Zum Hauptinhalt springen
Datenschutz / DSGVO

Technische und organisatorische Maßnahmen (TOMs)

Schutzmaßnahmen gem. Art. 32 DSGVO, die ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

Technische und organisatorische Maßnahmen (TOMs) sind die konkreten Sicherheitsvorkehrungen, die ein Verantwortlicher oder Auftragsverarbeiter gemäß Art. 32 DSGVO implementieren muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO nennt dabei folgende Maßnahmen beispielhaft: Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit zur dauerhaften Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit zur raschen Wiederherstellung nach einem Zwischenfall.

Der Gesetzgeber verzichtet bewusst auf eine abschließende Liste konkreter Maßnahmen und setzt stattdessen auf das Prinzip der Risikoproportionalität. Bei der Auswahl und Bewertung der TOMs sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere der Risiken zu berücksichtigen. Typische TOMs umfassen technische Maßnahmen wie Firewalls, Zugriffsberechtigungskonzepte und automatische Sperrbildschirme sowie organisatorische Maßnahmen wie Datenschutzschulungen, Geheimhaltungsvereinbarungen und Richtlinien zum Umgang mit mobilen Endgeräten.

Als Compliance Officer verantworten Sie die Dokumentation der TOMs – häufig im Rahmen des AVV als Anlage oder als eigenständiges TOM-Dokument. Dieses Dokument muss regelmäßig überprüft und aktualisiert werden, insbesondere wenn sich die technische Infrastruktur oder die Verarbeitungstätigkeiten ändern. Ein veraltetes TOM-Dokument kann im Falle einer Datenpanne als Versäumnis gewertet werden und die Haftung des Unternehmens erhöhen.

Rechtliche Grundlage

Art. 32 DSGVO

Praxisbeispiel

Ein neuer Cloud-Dienstleister bittet Ihr Unternehmen um Unterzeichnung seines Standard-AVV und legt ein TOM-Dokument bei, das lediglich allgemeine Aussagen über ISO-27001-Zertifizierung enthält. Als Compliance Officer fordern Sie eine detailliertere Beschreibung der konkreten Maßnahmen an: Welche Verschlüsselungsstandards werden eingesetzt? Wie ist das Berechtigungskonzept gestaltet? Welche Maßnahmen existieren zur Erkennung und Reaktion auf Sicherheitsvorfälle? Erst nach Erhalt und Prüfung des überarbeiteten TOM-Dokuments, das diese Fragen beantwortet, erteilen Sie die Freigabe für die Zusammenarbeit mit dem Dienstleister.

Häufige Fragen

TOMs (Technische und organisatorische Maßnahmen) sind konkrete Sicherheitsvorkehrungen, die Unternehmen gemäß Art. 32 DSGVO implementieren müssen, um personenbezogene Daten zu schützen. Dazu zählen technische Maßnahmen wie Verschlüsselung und Zugriffskontrollen sowie organisatorische Maßnahmen wie Schulungen und Richtlinien.
Die DSGVO schreibt keine abschließende Liste vor, sondern fordert ein dem Risiko angemessenes Schutzniveau. Mindestanforderungen sind Maßnahmen zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie ein Prozess zur regelmäßigen Überprüfung und Bewertung der Maßnahmen.
Art. 32 Abs. 1 lit. d DSGVO schreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen vor. In der Praxis empfiehlt sich eine jährliche Überprüfung sowie eine anlassbezogene Aktualisierung bei technischen oder organisatorischen Änderungen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

ISMS (Informationssicherheits-Managementsystem) Risikobewertung (Risk Assessment) Datenschutz-Folgenabschätzung (DSFA) Verarbeitungsverzeichnis (VVT) Sicherheitsvorfall (Security Incident)
Zurück zum Glossar