TOM Leitfaden: Technische und organisatorische Maßnahmen DSGVO

Technische und organisatorische Maßnahmen (TOM): Der umfassende Praxisleitfaden für 2025

Inhaltsverzeichnis

• Kurzüberblick: Was sind TOM und warum sind sie risikobasiert anzuwenden?
• Rechtlicher Rahmen: Art. 32 DSGVO in klaren Worten und nationaler Bezug
• Risikoanalyse Schritt für Schritt: Methodik und Entscheidungskriterien
• Mapping zu Standards: ISO/IEC 27001 und BSI IT-Grundschutz
• Technische Maßnahmen — Kernbereiche
  • Verschlüsselung: Algorithmen, Schlüsselverwaltung und TLS
  • Netzwerksicherheit: Segmentierung, Firewalls und Zero Trust
  • Backup, Recovery und Archivierung: Frequenz und Strategien
  • Endgeräte und Mobile Devices: Härtung und Management
• Organisatorische Maßnahmen — Kernprozesse
  • Zugriffskonzepte und Rollenmanagement
  • Sensibilisierung und Schulungspläne
  • Betriebsdokumentation und Change Management
• Pseudonymisierung und Anonymisierung: Wann und wie
• Konkrete Nachweismatrix: Was Auditoren erwarten
• Branchenszenarien mit Maßnahmen-Checklisten
  • Gesundheitswesen
  • Finanzdienstleister
  • E-Commerce
• Umsetzungsfahrplan: Priorisierung und Milestones
• Auditvorbereitung: Musterfragen und Beweismittel
• Praktische Checkliste: Minimalanforderungen nach Risikolevel
• Anhang: Glossar und empfohlene Parameter
• Häufige Fehler und wie man sie vermeidet

Kurzüberblick: Was sind TOM und warum sind sie risikobasiert anzuwenden?

Technische und organisatorische Maßnahmen (TOM) sind das Herzstück des operativen Datenschutzes und der Informationssicherheit. Sie umfassen alle konkreten Vorkehrungen, die ein Unternehmen trifft, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste bei der Verarbeitung personenbezogener Daten sicherzustellen. Der Begriff „technisch“ bezieht sich auf physische und softwarebasierte Schutzmaßnahmen wie Firewalls oder Verschlüsselung. „Organisatorisch“ meint hingegen prozessuale und personelle Regelungen, beispielsweise Zugriffskonzepte oder Mitarbeiterschulungen.

Der entscheidende Grundsatz bei der Auswahl und Umsetzung von TOM ist der risikobasierte Ansatz. Das bedeutet, es gibt keine universelle „One-size-fits-all“-Lösung. Stattdessen müssen die Schutzmaßnahmen dem spezifischen Risiko für die Rechte und Freiheiten der betroffenen Personen angemessen sein. Eine einfache Adressdatenbank für einen Newsletterversand erfordert andere und weniger aufwendige TOM als die Verarbeitung hochsensibler Gesundheitsdaten in einem Krankenhausinformationssystem.

Rechtlicher Rahmen: Art. 32 DSGVO in klaren Worten und nationaler Bezug

Die zentrale rechtliche Verpflichtung zur Umsetzung von TOM ergibt sich aus Artikel 32 der Datenschutz-Grundverordnung (DSGVO). Dieser Artikel fordert von Verantwortlichen und Auftragsverarbeitern, „geeignete technische und organisatorische Maßnahmen“ zu treffen, um ein „dem Risiko angemessenes Schutzniveau zu gewährleisten“. Die DSGVO gibt dabei keine starre Liste von Maßnahmen vor, sondern nennt beispielhaft:

• Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
• Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen.
• Die Fähigkeit, die Verfügbarkeit der Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
• Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM.

In Deutschland wird diese europäische Vorgabe durch den § 64 des Bundesdatenschutzgesetzes (BDSG) ergänzt, der spezifische Anforderungen für die Verarbeitung personenbezogener Daten durch öffentliche und nicht-öffentliche Stellen konkretisiert.

Risikoanalyse Schritt für Schritt: Methodik und Entscheidungskriterien

Eine systematische Risikoanalyse ist die Grundlage für die Auswahl angemessener technischer und organisatorischer Maßnahmen. Ein praxiserprobter Ansatz umfasst folgende Schritte:

1. Identifikation der Verarbeitungstätigkeiten und Assets: Welche Daten werden in welchen Systemen und Prozessen verarbeitet? (z.B. CRM-System, Lohnbuchhaltungssoftware).
2. Identifikation von Bedrohungen und Schwachstellen: Was könnte schiefgehen? (z.B. Hackerangriff, Festplattenausfall, menschliches Versagen, Diebstahl eines Laptops).
3. Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe: Wie wahrscheinlich ist das Eintreten einer Bedrohung und welche Folgen hätte dies für die betroffenen Personen? (z.B. finanzieller Verlust, Identitätsdiebstahl, Diskriminierung).
4. Ermittlung des Risikoniveaus: Das Risiko ergibt sich aus der Kombination von Wahrscheinlichkeit und potenzieller Schadenshöhe (z.B. niedrig, mittel, hoch, sehr hoch).
5. Auswahl und Implementierung der Maßnahmen (Controls): Basierend auf dem ermittelten Risikoniveau werden passende TOM ausgewählt, um das Risiko auf ein akzeptables Maß zu reduzieren.

Mapping zu Standards: ISO/IEC 27001 und BSI IT-Grundschutz

Um die Auswahl und Implementierung von TOM zu strukturieren, ist die Orientierung an etablierten Standards sinnvoll. Sie bieten praxiserprobte Kataloge von Schutzmaßnahmen.

• ISO/IEC 27001: Dieser internationale Standard für Informationssicherheits-Managementsysteme (ISMS) bietet im Anhang A einen umfassenden Katalog von 93 Kontrollzielen und Maßnahmen (Controls) in Bereichen wie Zugriffskontrolle, Kryptografie und physische Sicherheit.
• BSI IT-Grundschutz: Der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene Standard bietet detaillierte Bausteine mit konkreten Sicherheitsanforderungen für typische IT-Komponenten und Prozesse. Er ist besonders im deutschsprachigen Raum eine anerkannte Referenz.

Ein Mapping der eigenen Risiken auf die Maßnahmenkataloge dieser Standards hilft, Lücken zu erkennen und die Vollständigkeit der eigenen TOM nachzuweisen.

Technische Maßnahmen — Kernbereiche

Verschlüsselung: Algorithmen, Schlüsselverwaltung und TLS

Verschlüsselung ist eine der wirksamsten technischen Maßnahmen. Man unterscheidet zwischen der Sicherung von Daten während der Übertragung (Data in Transit) und im Ruhezustand (Data at Rest).

• Empfohlene Algorithmen (ab 2025): Für symmetrische Verschlüsselung ist AES mit 256 Bit der Goldstandard. Für asymmetrische Verfahren sollten RSA mit mindestens 3072 Bit oder Elliptische-Kurven-Kryptografie (ECC) verwendet werden.
• Transportverschlüsselung: Die gesamte Web-Kommunikation muss via TLS 1.2 oder, bevorzugt, TLS 1.3 abgesichert werden.
• Schlüsselverwaltung (Key Management): Kryptografische Schlüssel müssen sicher generiert, verteilt, gespeichert und regelmäßig rotiert werden. Der Zugriff auf die Schlüssel muss streng kontrolliert und protokolliert werden.
• Verschlüsselung im Ruhezustand: Festplatten von Servern, Laptops und mobilen Endgeräten sowie Datenbanken sollten standardmäßig verschlüsselt sein (z.B. mit BitLocker oder LUKS).

Netzwerksicherheit: Segmentierung, Firewalls und Zero Trust

Die Absicherung des Netzwerks verhindert unbefugten Zugriff von außen und begrenzt den Schaden im Falle einer Kompromittierung.

• Netzwerksegmentierung: Die Aufteilung des Netzwerks in logische Zonen (z.B. für Produktion, Entwicklung, Büro-IT) schränkt die Bewegungsfreiheit eines Angreifers ein.
• Firewalls: Moderne Next-Generation Firewalls (NGFW) sind unerlässlich, um den Datenverkehr auf Anwendungsebene zu filtern und zu überwachen.
• VPN: Der Fernzugriff auf Unternehmensressourcen darf ausschließlich über sichere Virtual Private Networks (VPNs) mit starker Authentifizierung erfolgen.
• Zero Trust Prinzipien: Als zukunftsweisende Strategie für 2025 und darüber hinaus gilt das “Zero Trust”-Modell. Dessen Grundsatz lautet: “Never trust, always verify”. Jeder Zugriff, egal ob von intern oder extern, muss explizit authentifiziert und autorisiert werden.

Backup, Recovery und Archivierung: Frequenz und Strategien

Eine robuste Backup-Strategie stellt die Verfügbarkeit von Daten nach einem Vorfall (z.B. Ransomware-Angriff) sicher.

• Backup-Frequenz: Die Häufigkeit muss sich am Recovery Point Objective (RPO) orientieren. Kritische Systeme erfordern tägliche oder sogar stündliche Backups.
• 3-2-1-Regel: Eine bewährte Praxis ist, drei Kopien der Daten auf zwei unterschiedlichen Medientypen zu halten, wobei eine Kopie extern (offsite) gelagert wird.
• Recovery-Tests: Regelmäßige Tests der Datenwiederherstellung sind zwingend erforderlich, um sicherzustellen, dass die Backups im Ernstfall auch funktionsfähig sind.

Endgeräte und Mobile Devices: Härtung und Management

Laptops, Smartphones und Tablets sind oft die schwächsten Glieder in der Sicherheitskette.

• Systemhärtung: Betriebssysteme und Anwendungen sollten gehärtet werden, indem unnötige Dienste deaktiviert und sichere Konfigurationen erzwungen werden.
• Patch-Management: Ein systematischer Prozess zur zeitnahen Einspielung von Sicherheitsupdates ist essenziell.
• Mobile Device Management (MDM): MDM-Lösungen ermöglichen die zentrale Verwaltung und Absicherung von mobilen Endgeräten, inklusive Fernlöschung bei Verlust.

Organisatorische Maßnahmen — Kernprozesse

Zugriffskonzepte und Rollenmanagement

Die Kontrolle des Zugriffs auf Daten und Systeme ist eine fundamentale organisatorische Maßnahme.

• Need-to-Know-Prinzip: Mitarbeiter erhalten nur Zugriff auf die Daten und Systeme, die sie für ihre spezifischen Aufgaben benötigen (Principle of Least Privilege).
• Rollenbasiertes Zugriffskonzept (RBAC): Berechtigungen werden nicht an einzelne Personen, sondern an Rollen (z.B. “Buchhaltung”, “Vertrieb”) vergeben.
• Funktionstrennung: Kritische Prozesse sollten so gestaltet sein, dass sie von mindestens zwei Personen durchgeführt werden müssen, um Missbrauch zu erschweren.

Sensibilisierung und Schulungspläne

Mitarbeiter sind die erste Verteidigungslinie. Regelmäßige Schulungen stärken das Sicherheitsbewusstsein.

• Schulungsinhalte: Datenschutzgrundlagen, Erkennen von Phishing-Mails, sicherer Umgang mit Passwörtern, Verhalten bei Sicherheitsvorfällen.
• Messgrößen für den Erfolg: Die Wirksamkeit von Schulungen kann durch simulierte Phishing-Kampagnen oder Wissenstests überprüft und nachgewiesen werden.

Betriebsdokumentation und Change Management

Eine lückenlose Dokumentation ist für den stabilen Betrieb und für Audits unerlässlich.

• Dokumentation: Alle TOM, Systemkonfigurationen und Prozesse müssen klar dokumentiert und aktuell gehalten werden.
• Change Management: Jede Änderung an kritischen Systemen muss einem formalen Prozess folgen, der eine Risikobewertung, Freigabe, Dokumentation und einen Test umfasst.

Pseudonymisierung und Anonymisierung: Wann und wie

Pseudonymisierung bedeutet, identifizierende Merkmale in einem Datensatz durch ein Pseudonym (z.B. eine zufällige Nummer) zu ersetzen. Die Zuordnung zum ursprünglichen Datensatz ist jedoch über eine separate Information weiterhin möglich. Dies ist eine starke Schutzmaßnahme.

Anonymisierung geht einen Schritt weiter und entfernt den Personenbezug unwiderruflich. Ein häufiger Fehler ist die Annahme, dass das bloße Entfernen von Namen und Adressen ausreicht. Oft lassen sich Personen über die Kombination verbleibender Merkmale (Quasi-Identifier) re-identifizieren. Ein echter Nachweis der Anonymisierung ist technisch anspruchsvoll.

Konkrete Nachweismatrix: Was Auditoren erwarten

Im Falle einer Prüfung durch eine Aufsichtsbehörde oder einen Kunden müssen Sie die Wirksamkeit Ihrer TOM nachweisen können. Halten Sie folgende Dokumente bereit:

• Datenschutz- und Informationssicherheitsrichtlinien
• Dokumentation der Risikoanalyse
• Verzeichnis von Verarbeitungstätigkeiten (VVT)
• Zugriffs- und Rollenkonzepte
• Protokolle von durchgeführten Schulungen und Sensibilisierungsmaßnahmen
• Ergebnisse von Sicherheitsüberprüfungen (z.B. Penetrationstests)
• Protokolle von Zugriffen auf kritische Systeme (Logfiles)
• Backup- und Wiederherstellungspläne inklusive Testprotokolle
• Incident-Response-Plan und Dokumentation vergangener Vorfälle

Branchenszenarien mit Maßnahmen-Checklisten

Gesundheitswesen

• ✅ Strikte Zugriffskontrolle auf Patientendaten (EHR/KIS) nach dem Need-to-Know-Prinzip.
• ✅ End-to-End-Verschlüsselung bei der Übertragung von Gesundheitsdaten.
• ✅ Vollständige Verschlüsselung aller mobilen Datenträger und Laptops.
• ✅ Regelmäßige Schulung des Personals zum Umgang mit besonders schutzwürdigen Daten.

Finanzdienstleister

• ✅ Implementierung von Multi-Faktor-Authentifizierung (MFA) für alle Kundenzugänge und internen kritischen Systeme.
• ✅ Einsatz von Systemen zur Betrugserkennung (Fraud Detection).
• ✅ Regelmäßige externe Sicherheitsaudits und Penetrationstests.
• ✅ Detaillierte Protokollierung aller Transaktionen und administrativen Zugriffe.

E-Commerce

• ✅ Einsatz von PCI-DSS-konformen Zahlungsdienstleistern.
• ✅ Schutz vor Web-Angriffen (z.B. SQL-Injection, Cross-Site-Scripting) durch eine Web Application Firewall (WAF).
• ✅ Sichere Passwortspeicherung mittels starker Hashing-Verfahren (z.B. Argon2, bcrypt).
• ✅ Transparente Datenschutzhinweise und einfache Verwaltung von Einwilligungen.

Umsetzungsfahrplan: Priorisierung und Milestones

Die Implementierung von TOM sollte einem strukturierten Plan folgen:

1. Phase 1 (Assessment): Durchführung der Risikoanalyse und Identifikation von Schutzbedarfen.
2. Phase 2 (Planung): Definition konkreter Maßnahmen, Priorisierung basierend auf dem Risiko, Abschätzung von Ressourcen (Zeit, Budget, Personal).
3. Phase 3 (Implementierung): Technische Umsetzung und Einführung der organisatorischen Prozesse. Definition klarer Milestones.
4. Phase 4 (Betrieb und Überwachung): Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen und kontinuierliche Anpassung an neue Bedrohungen.

Auditvorbereitung: Musterfragen und Beweismittel

Stellen Sie sich vor einem Audit selbst diese Fragen:

• Frage: Wie stellen Sie sicher, dass nur berechtigte Mitarbeiter auf Kundendaten zugreifen?
  • Beweismittel: Dokumentiertes Rollen- und Berechtigungskonzept, Protokolle der letzten Berechtigungs-Reviews.
• Frage: Wie schützen Sie Laptops vor Datenverlust bei Diebstahl?
  • Beweismittel: Nachweis der flächendeckenden Festplattenverschlüsselung, Richtlinie zur Gerätesicherheit.
• Frage: Was passiert, wenn Ihr primärer Server ausfällt?
  • Beweismittel: Backup- und Wiederherstellungsplan, Protokolle der letzten erfolgreichen Wiederherstellungstests.

Praktische Checkliste: Minimalanforderungen nach Risikolevel

• Niedriges Risiko (z.B. interne Kontaktdaten):
  • □ Virenschutz auf allen Endgeräten
  • □ Passwortrichtlinie (min. 12 Zeichen)
  • □ Regelmäßige Datensicherungen auf externem Medium
• Mittleres Risiko (z.B. Kundendaten im CRM):
  • □ Alle Maßnahmen für niedriges Risiko
  • □ Netzwerk-Firewall
  • □ Festplattenverschlüsselung auf Laptops
  • □ Regelmäßige Datenschutzschulungen für Mitarbeiter
• Hohes Risiko (z.B. Gesundheits- oder Finanzdaten):
  • □ Alle Maßnahmen für mittleres Risiko
  • □ Multi-Faktor-Authentifizierung für kritische Systeme
  • □ Intrusion Detection/Prevention System (IDS/IPS)
  • □ Formalisierter Incident-Response-Prozess
  • □ Jährliche Penetrationstests

Anhang: Glossar und empfohlene Parameter

• DSGVO: Datenschutz-Grundverordnung; die zentrale Datenschutzvorschrift in der EU.
• BDSG: Bundesdatenschutzgesetz; ergänzt und konkretisiert die DSGVO in Deutschland.
• RPO (Recovery Point Objective): Maximal tolerierbarer Datenverlust bei einem Ausfall.
• RTO (Recovery Time Objective): Maximal tolerierbare Zeit für die Wiederherstellung eines Systems nach einem Ausfall.
• Zero Trust: Ein Sicherheitsmodell, das keinem Nutzer oder Gerät standardmäßig vertraut.

Empfohlene Parameter (Beispiele):

• Passwortlänge: Mindestens 12 Zeichen mit Komplexitätsanforderungen.
• Backup-Frequenz (kritische Daten): Täglich, inkrementell.
• Patch-Management (kritische Lücken): Innerhalb von 72 Stunden.
• Sitzungs-Timeout (Web-Anwendungen): 15-30 Minuten Inaktivität.

Häufige Fehler und wie man sie vermeidet

1. Einmal implementiert, nie wieder geprüft: TOM sind kein einmaliges Projekt. Die Bedrohungslandschaft ändert sich ständig. Lösung: Planen Sie jährliche Reviews und passen Sie die Maßnahmen an.
2. Fehlende Dokumentation: Ohne Dokumentation können Sie im Auditfall die Umsetzung nicht nachweisen. Lösung: Führen Sie eine zentrale Dokumentation aller Maßnahmen und Entscheidungen.
3. Vernachlässigung der Mitarbeiter: Die beste Technik nützt nichts, wenn ein Mitarbeiter auf einen Phishing-Link klickt. Lösung: Investieren Sie in regelmäßige, praxisnahe Schulungen.
4. Unspezifische Maßnahmen: Generische TOM, die nicht auf die spezifischen Risiken einer Verarbeitungstätigkeit zugeschnitten sind. Lösung: Leiten Sie jede Maßnahme direkt aus Ihrer individuellen Risikoanalyse ab.

Die sorgfältige Auswahl, Implementierung und regelmäßige Überprüfung Ihrer technischen und organisatorischen Maßnahmen (TOM) ist keine bürokratische Hürde, sondern eine entscheidende Investition in die Sicherheit Ihrer Daten, das Vertrauen Ihrer Kunden und die Zukunftsfähigkeit Ihres Unternehmens.