TOM Datenschutz: Maßnahmen nach Art. 32 DSGVO

Letzte Aktualisierung:

TOM Datenschutz: Welche technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO Pflicht sind. Mit Checkliste, Praxisbeispielen und ISO-27001-Synergien.

Unternehmen, die personenbezogene Daten verarbeiten – ob Kundenadressen, Mitarbeiterdaten oder Bestellinformationen – sind gesetzlich verpflichtet, diese Daten vor Missbrauch, Verlust und unbefugtem Zugriff zu schützen. Die Datenschutz-Grundverordnung (DSGVO) fordert hierfür sogenannte technisch-organisatorische Maßnahmen, kurz TOM. Dieser Artikel erläutert, was TOM Datenschutz konkret bedeutet, welche Maßnahmen umzusetzen sind und wie sich dabei Synergien mit ISO 27001 und NIS-2 nutzen lassen.

Was sind technisch-organisatorische Maßnahmen (TOM)?

Technisch-organisatorische Maßnahmen – häufig als TOM oder TOMs abgekürzt – bezeichnen alle Vorkehrungen, die Unternehmen zum Schutz personenbezogener Daten treffen müssen. Der Begriff stammt aus Artikel 32 der DSGVO, der die „Sicherheit der Verarbeitung" regelt.

Die DSGVO unterscheidet dabei zwei Kategorien von Maßnahmen:

Technische Maßnahmen betreffen die IT-Infrastruktur und umfassen beispielsweise Verschlüsselung, Firewalls, Zugangskontrollsysteme oder Backup-Lösungen. Sie schützen Daten durch Technologie vor unbefugtem Zugriff oder Verlust.

Organisatorische Maßnahmen beziehen sich auf Arbeitsabläufe, Richtlinien und Verantwortlichkeiten. Dazu gehören Schulungen für Mitarbeiter, Berechtigungskonzepte, Dienstanweisungen oder die Benennung eines Datenschutzbeauftragten.

Beide Kategorien ergänzen sich und bilden gemeinsam das Fundament für ein wirksames Datenschutzkonzept. Technische Maßnahmen allein reichen nicht aus, wenn Mitarbeiter nicht wissen, wie sie mit Daten umgehen sollen – und umgekehrt.

Die rechtliche Grundlage: Artikel 32 DSGVO

Artikel 32 DSGVO verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter, „geeignete technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind mehrere Faktoren zu berücksichtigen:

  • Der Stand der Technik
  • Die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte betroffener Personen

Das bedeutet konkret: Ein kleiner Handwerksbetrieb mit einer Kundendatenbank muss andere Maßnahmen ergreifen als ein Krankenhaus, das sensible Gesundheitsdaten verarbeitet. Die DSGVO verfolgt einen risikobasierten Ansatz – je höher das Risiko, desto umfangreicher müssen die Schutzmaßnahmen sein.

Wichtig: Das Verhältnismäßigkeitsprinzip erlaubt es, wirtschaftliche Aspekte zu berücksichtigen. Ein Drei-Personen-Betrieb muss nicht dieselben Standards erfüllen wie ein internationaler Konzern. Dennoch gilt: Grundlegende Schutzmaßnahmen sind für jedes Unternehmen verpflichtend.

Die vier Schutzziele nach Artikel 32 DSGVO

Artikel 32 Absatz 1 DSGVO nennt vier zentrale Schutzziele, die technisch-organisatorische Maßnahmen gewährleisten müssen:

Vertraulichkeit

Nur befugte Personen dürfen Zugang zu personenbezogenen Daten haben. Maßnahmen zur Vertraulichkeit umfassen Zugriffskontrollen, Passwortrichtlinien, Verschlüsselung und die Verpflichtung von Mitarbeitern auf das Datengeheimnis. Auch Techniken wie Pseudonymisierung und Datenanonymisierung tragen zum Schutz der Vertraulichkeit bei.

Integrität

Personenbezogene Daten müssen vor unbeabsichtigter oder unbefugter Veränderung geschützt werden. Protokollierungssysteme, Eingabekontrollen und regelmäßige Datenprüfungen stellen sicher, dass Daten korrekt und vollständig bleiben.

Verfügbarkeit

Daten müssen bei Bedarf zugänglich sein. Backup-Systeme, Notfallpläne und redundante Infrastrukturen schützen vor Datenverlust durch technische Ausfälle oder Cyberangriffe.

Belastbarkeit

Systeme und Dienste müssen auch unter Belastung oder bei Angriffen funktionsfähig bleiben. Dies umfasst DDoS-Schutz, Lastverteilung und regelmäßige Sicherheitstests.

Konkrete TOM-Kategorien: Ein Überblick

Die DSGVO gibt keine abschließende Liste konkreter Maßnahmen vor. Der Gesetzgeber hat bewusst einen flexiblen Rahmen gewählt, damit Unternehmen die für sie passenden Lösungen wählen können. Orientierung bietet jedoch § 64 BDSG sowie etablierte Standards wie ISO 27001 und BSI IT-Grundschutz.

Zutrittskontrolle

Maßnahmen, die Unbefugten den physischen Zutritt zu Datenverarbeitungsanlagen verwehren:

  • Schließsysteme und Schlüsselverwaltung
  • Zutrittskontrollsysteme mit Ausweisen oder biometrischen Merkmalen
  • Videoüberwachung von Zugangsbereichen
  • Besucherregelungen und Begleitung von Fremden
  • Alarmanlage und Einbruchschutz
  • Gesonderte Sicherung von Serverräumen

Zugangskontrolle

Maßnahmen, die die unbefugte Nutzung von IT-Systemen verhindern:

  • Benutzerkennung und Authentifizierung
  • Sichere Passwortrichtlinien (Komplexität, Wechselintervalle)
  • Zwei-Faktor-Authentifizierung (2FA)
  • Automatische Bildschirmsperre
  • Verschlüsselung von mobilen Geräten und Datenträgern
  • Sperrung von USB-Ports und externen Laufwerken

Zugriffskontrolle

Maßnahmen, die sicherstellen, dass Berechtigte nur auf die für sie freigegebenen Daten zugreifen:

  • Berechtigungskonzept mit Rollen und Rechten
  • Need-to-know-Prinzip (minimale Rechtevergabe)
  • Regelmäßige Überprüfung und Aktualisierung von Berechtigungen
  • Protokollierung von Zugriffen
  • Löschung von Berechtigungen bei Ausscheiden von Mitarbeitern

Weitergabekontrolle

Maßnahmen zum Schutz personenbezogener Daten bei der elektronischen Übertragung oder beim Transport:

  • Verschlüsselung von E-Mails und Dateien
  • Sichere Übertragungsprotokolle (TLS/SSL)
  • VPN für Remote-Zugriffe
  • Dokumentation von Datenübermittlungen
  • Sichere Entsorgung von Datenträgern

Eingabekontrolle

Maßnahmen zur Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat:

  • Protokollierung aller Datenverarbeitungsvorgänge
  • Revisionssichere Aufbewahrung von Protokollen
  • Zeitstempel und Benutzerkennung bei Änderungen
  • Regelmäßige Auswertung der Protokolle

Verfügbarkeitskontrolle

Maßnahmen zum Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust:

  • Regelmäßige Datensicherungen (Backups)
  • Unterbrechungsfreie Stromversorgung (USV)
  • Brandschutz und Klimatisierung von Serverräumen
  • Notfallpläne und Wiederherstellungsverfahren
  • Georedundante Datenspeicherung

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Logische Trennung durch separate Datenbanken oder Mandanten
  • Berechtigungskonzepte für unterschiedliche Verarbeitungszwecke
  • Pseudonymisierung oder Anonymisierung bei Datenanalysen
  • Klare Zweckbindung in der Verarbeitung

Dokumentationspflichten: TOM nachweisbar machen

Die Dokumentation der TOM ist nicht nur eine rechtliche Pflicht, sondern auch ein wesentlicher Bestandteil der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO. Unternehmen müssen jederzeit nachweisen können, dass sie angemessene Schutzmaßnahmen getroffen haben.

Eine vollständige TOM-Dokumentation sollte folgende Elemente enthalten:

Element Beschreibung
Maßnahmenbeschreibung Konkrete Beschreibung der technischen und organisatorischen Maßnahme
Verantwortlichkeit Zuständige Person oder Abteilung für die Umsetzung und Überwachung
Umsetzungsstatus Vollständig umgesetzt, in Umsetzung oder geplant
Überprüfungsintervall Zeitraum für die regelmäßige Wirksamkeitsprüfung
Risikobezug Welches Risiko wird durch die Maßnahme adressiert

Die Dokumentation sollte regelmäßig aktualisiert und bei Änderungen der Verarbeitungstätigkeiten oder der IT-Infrastruktur angepasst werden.

Bußgelder bei mangelhaften TOM: Aktuelle Fälle

Die Aufsichtsbehörden verhängen regelmäßig Bußgelder wegen unzureichender technisch-organisatorischer Maßnahmen. Einige Beispiele aus der jüngeren Vergangenheit verdeutlichen die Relevanz:

  • Die spanische Datenschutzbehörde verhängte ein Bußgeld von 6,5 Millionen Euro gegen ein Telekommunikationsunternehmen, das keine ausreichenden Maßnahmen gegen unbefugte SIM-Swaps implementiert hatte.
  • Eine deutsche Bank musste 70.000 Euro zahlen, weil sensible Kundendaten durch fehlerhafte Zugriffskontrollen für unbefugte Mitarbeiter einsehbar waren.
  • Ein Modeunternehmen zahlte 270.000 Euro, nachdem bei der Bearbeitung einer Gehaltsabrechnungsanfrage versehentlich die Daten von 446 weiteren Personen offengelegt wurden.

Diese Fälle verdeutlichen: Mangelhafte TOM führen nicht nur zu Datenschutzverletzungen, sondern auch zu empfindlichen Bußgeldern und Reputationsschäden.

TOM Datenschutz und ISO 27001: Synergien nutzen

Für Unternehmen, die ihre TOM systematisch umsetzen möchten, bietet die internationale Norm ISO 27001 einen bewährten Rahmen. Die Norm definiert Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) und enthält im Anhang A einen umfassenden Katalog von Sicherheitsmaßnahmen.

Die Verbindung zwischen TOM und ISO 27001 ist eng: Die in Artikel 32 DSGVO geforderten technisch-organisatorischen Maßnahmen lassen sich direkt aus den Controls der ISO 27001 ableiten. Unternehmen, die ein ISMS nach ISO 27001 implementieren, erfüllen damit automatisch einen Großteil der DSGVO-Anforderungen an die Datensicherheit.

Vorteile der Integration von TOM in ein ISO-27001-ISMS:

  • Strukturierter Ansatz: Die Norm gibt klare Vorgaben für Planung, Umsetzung und Überprüfung von Sicherheitsmaßnahmen.
  • Nachweis der Angemessenheit: Eine ISO-27001-Zertifizierung dokumentiert die Erfüllung anerkannter Sicherheitsstandards.
  • Kontinuierliche Verbesserung: Der PDCA-Zyklus (Plan-Do-Check-Act) stellt sicher, dass TOM regelmäßig überprüft und angepasst werden.
  • Synergien mit weiteren Anforderungen: Das ISMS kann gleichzeitig als Grundlage für NIS-2-Compliance oder branchenspezifische Standards dienen.

TOM im Kontext von NIS-2: Erweiterte Anforderungen

Seit dem 6. Dezember 2025 gilt in Deutschland das NIS-2-Umsetzungsgesetz. Es verpflichtet etwa 29.000 Unternehmen in kritischen Sektoren zu umfassenden Cybersicherheitsmaßnahmen. Die Überschneidungen mit den DSGVO-TOM sind erheblich.

Beide Regelwerke fordern:

  • Risikomanagement und Risikoanalyse
  • Technische Schutzmaßnahmen wie Zugriffskontrollen und Verschlüsselung
  • Verfahren zur Bewältigung von Sicherheitsvorfällen
  • Dokumentation und Nachweispflichten

Unternehmen, die bereits robuste TOM nach DSGVO implementiert haben, können diese als Grundlage für die NIS-2-Compliance nutzen. Ein integrierter Ansatz vermeidet Doppelarbeit und schafft ein konsistentes Sicherheitsniveau. Welche konkreten Mindestmaßnahmen nach § 30 BSIG dabei zu erfüllen sind, ist in einem separaten Artikel zusammengefasst.

Die Unterschiede liegen vor allem im Fokus: Während die DSGVO den Schutz personenbezogener Daten in den Mittelpunkt stellt, zielt NIS-2 auf die Resilienz von Netz- und Informationssystemen. In der Praxis ergänzen sich beide Perspektiven und sollten gemeinsam umgesetzt werden.

Praktische Umsetzung: Checkliste für TOM Datenschutz

Die folgende Checkliste unterstützt bei der systematischen Implementierung technisch-organisatorischer Maßnahmen:

  1. Bestandsaufnahme durchführen: Welche personenbezogenen Daten werden verarbeitet? Welche Systeme und Prozesse sind beteiligt?

  2. Risikoanalyse erstellen: Welche Risiken bestehen für die Rechte der betroffenen Personen? Wie wahrscheinlich sind Sicherheitsvorfälle und wie schwerwiegend wären die Folgen?

  3. Verantwortlichkeiten festlegen: Wer ist für Datenschutz und IT-Sicherheit zuständig? Ist ein Datenschutzbeauftragter bestellt, falls erforderlich?

  4. Maßnahmenkatalog entwickeln: Welche konkreten TOM sind für das Unternehmen angemessen? Standards wie ISO 27001 oder BSI IT-Grundschutz bieten hierfür Orientierung.

  5. Maßnahmen implementieren: Die definierten TOM sind technisch und organisatorisch umzusetzen. Alle Schritte sollten dokumentiert werden.

  6. Mitarbeiter schulen: Es ist sicherzustellen, dass alle Beschäftigten die Datenschutzanforderungen kennen und umsetzen können.

  7. Wirksamkeit prüfen: Regelmäßig (mindestens jährlich) ist zu überprüfen, ob die TOM noch angemessen und wirksam sind.

  8. Dokumentation pflegen: Alle TOM sind aktuell zu dokumentieren, um auf Anfragen von Aufsichtsbehörden vorbereitet zu sein.

Häufig gestellte Fragen zu TOM Datenschutz

Wie oft müssen technisch-organisatorische Maßnahmen überprüft werden?

Die DSGVO schreibt in Art. 32 Abs. 1 lit. d ausdrücklich ein „Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit" der TOM vor. Eine konkrete Frist nennt der Gesetzgeber jedoch nicht. In der Praxis hat sich eine jährliche Überprüfung als Mindeststandard etabliert. Bestimmte Maßnahmen – etwa Firewall-Updates oder Backup-Tests – sollten häufiger kontrolliert werden. Das Prüfintervall sollte individuell für jede Maßnahme festgelegt und dokumentiert werden. Bei wesentlichen Änderungen der Verarbeitungsprozesse oder nach Sicherheitsvorfällen ist eine sofortige Überprüfung erforderlich.

Gibt es eine TOM-Vorlage oder ein Muster für kleine Unternehmen?

Ja, verschiedene Institutionen stellen kostenlose Vorlagen zur Verfügung. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine umfangreiche Checkliste für kleine und mittlere Unternehmen veröffentlicht, die als Orientierung dient. Auch die Landesdatenschutzbehörden anderer Bundesländer bieten Muster-TOM an. Wichtig ist dabei: Eine Vorlage ersetzt nicht die individuelle Risikoanalyse. Nicht jede Maßnahme passt zu jedem Unternehmen – und manche Risiken erfordern zusätzliche Schutzmaßnahmen, die in keiner Standardvorlage enthalten sind. Die Vorlage sollte daher als Ausgangspunkt dienen, nicht als fertiges Dokument.

Was ist der Unterschied zwischen TOM und einem Datenschutzkonzept?

Technisch-organisatorische Maßnahmen (TOM) sind ein Bestandteil des übergeordneten Datenschutzkonzepts, aber nicht dasselbe. Das Datenschutzkonzept beschreibt die gesamte Datenschutzstrategie eines Unternehmens: Welche Daten werden verarbeitet, auf welcher Rechtsgrundlage, wer ist verantwortlich, wie werden Betroffenenrechte umgesetzt und wie wird die Einhaltung der DSGVO sichergestellt. Die TOM hingegen fokussieren sich speziell auf die Sicherheit der Verarbeitung – also den technischen und organisatorischen Schutz der Daten vor unbefugtem Zugriff, Verlust oder Veränderung. Ein vollständiges Datenschutzkonzept enthält die TOM als zentralen Baustein.

Welche TOM sind bei der Auftragsverarbeitung nach Art. 28 DSGVO erforderlich?

Bei der Beauftragung externer Dienstleister (Auftragsverarbeiter) müssen Verantwortliche sicherstellen, dass diese „hinreichende Garantien" für angemessene TOM bieten. Der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO muss die konkreten TOM des Dienstleisters als Anlage enthalten. Vor Vertragsabschluss sollten die TOM des Auftragsverarbeiters geprüft und dokumentiert werden. Typische Prüfpunkte sind: Wie schützt der Dienstleister den Zugang zu den Daten? Welche Verschlüsselung wird eingesetzt? Wie werden Mitarbeiter geschult? Werden Unterauftragnehmer eingesetzt und wenn ja, welche TOM gelten dort? Die TOM müssen dem Risiko der verarbeiteten Daten angemessen sein – bei sensiblen Daten gelten strengere Anforderungen.

Können TOM nach DSGVO und ISO 27001 gemeinsam umgesetzt werden?

Ja, eine integrierte Umsetzung ist nicht nur möglich, sondern empfehlenswert. Die Anforderungen aus Art. 32 DSGVO und die Controls aus ISO 27001 Anhang A überschneiden sich erheblich. Beide fordern Zugriffskontrollen, Verschlüsselung, Backup-Konzepte, Incident-Management und regelmäßige Überprüfungen. Unternehmen, die ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001 aufbauen, erfüllen damit automatisch einen Großteil der DSGVO-Anforderungen an die TOM. Der Vorteil: Doppelarbeit wird vermieden, ein konsistentes Sicherheitsniveau wird geschaffen und bei einer ISO-27001-Zertifizierung lässt sich der Nachweis angemessener TOM gegenüber Aufsichtsbehörden und Geschäftspartnern leichter erbringen.

TOM Datenschutz als Pflicht und Chance

Technisch-organisatorische Maßnahmen sind keine optionale Kür, sondern gesetzliche Pflicht für jedes Unternehmen, das personenbezogene Daten verarbeitet. Die Anforderungen aus Artikel 32 DSGVO mögen zunächst komplex erscheinen, lassen sich aber mit einem systematischen Ansatz effizient umsetzen.

Wer TOM nicht isoliert betrachtet, sondern in ein integriertes Managementsystem einbettet, profitiert mehrfach: Die Maßnahmen erfüllen gleichzeitig Anforderungen aus DSGVO, NIS-2 und gegebenenfalls branchenspezifischen Standards. Das spart Ressourcen, vermeidet Inkonsistenzen und schafft ein nachweisbar hohes Sicherheitsniveau. Für einen ganzheitlichen Ansatz, der Datenschutz, Informationssicherheit und Cybersecurity verbindet, bieten wir Compliance aus einer Hand.

Haben Sie Fragen zu diesem Thema?

In einem kostenfreien Erstgespräch klären wir Ihre individuellen Anforderungen und zeigen Ihnen, wie wir Sie unterstützen können.

Kostenloses Erstgespräch vereinbaren