TOMs nach DSGVO: Leitfaden für Unternehmen und Umsetzung

TOMs nach DSGVO: Leitfaden für Unternehmen und Umsetzung

Inhaltsverzeichnis

Was sind Technisch-organisatorische Maßnahmen (TOM)?

Technisch-organisatorische Maßnahmen, oft als TOMs abgekürzt, sind die konkreten Sicherheitsvorkehrungen, die ein Unternehmen ergreift, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Veränderung zu schützen. Sie bilden das Herzstück des operativen Datenschutzes und der Datensicherheit. Wie der Name schon sagt, unterteilen sie sich in zwei Bereiche:

  • Technische Maßnahmen: Hierbei handelt es sich um alle physischen und digitalen Sicherheitslösungen. Beispiele sind Firewalls, Verschlüsselungstechnologien, Alarmanlagen oder sichere Passwortrichtlinien.
  • Organisatorische Maßnahmen: Diese umfassen alle Regelungen, Prozesse und Anweisungen, die den Umgang mit Daten im Unternehmen steuern. Dazu gehören Datenschutzschulungen für Mitarbeitende, die Erstellung von Richtlinien, die Vergabe von Zugriffsrechten oder die sorgfältige Auswahl von Dienstleistern.

Das Ziel der technisch-organisatorischen Maßnahmen ist es, ein angemessenes Schutzniveau für die verarbeiteten personenbezogenen Daten zu gewährleisten. Sie sind keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess, der regelmäßig überprüft und an neue Risiken und technologische Entwicklungen angepasst werden muss.

Die rechtliche Grundlage: TOMs in der DSGVO

Die Verpflichtung zur Umsetzung von technisch-organisatorischen Maßnahmen ist fest in der Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch) verankert. Der zentrale Artikel hierfür ist Artikel 32 DSGVO – Sicherheit der Verarbeitung.

Dieser Artikel verpflichtet Verantwortliche und Auftragsverarbeiter dazu, geeignete technisch-organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Bei der Auswahl der Maßnahmen sollen laut DSGVO folgende Aspekte berücksichtigt werden:

  • Der Stand der Technik: Die eingesetzten Technologien und Verfahren müssen aktuell und erprobt sein. Was gestern sicher war, kann heute bereits veraltet sein.
  • Die Implementierungskosten: Die Maßnahmen müssen wirtschaftlich vertretbar sein. Ein kleines Start-up muss nicht die gleichen teuren Systeme implementieren wie ein internationaler Konzern.
  • Art, Umfang, Umstände und Zwecke der Verarbeitung: Die Art der verarbeiteten Daten (z.B. Gesundheitsdaten vs. Adressdaten) und der Verarbeitungsprozess selbst bestimmen die notwendigen Schutzmaßnahmen.
  • Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Artikel 32 nennt beispielhaft Maßnahmen wie die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der technisch-organisatorischen Maßnahmen. Weitere relevante Artikel sind Art. 24 (Verantwortung des für die Verarbeitung Verantwortlichen) und Art. 25 (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen).

Kategorien von TOMs: Ein umfassender Überblick

Um die Komplexität der technisch-organisatorischen Maßnahmen zu strukturieren, hat sich in der Praxis eine Unterteilung in acht Kontrollbereiche etabliert. Diese helfen Unternehmen, alle relevanten Aspekte der Datensicherheit systematisch abzudecken.

Zutrittskontrolle

Die Zutrittskontrolle verhindert den physischen Zutritt Unbefugter zu den Datenverarbeitungsanlagen. Es geht also darum, Gebäude und Räume zu sichern.

  • Beispiele: Schlüsselregelungen, Alarmanlagen, Videoüberwachung des Eingangsbereichs, Sicherheitspersonal, elektronische Schließsysteme mit Chipkarten, Besucherregistrierung.

Zugangskontrolle

Die Zugangskontrolle soll verhindern, dass Unbefugte die IT-Systeme nutzen können. Hierbei geht es um den Schutz vor unberechtigtem digitalen Zugriff.

  • Beispiele: Sichere und komplexe Passwörter (mit regelmäßiger Änderungspflicht), Zwei-Faktor-Authentifizierung (2FA), automatische Bildschirmsperren, biometrische Verfahren (z.B. Fingerabdruckscanner).

Zugriffskontrolle

Die Zugriffskontrolle stellt sicher, dass Nutzer nur auf die Daten zugreifen können, für die sie eine Berechtigung haben. Dies folgt dem “Need-to-know”-Prinzip.

  • Beispiele: Detaillierte Berechtigungskonzepte (Rollen und Rechte), Verschlüsselung von Festplatten und Datenbanken, Verwaltung von Administratorrechten, Protokollierung von Datenzugriffen.

Weitergabekontrolle

Diese Maßnahme gewährleistet, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  • Beispiele: Verschlüsselung von E-Mails (z.B. PGP oder S/MIME), Einsatz von Virtual Private Networks (VPN), sichere Datenübertragungsprotokolle (z.B. HTTPS, SFTP), Richtlinien zur Nutzung mobiler Datenträger (z.B. USB-Sticks).

Eingabekontrolle

Die Eingabekontrolle dient der Nachvollziehbarkeit. Es muss nachträglich überprüft werden können, wer wann welche personenbezogenen Daten in die Systeme eingegeben, verändert oder entfernt hat.

  • Beispiele: Lückenlose Protokollierung (Logging) von Eingaben, Änderungen und Löschungen, eindeutige Benutzerkennungen (keine Sammel-Accounts), Versionierung von Datensätzen.

Auftragskontrolle

Diese Kontrolle stellt sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden (z.B. durch einen Cloud-Anbieter oder eine externe Lohnbuchhaltung), nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

  • Beispiele: Sorgfältige Auswahl des Dienstleisters, Abschluss eines rechtssicheren Auftragsverarbeitungsvertrags (AVV) gemäß Art. 28 DSGVO, regelmäßige Kontrollen und Audits des Auftragnehmers, klare Weisungsregelungen.

Verfügbarkeitskontrolle

Die Verfügbarkeitskontrolle schützt personenbezogene Daten vor zufälliger Zerstörung oder Verlust. Die Daten müssen jederzeit verfügbar und die Systeme belastbar sein.

  • Beispiele: Regelmäßige und getestete Datensicherungen (Backups), Einsatz von Antivirensoftware und Firewalls, unterbrechungsfreie Stromversorgung (USV), redundante Systemauslegung, Notfallpläne.

Trennungskontrolle

Die Trennungskontrolle, auch Trennungsgebot genannt, stellt sicher, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden. Dies verhindert eine unzulässige Vermischung von Datenbeständen.

  • Beispiele: Logische Mandantentrennung in Datenbanken, Nutzung separater Systeme für verschiedene Zwecke (z.B. Personal- vs. Kundendaten), klare Trennung von Produktiv- und Testsystemen.

Praktische Umsetzung: Schritte zur Implementierung von TOMs

Die Implementierung wirksamer technisch-organisatorischer Maßnahmen ist kein Projekt mit einem festen Ende, sondern ein strategischer Prozess. Die folgenden vier Schritte helfen Ihnen bei der systematischen Umsetzung:

  1. Risikoanalyse und Schutzbedarfsfeststellung: Identifizieren Sie zunächst, welche personenbezogenen Daten Sie wo und zu welchem Zweck verarbeiten. Bewerten Sie anschließend die Risiken für diese Daten (z.B. Diebstahl, unbefugter Zugriff, Verlust). Je sensibler die Daten, desto höher ist der Schutzbedarf und desto strenger müssen die Maßnahmen sein.
  2. Auswahl geeigneter Maßnahmen: Wählen Sie auf Basis Ihrer Risikoanalyse für jeden der acht Kontrollbereiche die passenden technisch-organisatorischen Maßnahmen aus. Berücksichtigen Sie dabei den Stand der Technik und die Verhältnismäßigkeit. Dokumentieren Sie, warum Sie sich für eine bestimmte Maßnahme entschieden haben.
  3. Implementierung und technische Umsetzung: Setzen Sie die ausgewählten Maßnahmen konkret um. Dies kann die Konfiguration von Software, die Anschaffung von Hardware, die Anpassung von Prozessen oder die Schulung von Mitarbeitenden umfassen.
  4. Regelmäßige Überprüfung und Anpassung: Die Bedrohungslage und die Technologie ändern sich ständig. Überprüfen Sie daher die Wirksamkeit Ihrer TOMs mindestens einmal jährlich und passen Sie sie bei Bedarf an. In Ihrer Datenschutzstrategie für 2026 und die Folgejahre sollte dieser Prüfzyklus fest verankert sein.

Dokumentation von TOMs: Warum sie entscheidend ist

Die beste Sicherheitsmaßnahme ist nutzlos, wenn Sie ihre Existenz und Funktionsweise im Ernstfall nicht nachweisen können. Die Dokumentation Ihrer technisch-organisatorischen Maßnahmen ist ein zentraler Bestandteil der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Gegenüber Aufsichtsbehörden, wie dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), müssen Sie jederzeit belegen können, dass Sie die Vorgaben der Verordnung (EU) 2016/679 (DSGVO) einhalten.

Eine gute Dokumentation sollte für jede Maßnahme mindestens folgende Punkte enthalten:

  • Eine klare Beschreibung der Maßnahme.
  • Den Verantwortlichen für die Umsetzung und Kontrolle.
  • Den aktuellen Implementierungsstatus.
  • Das Datum der letzten Überprüfung und das Datum der nächsten geplanten Prüfung.

Diese Dokumentation ist nicht nur für Audits wichtig, sondern auch eine wertvolle interne Ressource. Sie schafft Transparenz und hilft dabei, das Datenschutzniveau im Unternehmen kontinuierlich zu verbessern.

Häufige Fehler bei der Umsetzung von TOMs und wie man sie vermeidet

Bei der Implementierung von technisch-organisatorischen Maßnahmen treten in der Praxis immer wieder dieselben Fehler auf. Wenn Sie diese kennen, können Sie sie proaktiv vermeiden.

  • Fehler 1: “Einmal eingerichtet, nie wieder angesehen”: Viele Unternehmen definieren ihre TOMs einmal und überprüfen sie dann jahrelang nicht. Lösung: Planen Sie feste, regelmäßige Audits und Überprüfungen Ihrer Maßnahmen und passen Sie diese an neue Technologien und Bedrohungen an.
  • Fehler 2: Einheitslösungen (“One-size-fits-all”): Es wird versucht, eine Standardvorlage für TOMs auf das eigene Unternehmen zu übertragen, ohne die individuellen Risiken zu berücksichtigen. Lösung: Führen Sie immer eine individuelle Risikoanalyse durch. Die Maßnahmen müssen zu Ihren spezifischen Verarbeitungstätigkeiten passen.
  • Fehler 3: Mangelhafte oder fehlende Dokumentation: Maßnahmen werden zwar umgesetzt, aber nicht sauber dokumentiert. Lösung: Führen Sie von Anfang an eine strukturierte Dokumentation. Denken Sie daran: Was nicht dokumentiert ist, existiert für eine Aufsichtsbehörde nicht.
  • Fehler 4: Der Faktor Mensch wird ignoriert: Die beste Technik nützt nichts, wenn Mitarbeitende nicht im sicheren Umgang mit Daten geschult sind. Lösung: Investieren Sie in regelmäßige Datenschutzschulungen und schaffen Sie ein Bewusstsein für Datensicherheit im gesamten Unternehmen.

Die Rolle von MUNAS Consulting bei der Beratung zu TOMs

Die korrekte Definition, Implementierung und Dokumentation von technisch-organisatorischen Maßnahmen kann komplex und zeitaufwendig sein. Gerade für kleine und mittelständische Unternehmen stellt dies oft eine große Herausforderung dar. Hier kommt MUNAS Consulting ins Spiel.

Als erfahrene Experten im Bereich Datenschutz und Datensicherheit unterstützen wir Sie umfassend bei der Entwicklung eines maßgeschneiderten und rechtssicheren Schutzkonzepts. Unser Leistungsangebot umfasst:

  • Analyse und Bewertung Ihres aktuellen Schutzbedarfs und Ihrer bestehenden Maßnahmen.
  • Entwicklung eines praxistauglichen Konzepts für Ihre individuellen technisch-organisatorischen Maßnahmen.
  • Unterstützung bei der Implementierung der ausgewählten Maßnahmen in Ihre Unternehmensprozesse.
  • Erstellung einer revisionssicheren Dokumentation, die den Anforderungen der DSGVO standhält.
  • Durchführung von Schulungen, um Ihre Mitarbeitenden für Datenschutzthemen zu sensibilisieren.

Sichern Sie Ihr Unternehmen nachhaltig ab und vermeiden Sie empfindliche Bußgelder. Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wie wir Ihnen helfen können. Besuchen Sie unsere Webseite unter https://www.munas.de.

Fazit: TOMs als Fundament des Datenschutzes

Technisch-organisatorische Maßnahmen sind weit mehr als nur eine lästige Pflicht aus der DSGVO. Sie sind das operative Fundament, auf dem der Schutz personenbezogener Daten in Ihrem Unternehmen ruht. Ein gut durchdachtes und konsequent umgesetztes TOM-Konzept schützt nicht nur vor Datenpannen und Bußgeldern, sondern stärkt auch das Vertrauen Ihrer Kunden, Partner und Mitarbeitenden.

Betrachten Sie die Umsetzung von TOMs als eine Investition in die Sicherheit und Zukunftsfähigkeit Ihres Unternehmens. Ein proaktiver und systematischer Ansatz zur Datensicherheit ist in der heutigen digitalen Welt ein entscheidender Wettbewerbsvorteil.

Weitere relevante Inhalte