauswahl, schriftliche Weisungen, Kontrollrechte |
Verfügbarkeit & Wiederherstellbarkeit | Daten gegen Verlust schützen und nach Störungen wiederherstellen | Backups, USV, Klimatisierung, Feuer-/Rauchmelder | Backup-Zyklen, Wiederherstellungstests, Notfallpläne |
Trennungskontrolle | Daten verschiedener Zwecke getrennt verarbeiten | Verschlüsselung zweckgebundener Datensätze, physische Trennung | Mandantentrennung, zweckspezifische Datenbankrechte |
Die DSGVO gibt bewusst keine starren Maßnahmenlisten vor. Sie verfolgt einen risikobasierten Ansatz: Art, Umfang und Zweck der Datenverarbeitung bestimmen, welche Maßnahmen angemessen sind.
Die Landesbeauftragte für den Datenschutz Niedersachsen empfiehlt acht Schritte:
Eine detaillierte Praxishilfe bietet die Checkliste der Bayerischen Datenschutzbehörde zur systematischen TOM-Prüfung.
Art. 32 DSGVO nennt die Implementierungskosten explizit als Bewertungsfaktor. Nicht jede denkbare Maßnahme ist erforderlich – entscheidend ist das Verhältnis zwischen Schutzbedarf und Aufwand.
Drei Faktoren bestimmen die Angemessenheit:
Bei Auftragsverarbeitung nach Art. 28 DSGVO spielen technisch organisatorische Maßnahmen eine besondere Rolle. Als Verantwortlicher haften Sie auch dann, wenn ein Dienstleister die Daten verarbeitet.
Ihre Pflichten als Auftraggeber:
Der Auftragsverarbeitungsvertrag (AVV) muss die konkreten TOM des Dienstleisters enthalten. Allgemeine Verweise auf „geeignete Maßnahmen“ reichen nicht aus – listen Sie die spezifischen technischen und organisatorischen Maßnahmen auf.
Viele Datenschutzverletzungen entstehen in der Lieferkette. Unternehmen, die ihre Auftragsverarbeiter nicht regelmäßig prüfen, haften im Ernstfall mit.
Art. 25 DSGVO verlangt zwei Grundprinzipien, die eng mit technisch organisatorischen Maßnahmen zusammenhängen:
Privacy by Design (Datenschutz durch Technikgestaltung): Systeme werden von Anfang an datenschutzfreundlich entwickelt. Beispiele sind Datenbanken mit automatischer Pseudonymisierung, Löschfunktionen nach Fristablauf oder minimale Datenerhebung im Quellcode.
Privacy by Default (datenschutzfreundliche Voreinstellungen): Systeme bieten im Auslieferungszustand den maximalen Datenschutz. Profile sind standardmäßig privat, Tracking ist deaktiviert, nur zwingend erforderliche Datenfelder sind Pflichtfelder.
TOM setzen beide Prinzipien praktisch um. Wer technisch organisatorische Maßnahmen systematisch implementiert, erfüllt automatisch auch die Anforderungen aus Art. 25 DSGVO.
Die ISO 27001 ist der internationale Standard für Informationssicherheitsmanagementsysteme (ISMS). Viele Maßnahmen decken sich mit den TOM-Anforderungen der DSGVO – besonders bei Zugangskontrollen, Verschlüsselung und Notfallmanagement.
Unternehmen mit bestehendem ISMS haben einen Vorsprung: Sie können vorhandene Maßnahmen als TOM dokumentieren und Lücken gezielt schließen. Die ISO 27001 ersetzt jedoch nicht die vollständige DSGVO-Compliance – Betroffenenrechte, Rechtsgrundlagen und die Datenschutz-Folgenabschätzung deckt sie nicht ab.
Wer TOM ohnehin systematisch aufbauen muss, profitiert davon, beide Anforderungen gemeinsam zu adressieren.
Prüfen Sie mit einer kompakten Checkliste, ob Ihre technischen und organisatorischen Maßnahmen DSGVO-konform sind – inkl. aller 8 Kontrollarten nach §64 BDSG, kostenlos als Download.
Die DSGVO verlangt, dass Unternehmen ihre technisch organisatorischen Maßnahmen lückenlos dokumentieren. Bei einer Datenschutzverletzung oder Prüfung durch die Aufsichtsbehörde müssen Sie nachweisen, welche Maßnahmen Sie ergriffen haben und dass diese angemessen waren.
Die Dokumentation muss enthalten:
Ein Datenschutzmanagementsystem (DSMS) erleichtert die Verwaltung erheblich. Es bündelt alle Dokumente, erinnert an Prüffristen und stellt sicher, dass Ihre TOM stets den aktuellen Stand abbilden.
Fehlende oder unzureichende technisch organisatorische Maßnahmen ziehen empfindliche Strafen nach sich:
Besonders kritisch: Sind bei einer Datenpanne die Aufzeichnungen nicht aktuell, unvollständig oder gar nicht vorhanden, stufen Aufsichtsbehörden dies als schwerwiegenden Verstoß ein.
Die Praxis zeigt: Behörden prüfen nicht nur, ob TOM existieren, sondern ob sie gelebt werden. Regelmäßige Audits, aktuelle Dokumentation und nachweisbare Schulungen machen den Unterschied. Eine Übersicht aktueller Fälle finden Sie unter DSGVO-Bußgelder.
Der Datenschutzbeauftragte (DSB) ist die zentrale Figur für Umsetzung und Überwachung technisch organisatorischer Maßnahmen:
Beratung: Der DSB berät Geschäftsführung und Fachabteilungen bei der Auswahl geeigneter Maßnahmen. Er kennt die gesetzlichen Anforderungen und den Stand der Technik.
Überwachung: Der DSB prüft regelmäßig, ob die implementierten TOM eingehalten werden. Er identifiziert Schwachstellen und empfiehlt Anpassungen.
Schulung: Der DSB sensibilisiert Mitarbeiter durch Datenschutzschulungen und Workshops für den datenschutzkonformen Umgang mit personenbezogenen Daten.
Ein externer Datenschutzbeauftragter bringt zusätzlich Branchenerfahrung aus unterschiedlichen Unternehmen mit. Er kennt typische Schwachstellen, bewährte Lösungsansätze und aktuelle Bedrohungslagen – und gestaltet TOM so praxisnah und effizient.
Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen strukturiert und prüfungssicher – mit klarer Kategorisierung, automatisierten Reports und vollständiger Nachweisführung.
Technisch organisatorische Maßnahmen schützen nicht nur vor Bußgeldern. Sie stärken die Reputation Ihres Unternehmens – besonders bei Datenpannen weisen Sie nach, dass Sie alles Zumutbare unternommen haben. Weitere Vorteile: Schutz von Geschäftsgeheimnissen, Effizienzpotenziale bei Geschäftsprozessen, verbesserte IT-Belastbarkeit und stärkere Datenintegrität.
Die DSGVO gibt keine feste Maßnahmenliste vor. Art. 32 verlangt ein angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten und des Risikos. Art. 25 DSGVO ergänzt: Durch Voreinstellung dürfen nur erforderliche personenbezogene Daten verarbeitet werden (Datensparsamkeit).
Der Verantwortliche und der Auftragsverarbeiter legen die TOM fest. Sie müssen sicherstellen, dass alle Personen mit Datenzugang Daten nur auf Anweisung und in vorgesehener Weise verarbeiten. Die TOM gehören in das Verzeichnis von Verarbeitungstätigkeiten.
Sobald Sie personenbezogene Daten verarbeiten – also ab dem ersten Kundenkontakt, der ersten Mitarbeiterdatenerfassung oder dem ersten Website-Tracking. Die Unternehmensgröße spielt keine Rolle: Vom Freelancer bis zum Konzern gilt die TOM-Pflicht.
Die DSGVO schreibt keine feste Frequenz vor. Empfohlen wird eine jährliche Regelprüfung, eine sofortige Prüfung bei Sicherheitsvorfällen, eine Prüfung bei wesentlichen Systemänderungen und eine Prüfung bei neuen Bedrohungslagen.
Die Kosten hängen von Unternehmensgröße und Risikoprofil ab. KMU rechnen mit 2.000 bis 10.000 Euro pro Jahr, Mittelständler mit 10.000 bis 50.000 Euro, Konzerne mit 50.000 Euro aufwärts. Ein einzelnes Bußgeld übersteigt diese Investition um ein Vielfaches.
Die ISO 27001 deckt viele TOM-Anforderungen der DSGVO ab, geht aber über den reinen Datenschutz hinaus. Unternehmen mit einer ISO-27001-Zertifizierung erfüllen bereits einen Großteil der TOM-Pflichten. Umgekehrt bildet eine systematische TOM-Dokumentation eine solide Grundlage für eine spätere Zertifizierung.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen