Technisch organisatorische Maßnahmen (TOM)

Technisch organisatorische Maßnahmen: Was ist das und wie muss ich TOMs in meinem Unternehmen umsetzen?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(11 Bewertungen, 4.55 von 5)

Das Wichtigste in Kürze

  • Ob Großkonzern, Kleinbetrieb, Freelancer oder Verein: Wer personenbezogene Daten von Dritten verarbeitet, muss sicherstellen, dass diese geschützt werden.
  • Die DSGVO schreibt vor, dass Sie bestimmte technische und organisatorische Maßnahmen – kurz TOM – umsetzen müssen, um für die Sicherheit der Daten zu sorgen.
  • Die Dokumentation der TOMs ist Pflicht: Die konkreten Maßnahmen gehören ins DSGVO-Verarbeitungsverzeichnis.

Worum geht's?

Datensicherheit und Datenschutz sind für alle Unternehmen von entscheidender Bedeutung. Wer in seinem Unternehmen mit sensiblen Informationen arbeitet, muss angemessene Vorkehrungen treffen, um die Daten vor Missbrauch, Manipulation und Verlust zu schützen. Die DSGVO schreibt dafür sogenannte technische und organisatorische Maßnahmen (TOM) vor. Was damit gemeint ist, welche Maßnahmen Sie in Ihrem Unternehmen ergreifen können, um für die Sicherheit der Daten zu sorgen und worauf Sie bei der Umsetzung achten sollten, erklären wir Ihnen jetzt.

 

1. Was sind technische und organisatorische Maßnahmen?

Technische und organisatorische Maßnahmen, oft auch als TOM oder TOMs abgekürzt, sind bestimmte Schritte und Vorkehrungen, die Unternehmen ergreifen müssen, um die Sicherheit von Daten zu gewährleisten. TOMs spielen immer dann eine Rolle, wenn ein Unternehmen personenbezogene Daten verarbeitet. Das können zum Beispiel Bestellinformationen von Kunden, E-Mailadressen für Newsletter, Bankdaten von Mitarbeitern oder Arbeitszeugnisse von Bewerbern sein.

Weil nahezu alle Unternehmen solche personenbezogenen Daten verarbeiten, gilt auch für alle die Datenschutzgrundverordnung (DSGVO). Die Größe des Unternehmens spielt dabei keine Rolle. Ob Freelancer oder Weltkonzern: Jeder muss sich an die Datenschutzvorschriften bei der Verarbeitung halten.

Die DSGVO legt in Art. 25 fest, dass Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gewährleistet werden muss. Dazu gehören auch geeignete technische und organisatorische Maßnahmen, die sich detaillierter im Art. 32 DSGVO finden lassen.

Was gehört zu den technischen und organisatorischen Maßnahmen? 

Technische Maßnahmen umfassen technologische Datenschutzlösungen wie Verschlüsselung, Firewalls, Zugriffskontrollen und Datensicherungen. Organisatorische Maßnahmen beziehen sich auf Prozesse, Richtlinien und Schulungen, die Unternehmen einsetzen können, um für einen sicheren Umgang mit personenbezogenen Daten zu sorgen.

Die Maßnahmen sollen gewährleisten, dass Daten von Kunden, Mitarbeitern, Bewerbern und Geschäftspartnern dem neuesten Stand der Technik nach geschützt sind. So bringt beispielsweise auch eine DSGVO-konforme Datenschutzerklärung wenig, wenn die im Newsletter-Anmeldeformular eingegebenen Daten anschließend ohne Verschlüsselung übertragen werden.

Auch wenn die korrekte Umsetzung TOM zusätzlichen Aufwand bedeutet, profitieren Unternehmen davon: Sie können nicht nur nachweisen, dass sie den rechtlichen Anforderungen der Datenschutz-Grundverordnung entsprechen, sondern zugleich auch das Vertrauen ihrer Kunden in den Schutz ihrer Daten stärken.

2. Welche Maßnahmen zählen zu den TOMs?

Als Unternehmer können Sie unterschiedliche technisch organisatorische Maßnahmen ergreifen, um die Sicherheit der Verarbeitung von personenbezogenen Daten zu gewährleisten.

Beispiele für technische Maßnahmen gemäß DSGVO

Zu den technischen Maßnahmen gehören beispielsweise:

  • Verschlüsselung: Verschlüsselungstechnologien helfen dabei, sensible Daten vor unbefugtem Zugriff zu schützen. Sowohl die Datenübertragung als auch die Speicherung sollten verschlüsselt werden. Personenbezogene Daten sind wo möglich zu pseudonymisieren. Mehr-Faktor-Authentifizierungen und sichere Passwortverfahren sorgen ebenfalls für Datensicherheit.
  • Firewalls: Firewalls sind eine erste Verteidigungslinie gegen unerlaubte Zugriffe auf das Unternehmensnetzwerk. Sie überwachen den Datenverkehr und blockieren potenziell schädliche Aktivitäten. Eine VPN-Verbindung erhöht die Sicherheit bei der Datenübertragung.
  • Zugriffskontrollen: Durch Zugriffskontrollen kann Ihr Unternehmen sicherstellen, dass nur autorisierte Personen auf bestimmte Daten zugreifen können. Dies umfasst die Vergabe von Benutzerkonten, Passwörtern und Berechtigungen. Unbefugte Personen sollten keine Möglichkeit erhalten, sensible Dokumente zu lesen, zu bearbeiten, kopieren oder zu löschen.
  • Zutrittskontrolle: Nicht nur der technische, sondern auch der physische Zugriff auf Daten muss unbefugten Personen verwehrt bleiben – etwa der Zutritt zum Serverraum. Technische Maßnahmen wie Zäune, elektronische Zutrittssysteme oder der kontrollierte Einlass durch einen Pförtner sind hierbei denkbar.
  • Backups: Regelmäßige Datensicherungen sind entscheidend, um im Falle eines Datenverlusts oder einer Beschädigung eine Wiederherstellung zu ermöglichen. Geht z. B. eine Festplatte kaputt und lässt sich nicht reparieren, muss das Unternehmen sicherstellen, dass es von allen betroffenen Daten ein sicheres Backup gibt.

Beispiele für organisatorische Maßnahmen gemäß DSGVO

Organisatorische Maßnahmen umfassen unter anderem:

  • Richtlinien und Verfahren: Unternehmen sollten klare Richtlinien und Verfahren für den Umgang mit Daten entwickeln und sicherstellen, dass alle Mitarbeiter diese verstehen und befolgen. Beispiele sind etwa das Vier-Augen-Prinzip für bestimmte Prüfungen, Vereinbarungen zur privaten Internetnutzung am Arbeitsplatz oder Richtlinien für die Besucheranmeldung im Unternehmen.
  • Schulungen und Sensibilisierung: Durch Schulungen und Workshops können Sie Ihre Mitarbeiter für Datenschutz, Sicherheitspraktiken und die Rechte von Betroffenen sensibilisieren. Informieren Sie Ihre Angestellten über aktuelle Bedrohungen und entwickeln Sie Leitfäden zu sicheren Datenverarbeitungen sowie zur datenschutzkonformen Löschung und Entsorgung dieser Daten.
  • Auftragskontrolle: Verarbeitet Ihr Unternehmen fremde personenbezogene Daten oder haben Sie einen Dienstleister mit der Datenverarbeitung Ihrer Kundendaten beauftragt, liegt eine Auftragsverarbeitung vor. Für diese brauchen Sie laut Datenschutzgrundverordnung einen Auftragsverarbeitungsvertrag, der die Datenverarbeitungen regelt.
  • Risikomanagement: Führen Sie in Ihrem Unternehmen regelmäßige Risikobewertungen durch, um Schwachstellen zu identifizieren und geeignete Maßnahmen zur Risikominimierung zu ergreifen. Durch eine Datenschutz-Folgeabschätzung können Sie einschätzen, wie hoch das Risiko einer Datenschutzverletzung ist, wenn Sie gewisse Prozesse und Technologien einsetzen.

Durch eine Risikoanalyse wissen Sie, was im Falle eines Datenschutzverstoßes passieren könnte. Mit diesem Wissen können Sie leichter entscheiden, welche technischen organisatorischen Maßnahmen für Ihr Unternehmen geeignet sind, um das Risiko einzudämmen. Eine detaillierte Auflistung möglicher TOMs hat das Bayrische Landesamt für Datenschutzaufsicht in einem Best-Practice-Katalog  zusammengestellt.

Sören Siebert
Sören SiebertRechtsanwalt

3. Worauf müssen Unternehmen bei der Umsetzung von TOMs achten?

Im Zuge der Umsetzung der TOM in Ihrem Unternehmen trifft Sie (bzw. die verantwortliche Person) eine erweiterte Dokumentations- und Nachweispflicht. Das heißt, dass Sie sämtliche Maßnahmen, die Sie für den Schutz der Daten einsetzen, in einem DSGVO-Verarbeitungsverzeichnis dokumentieren müssen.

Die Dokumentation ist zum einen wichtig, um die Einhaltung der DSGVO-Vorschriften nachweisen zu können. Zum anderen haben Sie dadurch im Falle einer Datenschutzverletzung einen Überblick über die ergriffenen Maßnahmen.

Wichtig ist auch: Technologien und deren potenzielle Bedrohungen ändern sich ständig.
Sowohl technische als auch organisatorische Maßnahmen müssen geeignet sein, den Schutz der Daten zu gewährleisten. Stellen Sie daher unbedingt sicher, dass die TOMs in Ihrem Unternehmen auf dem neuesten Stand sind und regelmäßig von der zuständigen Stelle (etwa von der IT-Abteilung oder dem DSGVO-Datenschutzbeauftragten) überprüft und aktualisiert werden.

Gut zu wissen: Wer das Thema technisch organisatorische Maßnahmen nicht ernst nimmt, weil keine angemessenen TOMs für Datenschutz und Datensicherheit sorgen oder diese nicht ausreichend dokumentiert werden, muss als Unternehmen mit empfindlichen DSGVO-Bußgeldern rechnen.

Es besteht aber das Verhältnisprinzip: Kosten und Nutzen der eingesetzten Maßnahmen müssen in einem angemessenen Verhältnis zueinanderstehen. Klar ist, dass ein 3-Personen-Betrieb nicht die gleichen Standards in Sachen Datenschutz leisten kann wie ein weltweit tätiger Großkonzern.

4. Checkliste: So setzen Sie technische und organisatorische Maßnahmen DSGVO-konform um

Checkliste
Die folgende Checkliste kann Ihnen dabei helfen, technisch organisatorische Maßnahmen DSGVO-konform umzusetzen:
  • 1. Identifizieren Sie die Datenkategorien und deren Schutzanforderungen.
  • 2. Benennen Sie Verantwortliche im Unternehmen (z. B. Datenschutzbeauftragter, IT-Leiter etc.)
  • 3. Führen Sie regelmäßige Risikobewertungen durch, um potenzielle Schwachstellen zu identifizieren.
  • 4. Wählen Sie angemessene technische Maßnahmen wie Verschlüsselung, Firewalls und Zugriffskontrollen, um den Schutz der Daten und die IT-Sicherheit zu gewährleisten.
  • 5. Setzen Sie organisatorische Maßnahmen wie Richtlinien, Schulungen und Sensibilisierungsmaßnahmen Ihrer Mitarbeiter ein.
  • 6. Stellen Sie eine Liste mit technischen und organisatorischen Maßnahmen zusammen.
  • 7. Sorgen Sie für eine regelmäßige Dokumentation, Überprüfung und Aktualisierung der eingesetzten TOM.
  • 8. Ziehen Sie weitere Ansprechpartner oder Dienstleister wie externe Datenschutzbeauftragte hinzu, wenn Sie bei der konkreten Umsetzung unsicher sind.

Bitte denken Sie jedoch auch an Folgendes: Da die Datenschutz-Grundverordnung in Art. 32 keine konkreten TOMs vorgibt, sind Checklisten, die Sie im Netz finden, immer nur als Beispiel und Orientierung zu verstehen. Welche technischen und organisatorischen Maßnahmen Sie wählen, um personenbezogene Daten zu schützen, ist abhängig von der Tätigkeit und den konkreten Gegebenheiten in Ihrem Unternehmen.

Eine Checkliste kann daher leider nicht ersetzen, dass Sie sich individuell mit den Vorschriften der DSGVO und TOMs auseinandersetzen. Aber keine Sorge: Für alles gibt es Experten. Möchten Sie sicherstellen, dass Ihr Unternehmen in Sachen Datenschutz auf dem neuesten Stand ist, empfiehlt sich ein Datenschutzaudit gemäß DSGVO.

Jetzt Beratung anfordern

Kanzlei Siebert Lexow Lang

Bei der Durchführung des DSGVO-Audits unterstützen Sie die Datenschutzexperten der Kanzlei Siebert Lexow Lang gern. Überlassen Sie uns die Datenschutzprüfung Ihres Unternehmens – und konzentrieren Sie sich ganz auf Ihr Kerngeschäft ohne Sorgen vor einer Datenschutzverletzung.

Jetzt Beratung anfordern

5. FAQ: Häufige Fragen zu TOMs

Wozu dienen technische und organisatorische Maßnahmen?

 

Technische und organisatorische Maßnahmen dienen dazu, personenbezogene Daten zu schützen, beispielsweise vor Cyberangriffen, Missbrauch oder unerlaubter Offenlegung. Gemäß Datenschutzgrundverordnung sind alle Unternehmen, die mit personenbezogenen Daten arbeiten, verpflichtet, für deren bestmöglichen Schutz zu sorgen – unabhängig von der Größe des Unternehmens.

Was versteht man unter organisatorischen Maßnahmen?

 

Unter organisatorischen Maßnahmen versteht man Handlungsanweisungen, Prozesse und Richtlinien in Unternehmen, mit denen der Schutz personenbezogener Daten bei der Verarbeitung gewährleistet werden soll. Das kann etwa eine Schulung der Mitarbeitenden sein, um diese für Sicherheitsfragen zu sensibilisieren.

Welche Maßnahmen fallen unter die TOM?

 

Es gibt eine Vielzahl von Maßnahmen, die zu den TOM zählen. Beispiele für technische Maßnahmen sind etwa Verschlüsselung und Pseudonymisierung von Daten, Zugriffskontrollen durch starke Passwörter und Mehr-Faktor-Authentifizierungen und regelmäßige Backups. Zu den organisatorischen Maßnahmen gehören Richtlinien, Schulungen sowie eindeutige Verantwortlichkeiten, beispielsweise durch die Bestellung eines Datenschutzbeauftragten.

 

 

Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details