Top Themen in der Informationssicherheit:
Die meisten kleinen und mittleren Unternehmen beschäftigen sich mit den Kosten für Informationssicherheit nicht aus Überzeugung, sondern weil das Gesetz es fordert. Was wie eine Pflichtübung beginnt, wird für viele der Einstieg in ein robustes Sicherheitsmanagement.
Viele Unternehmen kommen nicht freiwillig zur Informationssicherheit. Der erste Kontakt ist häufig ein Brief der Aufsichtsbehörde, eine Anfrage bei der Auftragsverarbeitung oder die Forderung eines Geschäftspartners: Legen Sie bitte Ihre TOM vor.
TOM – technische und organisatorische Maßnahmen – sind die DSGVO-Pflicht, die Unternehmen zwingt, sich konkret mit einem Thema auseinanderzusetzen, das viele gern verdrängen: Wo sind unsere Daten eigentlich gefährdet?
Wer diese Frage ernsthaft beantwortet, merkt schnell: Die Arbeit an TOM ist kein einmaliger Compliance-Akt. Sie ist der Einstieg in systematische Informationssicherheit – und damit der erste Schritt ein ISMS aufzubauen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenTechnische und organisatorische Maßnahmen (TOM) sind geeignete Schutzmaßnahmen, die sicherstellen, dass personenbezogene Daten angemessen geschützt werden. Art. 32 DSGVO schreibt vor, dass Verantwortliche und Auftragsverarbeiter ein dem Risiko angemessenes Schutzniveau gewährleisten müssen.
Das klingt vage – und das ist gewollt. Die DSGVO gibt keine feste Checkliste vor, sondern einen Rahmen: Maßnahmen müssen geeignet, verhältnismäßig und nachweisbar sein. Konkret nennt Art. 32 DSGVO als Beispiele:
Diese drei Punkte bilden bereits die Grundstruktur eines Informationssicherheits-Managementsystems. Doch dazu später mehr.
Abstrakte Gesetzestexte helfen in der Praxis wenig. Was bedeuten TOM konkret? Die gängigen Kategorien:
Praxisbeispiel: Eine Marketingagentur mit 18 Mitarbeitenden speichert Kundendaten in einer Cloud-Lösung und nutzt externe Dienstleister für Newsletter-Versand. Als ein Geschäftskunde im Rahmen der Auftragsverarbeitung nach den TOM fragt, beginnt die Geschäftsführung, die eigenen Maßnahmen zu strukturieren: Welche Daten liegen wo? Wer hat Zugriff? Ist die Übertragung verschlüsselt? Sind Backups dokumentiert? Aus der Frage nach den TOM entsteht innerhalb weniger Wochen ein erstes Datenschutzkonzept – inklusive Rollenkonzept, Passwortrichtlinie und regelmäßigem Backup-Test.
Wichtig: TOM sind keine einmalige Entscheidung. Die DSGVO fordert ausdrücklich eine regelmäßige Überprüfung und Anpassung der Maßnahmen. Was heute ausreichend ist, kann morgen veraltet sein – neue Bedrohungen, neue Technologien, neue gesetzliche Anforderungen.
Wer personenbezogene Daten nicht selbst verarbeitet, sondern an Dienstleister weitergibt – etwa an Cloud-Anbieter, Lohnbüros oder IT-Dienstleister –, muss einen Auftragsverarbeitungsvertrag (AVV) abschließen. Und darin: eine verbindliche Beschreibung der TOM.
Das bedeutet in der Praxis: Auch Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen nachweisen können. Unternehmen, die Dienstleister beauftragen, tragen Mitverantwortung für deren Datenschutzniveau und müssen dies dokumentieren – idealerweise im Verarbeitungsverzeichnis. TOM sind damit keine interne Angelegenheit. Sie sind ein Geschäftspartner-Thema, ein Ausschreibungskriterium und zunehmend ein Wettbewerbsfaktor.
Wer TOM ernsthaft angeht – und nicht einfach eine alte Checkliste abarbeitet –, landet zwangsläufig bei drei Kernfragen:
Die erste Frage zwingt zur Risikoanalyse – dem Herzstück jedes Sicherheitskonzepts. Die zweite zur strukturierten Dokumentation. Die dritte zur Wirksamkeitsprüfung. Das klingt vertraut? Richtig. Das sind exakt die Kernbestandteile eines Informationssicherheitsmanagementsystems (ISMS).
Wer TOM nach Art. 32 DSGVO strukturiert umsetzt, beantwortet diese drei Fragen systematisch. Damit hat er – oft ohne es zu merken – begonnen, ein ISMS aufzubauen. Dass dieser Schritt dringend ist, zeigt die aktuelle Cybersicherheitslage in Deutschland: KMU gehören zu den am stärksten betroffenen Zielgruppen von Cyberangriffen.
Hier liegt der entscheidende Unterschied – nicht in den Maßnahmen selbst, sondern in der Haltung. Eine TOM-Liste, die jemand vor drei Jahren zusammengestellt und seitdem nicht angefasst hat – das ist kein Sicherheitskonzept. Das ist Papierschutz. Sie besteht die Prüfung auf dem Papier, schützt das Unternehmen aber nicht vor echten Risiken. Ähnliches gilt für ein Datenschutzmanagementsystem, das nicht aktiv gelebt wird.
Praxisbeispiel: Ein mittelständisches Logistikunternehmen verfügt seit 2021 über eine TOM-Liste, die beim letzten Datenschutz-Audit erstellt wurde. Als im Frühjahr ein Phishing-Angriff mehrere Mitarbeitende trifft und Zugangsdaten abgegriffen werden, stellt sich heraus: Die Liste führt zwar die Maßnahme ‚Mitarbeiterschulungen‘ auf – eine Schulung hat zuletzt 2019 stattgefunden. Das Unternehmen hat eine Maßnahme dokumentiert, aber keinen Prozess etabliert. Wer stattdessen ein ISMS betreibt, hätte den Schulungsturnus fest im Kalender verankert, den Wirksamkeitsnachweis dokumentiert und die Maßnahme nach dem Angriff sofort angepasst.
Ein ISMS behandelt Sicherheit als Prozess. Risiken werden bewertet, Maßnahmen implementiert, Wirksamkeit überprüft – und dann beginnt der Zyklus von vorne. In der Praxis folgt dieses Prinzip dem sogenannten PDCA-Zyklus:
Der Orientierung bietet dabei der BSI IT-Grundschutz – ein bewährtes Framework, das Sicherheit als kontinuierlichen Prozess versteht und Unternehmen jeder Größe einen strukturierten Einstieg ermöglicht.
Wer TOM vernachlässigt, trägt ein erhebliches rechtliches und wirtschaftliches Risiko. Bei einer Datenpanne – also einem Sicherheitsvorfall, bei dem personenbezogene Daten unbefugt offengelegt, verändert oder vernichtet werden – greift die DSGVO unmittelbar.
Die Folgen fehlender oder unzureichender TOM:
Praxisbeispiel: Ein Außendienstmitarbeitender eines Beratungsunternehmens verliert sein Dienstlaptop in der Bahn. Auf dem Gerät befinden sich unverschlüsselt gespeicherte Kundendaten – darunter Namen, Kontaktdaten und Vertragsunterlagen. Da keine Festplattenverschlüsselung als TOM dokumentiert oder umgesetzt war, ist das Unternehmen meldepflichtig: Innerhalb von 72 Stunden muss der Vorfall der zuständigen Aufsichtsbehörde gemeldet werden. Wäre das Gerät mit einer Vollverschlüsselung (z.B. BitLocker oder FileVault) gesichert gewesen, hätte kein hohes Risiko für betroffene Personen bestanden – und keine Meldepflicht.
Die Nachweispflicht liegt beim Verantwortlichen. Wer keine dokumentierten TOM vorweisen kann, hat im Zweifel keine Chance, einer Haftung zu entgehen. Deshalb ist eine sorgfältige TOM-Dokumentation – verankert im Verarbeitungsverzeichnis – keine bürokratische Pflicht, sondern aktiver Selbstschutz.
Unternehmen, die heute sauber dokumentieren, warum sie welche Maßnahme einsetzen, schaffen die Grundlage für alles, was danach kommt. ISO 27001, VdS 10000 oder TISAX® bauen auf exakt dieser Logik auf: Risikoanalyse, Maßnahmenimplementierung, Wirksamkeitsprüfung.
Die Roadmap sieht in der Praxis so aus:
Der Aufwand, den man heute in solide TOM-Dokumentation steckt, ist kein einmaliger Compliance-Sprint. Es ist eine Investition in die Sicherheitsstruktur von morgen. Und er schützt nicht nur vor DSGVO-Bußgeldern – er stärkt das Vertrauen von Kunden, Partnern und Behörden gleichermaßen.
TOM und ISMS schließen sich nicht aus – sie bedingen einander. Wer als KMU mit DSGVO-konformen TOM beginnt, hat die Chance, diesen Impuls in eine nachhaltige Sicherheitsstruktur zu überführen. Der rechtliche Zwang wird zum strategischen Vorteil: geringeres Risiko, höheres Vertrauen, bessere Vorbereitung auf die NIS-2-Richtlinie und weitere kommende Anforderungen. Für Unternehmen, die diesen Weg professionell beschreiten möchten, empfiehlt sich die Zusammenarbeit mit einem externen Informationssicherheitsbeauftragten.
Ein Informationssicherheitsmanagementsystem (ISMS) schafft Vertrauen bei Kunden, Partnern und Auftraggebern. Mit einem strukturierten Ansatz zur Umsetzung von Informationssicherheit ermöglichen Sie Ihrem Unternehmen, Risiken zu minimieren, gesetzliche Anforderungen zu erfüllen und sich als verlässlicher Geschäftspartner zu positionieren.
Ein ISMS bietet einen klar definierten Rahmen, um Informationssicherheit in allen Bereichen des Unternehmens strategisch und operativ zu verankern. Durch strukturierte Prozesse, klar dokumentierte Verantwortlichkeiten und kontinuierliche Verbesserungsmaßnahmen wird Informationssicherheit messbar und langfristig wirksam.
TOM sind alle Schutzmaßnahmen, die ein Unternehmen ergreift, um personenbezogene Daten zu sichern. Sie umfassen technische Maßnahmen (z.B. Verschlüsselung, Zugriffsschutz, Backups) und organisatorische Maßnahmen (z.B. Schulungen, Richtlinien, Prozesse). Art. 32 DSGVO verpflichtet alle Unternehmen, die personenbezogene Daten verarbeiten, zur Umsetzung angemessener TOM.
TOM sind konkrete Einzelmaßnahmen zum Datenschutz. Ein ISMS (Informationssicherheits-Managementsystem) ist ein ganzheitlicher Managementrahmen, der Informationssicherheit als kontinuierlichen Prozess organisiert – nach dem PDCA-Prinzip. TOM sind ein Bestandteil eines ISMS. Wer TOM strukturiert umsetzt, legt das Fundament für ein vollständiges ISMS.
Für kleine und mittlere Unternehmen besonders relevant: Zugriffsschutz (Rollenkonzepte, Passwortrichtlinien), Verschlüsselung (E-Mails, Festplatten, mobile Geräte), Backups mit Wiederherstellungstests, Pseudonymisierung in Test- und Analyseprozessen sowie Mitarbeiterschulungen zu Phishing und Datenpannen. Die Maßnahmen müssen dem konkreten Risiko entsprechen – eine universelle TOM-Liste gibt es nicht.
Art. 32 DSGVO fordert eine regelmäßige Überprüfung. Eine feste Frist gibt es nicht – die Praxis empfiehlt mindestens jährliche Reviews sowie anlassbezogene Prüfungen (z.B. nach Sicherheitsvorfällen, bei neuen Verarbeitungstätigkeiten oder Systemänderungen). Die Überprüfung sollte im Verarbeitungsverzeichnis dokumentiert sein.
ISO 27001, VdS 10000 und TISAX® bauen auf denselben Grundprinzipien auf wie TOM nach Art. 32 DSGVO: Risikoanalyse, Maßnahmenimplementierung und Wirksamkeitsprüfung. Wer solide TOM-Dokumentation betreibt, schafft damit die Grundlage für eine spätere Zertifizierung nach diesen Standards und reduziert den dafür nötigen Aufwand erheblich.
Ein zertifizierungsfähiges ISMS, das internationale Standards erfüllt und Unternehmen nachweisbare Informationssicherheit auf höchstem Niveau bietet.
Wir helfen Unternehmen dabei, ein wirksames Managementsystem für Informationssicherheit aufzubauen und die Anforderungen nach ISO 27001, NIS-2 oder TISAX® umzusetzen – digital, effizient und zu fixen Konditionen. Als erfahrener Beratungsdienstleister und externer ISB sorgen wir dafür, dass sensible Informationen geschützt bleiben und Sicherheitsrisiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen