TAllgemein

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

DSGVO-Pflichtmaßnahmen: z.B. Zugriff, Verschlüsselung, Backup, Prozesse.
1 Aufrufe

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind die verpflichtenden Sicherheitsmaßnahmen, mit denen Unternehmen personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff oder Manipulation schützen. Art. 32 DSGVO verlangt ein „angemessenes“ Schutzniveau – abhängig von Risiko, Stand der Technik, Implementierungskosten sowie Art, Umfang und Zweck der Verarbeitung.

Was bedeutet „angemessen“ bei TOM für KMU?

„Angemessen“ heißt: nicht maximale, sondern risikobasierte Sicherheit. Ein kleines Unternehmen muss z. B. keine Hochsicherheits-Rechenzentren betreiben, aber typische Risiken (Ransomware, Phishing, Fehlversand, Geräteverlust, interne Fehlberechtigungen) wirksam adressieren. Wichtig ist, dass TOM nachweisbar geplant, umgesetzt, geprüft und bei Bedarf verbessert werden (Rechenschaftspflicht).

Wie funktioniert die Umsetzung in der Praxis (Schritte)

  • 1) Daten & Prozesse erfassen: Wo liegen personenbezogene Daten (E-Mail, CRM, Cloud, Papier)? Wer nutzt sie wofür?
  • 2) Risiken bewerten: Welche Schäden drohen Betroffenen (Identitätsdiebstahl, Diskriminierung, finanzielle Schäden)?
  • 3) Maßnahmen auswählen: Kombination aus Technik, Organisation und Menschen (Schulung).
  • 4) Dokumentieren: TOM-Liste, Verantwortlichkeiten, Prüfintervalle, Nachweise (z. B. Richtlinien, Protokolle).
  • 5) Wirksamkeit prüfen: Updates, Tests, Audits, Backup-Restore-Tests, Berechtigungsreviews.

Typische TOM-Beispiele (Art. 32 DSGVO)

  • Zugriffskontrolle: Rollen- und Rechtekonzept, „Need-to-know“, getrennte Admin-Konten, regelmäßige Berechtigungsprüfung, MFA/2FA.
  • Verschlüsselung: Geräteverschlüsselung (Laptop/Smartphone), TLS für Übertragung, verschlüsselte Backups; Schlüssel sicher verwalten.
  • Backup & Wiederherstellbarkeit: 3-2-1-Backups, Offline/immutable Kopien, regelmäßige Restore-Tests, Notfallplan gegen Ransomware.
  • Integrität & Verfügbarkeit: Patch-Management, Virenschutz/EDR, Firewall, Monitoring, redundante Systeme (wo nötig).
  • Organisatorische Prozesse: Passwortrichtlinie, On-/Offboarding, Clean-Desk, Regelungen für Homeoffice, Incident-Response- und Meldeprozess.
  • Auftragsverarbeitung: AV-Verträge, Prüfung von Dienstleistern (z. B. Cloud/IT-Support), klare Weisungen und Zugriffsbeschränkungen.

Wichtig für KI-Tools im Unternehmen

Wenn Mitarbeitende z. B. ChatGPT oder andere Generative KI (Generative AI) nutzen, gehören dazu TOM wie Datenklassifizierung (was darf eingegeben werden?), PII-Reduktion/Schwärzung, Zugriffsbeschränkungen, Logging-Regeln und vertragliche/technische Einstellungen zur Datenaufbewahrung. So wird verhindert, dass personenbezogene Daten unkontrolliert an externe Anbieter gelangen.

Merksatz

TOM sind kein einmaliges Dokument, sondern ein Sicherheits- und Datenschutz-„Betriebssystem“: risikobasiert, dokumentiert, regelmäßig geprüft – und für KMU vor allem pragmatisch umsetzbar.

Zahlen & Fakten

0%
weniger VorfallkostenKMU mit dokumentierten technischen und organisatorischen Maßnahmen wie Zugriffskontrollen, Backups und Verschlüsselung begrenzen die finanziellen Folgen von Sicherheitsvorfällen deutlich besser.
0 von 4
Audit-relevante BasisFür rund drei von vier B2B-Ausschreibungen, Kundenprüfungen oder Datenschutz-Audits sind nachvollziehbare TOM ein zentrales Nachweisdokument für Sicherheits- und Compliance-Reife.
0%
schnellere WiederherstellungUnternehmen mit getesteten Backup-, Berechtigungs- und Notfallprozessen stellen betroffene Systeme im Ernstfall im Schnitt deutlich schneller wieder her als ohne klar definierte TOM.

Anwendungsfälle in der Praxis

HR
Mitarbeiterzugriffe in der Personalverwaltung mit Rollen und 2-Faktor-Anmeldung absichern
Ein KMU richtet für seine HR-Software rollenbasierte Zugriffsrechte ein, sodass nur Personalverantwortliche sensible Mitarbeiterdaten wie Gehälter, Krankmeldungen oder Verträge einsehen können. Ergänzend wird die Anmeldung per 2-Faktor-Authentifizierung abgesichert und der Zugriff regelmäßig überprüft, um unberechtigte Einsicht oder interne Fehlbedienung zu vermeiden.

Bist du bereit für technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du für dein Unternehmen bereits dokumentiert, welche TOM zum Schutz personenbezogener Daten eingesetzt werden?
Sind Zugriffsrechte, Passwörter und Benutzerrollen bei dir klar geregelt und regelmäßig überprüft?
Setzt du technische Schutzmaßnahmen wie Verschlüsselung, Backup und aktuelle Sicherheitsupdates verbindlich ein?
Gibt es feste Prozesse für den Umgang mit Sicherheitsvorfällen, Wiederherstellung und Verfügbarkeit von Daten?
Prüfst und aktualisierst du deine TOM regelmäßig, zum Beispiel bei neuen Tools, Risiken oder gesetzlichen Anforderungen?

Sind deine technischen und organisatorischen Maßnahmen wirklich sauber umgesetzt und dokumentiert?

TOM nach Art. 32 DSGVO sind schnell aufgelistet, aber in der Praxis oft lückenhaft umgesetzt, uneinheitlich dokumentiert oder auf zu viele Tools verteilt. Genau hier hilft dir das Tech-Gutachten: Deine bestehende Tech-Landschaft wird strukturiert analysiert, inklusive genutzter Systeme, Prozesse und möglicher Sicherheitslücken. So erkennst du klar, wo Zugriffe, Backups, Verschlüsselung oder Verantwortlichkeiten nachgeschärft werden müssen. Am Ende hast du eine fundierte Grundlage, um deine Maßnahmen nicht nur zu kennen, sondern auch sauber umzusetzen.

Häufig gestellte Fragen

Was ist Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO?
TOM sind verpflichtende Sicherheitsmaßnahmen, mit denen personenbezogene Daten vor unbefugtem Zugriff, Verlust und Manipulation geschützt werden. Art. 32 DSGVO verlangt ein angemessenes, risikobasiertes Schutzniveau und die Dokumentation der Umsetzung.