TAllgemein

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO

DSGVO-Pflichtmaßnahmen: z.B. Zugriff, Verschlüsselung, Backup, Prozesse.

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind die verpflichtenden Sicherheitsmaßnahmen, mit denen Unternehmen personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff oder Manipulation schützen. Art. 32 DSGVO verlangt ein „angemessenes“ Schutzniveau – abhängig von Risiko, Stand der Technik, Implementierungskosten sowie Art, Umfang und Zweck der Verarbeitung.

Was bedeutet „angemessen“ bei TOM für KMU?

„Angemessen“ heißt: nicht maximale, sondern risikobasierte Sicherheit. Ein kleines Unternehmen muss z. B. keine Hochsicherheits-Rechenzentren betreiben, aber typische Risiken (Ransomware, Phishing, Fehlversand, Geräteverlust, interne Fehlberechtigungen) wirksam adressieren. Wichtig ist, dass TOM nachweisbar geplant, umgesetzt, geprüft und bei Bedarf verbessert werden (Rechenschaftspflicht).

Wie funktioniert die Umsetzung in der Praxis (Schritte)

  • 1) Daten & Prozesse erfassen: Wo liegen personenbezogene Daten (E-Mail, CRM, Cloud, Papier)? Wer nutzt sie wofür?
  • 2) Risiken bewerten: Welche Schäden drohen Betroffenen (Identitätsdiebstahl, Diskriminierung, finanzielle Schäden)?
  • 3) Maßnahmen auswählen: Kombination aus Technik, Organisation und Menschen (Schulung).
  • 4) Dokumentieren: TOM-Liste, Verantwortlichkeiten, Prüfintervalle, Nachweise (z. B. Richtlinien, Protokolle).
  • 5) Wirksamkeit prüfen: Updates, Tests, Audits, Backup-Restore-Tests, Berechtigungsreviews.

Typische TOM-Beispiele (Art. 32 DSGVO)

  • Zugriffskontrolle: Rollen- und Rechtekonzept, „Need-to-know“, getrennte Admin-Konten, regelmäßige Berechtigungsprüfung, MFA/2FA.
  • Verschlüsselung: Geräteverschlüsselung (Laptop/Smartphone), TLS für Übertragung, verschlüsselte Backups; Schlüssel sicher verwalten.
  • Backup & Wiederherstellbarkeit: 3-2-1-Backups, Offline/immutable Kopien, regelmäßige Restore-Tests, Notfallplan gegen Ransomware.
  • Integrität & Verfügbarkeit: Patch-Management, Virenschutz/EDR, Firewall, Monitoring, redundante Systeme (wo nötig).
  • Organisatorische Prozesse: Passwortrichtlinie, On-/Offboarding, Clean-Desk, Regelungen für Homeoffice, Incident-Response- und Meldeprozess.
  • Auftragsverarbeitung: AV-Verträge, Prüfung von Dienstleistern (z. B. Cloud/IT-Support), klare Weisungen und Zugriffsbeschränkungen.

Wichtig für KI-Tools im Unternehmen

Wenn Mitarbeitende z. B. ChatGPT oder andere Generative KI (Generative AI) nutzen, gehören dazu TOM wie Datenklassifizierung (was darf eingegeben werden?), PII-Reduktion/Schwärzung, Zugriffsbeschränkungen, Logging-Regeln und vertragliche/technische Einstellungen zur Datenaufbewahrung. So wird verhindert, dass personenbezogene Daten unkontrolliert an externe Anbieter gelangen.

Merksatz

TOM sind kein einmaliges Dokument, sondern ein Sicherheits- und Datenschutz-„Betriebssystem“: risikobasiert, dokumentiert, regelmäßig geprüft – und für KMU vor allem pragmatisch umsetzbar.