Inhaltsverzeichnis
- Einleitung: Zweck und Nutzwert von TOMs
- Rechtliche Grundlage: Art. 32 DSGVO und § 64 BDSG
- TOM-Kategorien neu gedacht: Vertraulichkeit, Integrität, Verfügbarkeit und Nachweisbarkeit
- Konkrete technische Vorgaben für Ihre IT-Sicherheit
- Wirksame organisatorische Maßnahmen etablieren
- Die TOMs-Matrix: Aufbau und Anwendung für KMU
- Branchen- und größenabhängige Umsetzung von TOMs
- Mapping zu Standards: ISO 27001, BSI IT-Grundschutz und NIST
- DSFA und TOMs: Wann Maßnahmen dokumentiert werden müssen
- Messgrößen, Monitoring und Prüfbelege für Audits
- Schritt-für-Schritt-Checkliste zur Implementierung
- Konkrete Richtlinien- und Konfigurationsbeispiele
- Häufige Fehler und wie Nachweislücken geschlossen werden
- Anhang: Vorlagen und weiterführende Quellen
Einleitung: Zweck und Nutzwert von TOMs
Technische und organisatorische Maßnahmen (TOMs) sind das Herzstück jeder funktionierenden Datenschutz- und Informationssicherheitsstrategie. Sie sind weit mehr als eine formale Anforderung der Datenschutz-Grundverordnung (DSGVO); sie sind der praktische Beweis dafür, dass ein Unternehmen den Schutz personenbezogener Daten ernst nimmt. Für Datenschutzbeauftragte, Compliance-Manager und IT-Sicherheitsverantwortliche ist ein solides Verständnis der TOMs unerlässlich, um Risiken zu minimieren, Bußgelder zu vermeiden und das Vertrauen von Kunden und Partnern zu sichern. Dieser Leitfaden konzentriert sich auf konkrete, prüfbare Vorgaben und liefert eine anwendbare Struktur, um technische und organisatorische Maßnahmen nicht nur zu dokumentieren, sondern auch effektiv zu leben und nachzuweisen.
Rechtliche Grundlage: Art. 32 DSGVO und § 64 BDSG
Die primäre rechtliche Verankerung für technische und organisatorische Maßnahmen findet sich in Artikel 32 der DSGVO. Dieser Artikel verpflichtet Verantwortliche und Auftragsverarbeiter dazu, „geeignete technische und organisatorische Maßnahmen“ zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO gibt dabei keine starre Liste vor, sondern fordert eine risikobasierte Herangehensweise. Berücksichtigt werden müssen der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen.
Ergänzend dazu präzisiert das deutsche Recht in § 64 des Bundesdatenschutzgesetzes (BDSG) die Anforderungen für bestimmte Verarbeitungssituationen und unterstreicht die Notwendigkeit, die Schutzziele der Informationssicherheit zu berücksichtigen. Die Dokumentation dieser Maßnahmen ist nicht nur eine Pflicht, sondern auch ein entscheidender Nachweis im Falle einer Prüfung durch die Aufsichtsbehörde.
TOM-Kategorien neu gedacht: Vertraulichkeit, Integrität, Verfügbarkeit und Nachweisbarkeit
Statt der oft unübersichtlichen Kategorien aus alten BDSG-Zeiten (z. B. Zutritts-, Zugangs-, Zugriffskontrolle) empfiehlt sich eine moderne Strukturierung, die sich an den universellen Schutzzielen der Informationssicherheit orientiert. Dies erleichtert auch das Mapping zu internationalen Standards.
- Vertraulichkeit: Sicherstellung, dass Daten nur von autorisierten Personen eingesehen werden können. Maßnahmen hierfür sind Verschlüsselung, Zugriffskontrollen und Pseudonymisierung.
- Integrität: Gewährleistung, dass Daten korrekt und unverändert bleiben. Dazu gehören Mechanismen wie Hash-Funktionen, digitale Signaturen und Versionierung.
- Verfügbarkeit: Sicherstellung, dass Daten und Systeme bei Bedarf für autorisierte Benutzer zur Verfügung stehen. Maßnahmen umfassen Backup-Strategien, Redundanz (z. B. RAID-Systeme, Cluster) und Notfallpläne.
- Nachweisbarkeit (Accountability): Fähigkeit, jede Aktion auf einem System einer eindeutigen Identität zuzuordnen und lückenlos zu protokollieren. Dies wird durch Logging, Monitoring und regelmäßige Audits erreicht.
Konkrete technische Vorgaben für Ihre IT-Sicherheit
Abstrakte Beschreibungen reichen für einen Prüfer nicht aus. Ihre TOMs-Dokumentation muss spezifisch und messbar sein. Hier sind konkrete technische Vorgaben, die Sie für Ihre Strategien ab 2025 berücksichtigen sollten:
Verschlüsselung
- Verschlüsselung von Daten im Ruhezustand (at rest): Festplatten, Datenbanken und Backups sollten standardmäßig mit AES-256 verschlüsselt sein.
- Verschlüsselung von Daten während der Übertragung (in transit): Die Kommunikation zu und von externen Systemen (Websites, APIs, E-Mail) muss ausschließlich über TLS 1.3 oder höher erfolgen. Ältere Protokolle wie SSL oder frühe TLS-Versionen sind nicht mehr sicher.
Backup- und Wiederherstellungsstrategie
- Recovery Point Objective (RPO): Definieren Sie den maximal tolerierbaren Datenverlust. Beispiel: „RPO von 4 Stunden für die Kundendatenbank“, was bedeutet, dass maximal die Daten der letzten 4 Stunden verloren gehen dürfen.
- Recovery Time Objective (RTO): Legen Sie die maximal tolerierbare Ausfallzeit fest. Beispiel: „RTO von 8 Stunden für das ERP-System“, was bedeutet, dass das System innerhalb von 8 Stunden wiederhergestellt sein muss.
- Regelmäßige Tests: Führen Sie mindestens halbjährlich Wiederherstellungstests durch und dokumentieren Sie die Ergebnisse.
Logging und Monitoring
- Protokollierung: Alle sicherheitsrelevanten Ereignisse (Logins, Zugriffsversuche, Konfigurationsänderungen) müssen zentral erfasst und vor Manipulation geschützt werden.
- Aufbewahrungsfristen (Retention): Definieren Sie klare Fristen für Log-Dateien, z. B. „90 Tage im schnellen Zugriff (Hot Storage) und 12 Monate archiviert (Cold Storage)“.
Wirksame organisatorische Maßnahmen etablieren
Technik allein reicht nicht aus. Die Prozesse und Verantwortlichkeiten im Unternehmen sind ebenso entscheidend für den Schutz von Daten.
- Zugriffsmanagement: Implementieren Sie ein Rollen- und Berechtigungskonzept nach dem Need-to-Know-Prinzip und dem Principle of Least Privilege (PoLP). Jeder Mitarbeiter erhält nur die Zugriffsrechte, die für seine Aufgabe zwingend erforderlich sind.
- Verantwortlichkeiten: Definieren Sie klare Rollen wie den „System Owner“ für kritische Anwendungen und dokumentieren Sie, wer für die Umsetzung und Kontrolle bestimmter technischer und organisatorischer Maßnahmen zuständig ist.
- Prozesse: Etablieren Sie dokumentierte Prozesse für das Incident Management (Umgang mit Sicherheitsvorfällen), das Change Management und die regelmäßige Überprüfung von Berechtigungen.
- Schulungen: Führen Sie für alle Mitarbeiter verpflichtende und regelmäßige Schulungen zu Datenschutz und Informationssicherheit durch. Dokumentieren Sie die Teilnahme.
Die TOMs-Matrix: Aufbau und Anwendung für KMU
Eine TOMs-Matrix ist ein zentrales Werkzeug zur Dokumentation und Verwaltung Ihrer Maßnahmen. Sie schafft Transparenz und erleichtert Audits. Für ein KMU kann eine solche Matrix als einfache Tabelle aufgebaut sein:
| Schutziel | Maßnahme | Beschreibung und Spezifikation | Verantwortlich | Status | Prüfnachweis |
|---|---|---|---|---|---|
| Vertraulichkeit | Festplattenverschlüsselung Server | Alle Serverfestplatten sind mit BitLocker (AES-256) verschlüsselt. | IT-Abteilung | Umgesetzt | Konfigurationsauszug, Screenshot |
| Verfügbarkeit | Tägliches Backup der Kundendatenbank | Inkrementelles Backup alle 4 Stunden (RPO 4h), Wiederherstellungstest Q2/2025 erfolgreich. | IT-Abteilung | Umgesetzt | Backup-Protokoll, Testbericht |
| Nachweisbarkeit | Zentrales Logging | Alle sicherheitsrelevanten Logs der Firewalls und Server werden zentral gesammelt und 90 Tage aufbewahrt. | IT-Sicherheit | In Planung | Projektplan, Konzeptdokument |
Branchen- und größenabhängige Umsetzung von TOMs
Die Angemessenheit von technischen und organisatorischen Maßnahmen hängt stark von der Branche und der Unternehmensgröße ab.
- E-Commerce: Hoher Schutzbedarf bei Zahlungsdaten (PCI-DSS-Konformität), Absicherung von Web-Applikationen gegen Angriffe wie SQL-Injection und Cross-Site-Scripting (XSS).
- Finanzdienstleister: Strenge regulatorische Anforderungen (z. B. BAIT/VAIT), hohe Anforderungen an Integrität und Nachweisbarkeit von Transaktionen, Multi-Faktor-Authentifizierung (MFA) ist oft Pflicht.
- SAP-Umgebungen: Fokus auf komplexe Berechtigungskonzepte (Rollen, Profile), Protokollierung von kritischen Transaktionen und regelmäßige Prüfung von Benutzerberechtigungen.
Mapping zu Standards: ISO 27001, BSI IT-Grundschutz und NIST
Die Ausrichtung Ihrer TOMs an etablierten Standards schafft nicht nur ein höheres Sicherheitsniveau, sondern erleichtert auch Audits und Zertifizierungen. Eine solche Zuordnung zeigt Prüfern, dass Sie systematisch und nach bewährten Methoden vorgehen.
| TOM-Beispiel | ISO 27001 (Annex A) | BSI IT-Grundschutz | NIST Cybersecurity Framework |
|---|---|---|---|
| Rollenbasiertes Zugriffskonzept (RBAC) | A.9.2.3 User access management | ORP.4 Identitäts- und Berechtigungsmanagement | PR.AC-4 Access Permissions |
| Incident-Response-Plan | A.16.1.7 Information security incident management planning and preparation | DER.1 Sicherheitsvorfall-Management | RS.RP-1 Response Plan |
| Netzwerksegmentierung | A.13.1.3 Segregation in networks | NET.1.2 Netzarchitektur und -design | PR.AC-5 Network Integrity |
Ein solches Mapping in Ihrer Dokumentation demonstriert Professionalität und hilft, die Anforderungen verschiedener Regelwerke effizient zu erfüllen. Weitere Informationen finden Sie direkt beim BSI IT-Grundschutz.
DSFA und TOMs: Wann Maßnahmen dokumentiert werden müssen
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSFA analysiert dieses Risiko und beschreibt die „geplanten Abhilfemaßnahmen“. Diese Abhilfemaßnahmen sind nichts anderes als spezifische technische und organisatorische Maßnahmen, die zur Risikominderung implementiert werden müssen. Das Ergebnis der DSFA bestimmt also direkt die Auswahl und den Detaillierungsgrad der zu ergreifenden TOMs.
Messgrößen, Monitoring und Prüfbelege für Audits
Die Wirksamkeit Ihrer TOMs muss überprüfbar sein. Definieren Sie klare Key Performance Indicators (KPIs) und sammeln Sie Prüfbelege.
- KPIs: Beispiele sind „Zeit zur Behebung kritischer Schwachstellen“ (Patch-Management-KPI) oder „Anzahl fehlgeschlagener Login-Versuche pro Stunde“ (Monitoring-KPI).
- Log-Retention und Reporting: Stellen Sie sicher, dass Ihre Log-Management-Prozesse funktionieren und Sie in der Lage sind, auf Anfrage Berichte zu erstellen (z. B. ein Bericht über alle Administrator-Logins der letzten 30 Tage).
- Prüfbelege: Sammeln Sie aktiv Nachweise wie Konfigurationsauszüge, Protokolle von Penetrationstests, Teilnahmebestätigungen von Schulungen oder Protokolle von Berechtigungsprüfungen.
Schritt-für-Schritt-Checkliste zur Implementierung
- Bestandsaufnahme: Identifizieren Sie alle Verarbeitungstätigkeiten und die dabei genutzten IT-Systeme.
- Risikoanalyse: Bewerten Sie die Risiken für Vertraulichkeit, Integrität und Verfügbarkeit für jede Verarbeitungstätigkeit.
- Maßnahmen definieren: Leiten Sie aus der Risikoanalyse konkrete technische und organisatorische Maßnahmen ab. Nutzen Sie Standards wie ISO 27001 oder den BSI IT-Grundschutz als Orientierung.
- TOMs-Matrix erstellen: Dokumentieren Sie alle Maßnahmen in einer zentralen Matrix mit Verantwortlichkeiten und Status.
- Priorisierung: Implementieren Sie zuerst die Maßnahmen, die die größten Risiken adressieren (z. B. Absicherung der externen Schnittstellen, Backups).
- Umsetzung und Dokumentation: Setzen Sie die Maßnahmen um und sammeln Sie die entsprechenden Prüfbelege.
- Regelmäßige Überprüfung: Evaluieren und aktualisieren Sie Ihre TOMs mindestens jährlich oder bei wesentlichen Änderungen an Ihren Systemen oder Prozessen.
Konkrete Richtlinien- und Konfigurationsbeispiele
Um die Dokumentation greifbarer zu machen, helfen konkrete Auszüge aus Policies. Diese dienen als Beleg für die Umsetzung organisatorischer Vorgaben.
Beispiel-Snippet für eine Passwort-Richtlinie:
„Passwörter müssen eine Mindestlänge von 12 Zeichen aufweisen. Sie müssen Zeichen aus mindestens drei der folgenden vier Kategorien enthalten: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Die Wiederverwendung der letzten 5 Passwörter ist untersagt. Eine Multi-Faktor-Authentifizierung (MFA) ist für alle externen Zugriffe und für Administrator-Konten verpflichtend.“
Häufige Fehler und wie Nachweislücken geschlossen werden
- Zu allgemeine Beschreibungen: Statt „Daten werden verschlüsselt“ schreiben Sie „Die Kundendatenbank wird mittels TDE mit AES-256 verschlüsselt“.
- Fehlende Wirksamkeitskontrolle: Eine Maßnahme ist erst dann vollständig, wenn ihre Wirksamkeit regelmäßig überprüft wird (z. B. durch Backup-Tests, Penetrationstests).
- Veraltete Dokumentation: Die TOMs-Dokumentation muss ein lebendes Dokument sein, das bei jeder System- oder Prozessänderung angepasst wird.
- „Copy-and-Paste“-Maßnahmen: Übernommene Standardlisten ohne Anpassung an die tatsächliche Unternehmensumgebung sind wertlos und fallen bei einer Prüfung sofort auf.
Schließen Sie diese Lücken, indem Sie Ihre Dokumentation als Grundlage für regelmäßige interne Audits verwenden. Fragen Sie sich bei jeder Maßnahme: „Wie können wir beweisen, dass dies tatsächlich so umgesetzt ist und funktioniert?“
Anhang: Vorlagen und weiterführende Quellen
Für die praktische Umsetzung sind Vorlagen unerlässlich. Beginnen Sie mit der Erstellung der folgenden Dokumente, die Ihre Datenschutz- und Sicherheitsstrategie untermauern:
- TOMs-Matrix-Vorlage: Eine strukturierte Tabelle (z. B. in Excel oder Confluence), die alle Maßnahmen, Schutzziele, Verantwortlichkeiten und den Status erfasst.
- Risiko-Template: Ein einfaches Formular zur Bewertung von Risiken für Verarbeitungstätigkeiten, das die Grundlage für die Auswahl der TOMs bildet.
- Log-Policy: Ein kurzes Dokument, das festlegt, welche Systeme welche Ereignisse wie lange protokollieren müssen.
Diese Dokumente bilden das Fundament für eine audit-sichere Dokumentation Ihrer technischen und organisatorischen Maßnahmen und zeigen, dass Ihr Unternehmen Datenschutz proaktiv gestaltet.