kostenlos starten

Technische und organisatorische Maßnahmen: Ein Überblick 

Technische und organisatorische Maßnahmen nach DSGVO sind entscheidend, um personenbezogene Daten wirksam zu schützen. Denn Daten zählen heute zu den wertvollsten Ressourcen – nicht nur für große Unternehmen, sondern auch für kleine Betriebe, Vereine und öffentliche Einrichtungen. Gleichzeitig steigen die Risiken: Cyberangriffe, Datenpannen und menschliche Fehler können schwerwiegende Folgen haben.

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet daher alle Verantwortlichen, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um personenbezogene Daten zu schützen.  

Gemäß Art. 32 DSGVO müssen die Maßnahmen ein Schutzniveau bieten, das dem jeweiligen Risiko angemessen ist. Entscheidend ist eine individuelle Risikobewertung sowie die kontinuierliche Anpassung an neue Bedrohungslagen. In diesem Beitrag erfahren Sie, was unter TOM zu verstehen ist, welche Anforderungen die DSGVO stellt und wie sie praktisch umgesetzt werden können. 

Ist Ihr Unternehmen schon DSGVO-konform aufgestellt? Mit // PRIMA gestalten Sie Ihr Datenschutz-Management einfach, klar und immer gesetzeskonform – dank automatischer Updates stets auf dem neuesten Stand – entwickelt von Datenschutzexperten. Jetzt 14 Tage Gratis-Demo sichern! 
kostenlos starten!

Was sind technische und organisatorische Maßnahmen (TOM) gemäß DSGVO?

Technische und organisatorische Maßnahmen (TOM) sind Schutzvorkehrungen, mit denen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch gesichert werden sollen. Die Grundlage dafür ist Art. 32 Abs. 1 DSGVO, der insbesondere folgende Aspekte nennt: 

  • Stand der Technik, 
  • Implementierungskosten, 
  • Art, Umfang, Umstände und Zwecke der Verarbeitung, 
  • sowie Risiken für die Rechte und Freiheiten betroffener Personen. 

TOM unterteilen sich in: 

  • Technische Maßnahmen, wie Verschlüsselung, Firewalls oder Zugangskontrollen, 
  • Organisatorische Maßnahmen, wie Schulungen, interne Richtlinien oder Zugriffsregelungen. 

Je höher das Risiko der Verarbeitung, desto umfassender und strenger müssen die Maßnahmen ausgestaltet sein. Besonders bei sensiblen Daten – etwa Gesundheits- oder Finanzdaten – sind erweiterte Schutzvorkehrungen zwingend erforderlich. 

Wichtig: Maßnahmen dürfen nicht einmalig festgelegt werden. Verantwortliche müssen sie regelmäßig überprüfen und bei veränderten Risiken anpassen. 

Beispiele für technische Maßnahmen 

Technische Maßnahmen dienen dem Schutz personenbezogener Daten durch gezielte technische Vorkehrungen. Art. 32 Abs. 1 lit. a DSGVO nennt konkrete Beispiele: 

  • Verschlüsselung schützt Daten bei Übertragung und Speicherung und verhindert unbefugten Zugriff. 
  • Pseudonymisierung reduziert Risiken, indem personenbezogene Daten ohne zusätzliche Informationen keiner Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). 
  • Zugangskontrollen (z. B. Passwortschutz, Zwei-Faktor-Authentifizierung, rollenbasierte Rechtevergabe) sichern den Zugriff auf personenbezogene Daten. 
  • Firewalls und Antivirensoftware schützen Systeme und Netzwerke vor Schadprogrammen und unbefugtem Zugriff. 
  • Regelmäßige Software-Updates und Patches schließen bekannte Sicherheitslücken und erhalten die IT-Sicherheit. 

Beispiele für organisatorische Maßnahmen 

Organisatorische Maßnahmen ergänzen die Technik, indem sie interne Prozesse und Verhaltensregeln steuern: 

  • Schulungen und Sensibilisierung der Mitarbeitenden fördern Datenschutzbewusstsein und verhindern Fehler. 
  • Berechtigungskonzepte regeln den Datenzugriff nach dem Need-to-know-Prinzip. 
  • Datenschutzrichtlinien und klare Anweisungen schaffen verbindliche Regeln zum sicheren Umgang mit Daten. 
  • Notfallkonzepte und Backup-Strategien sorgen für schnelle Wiederherstellung bei Datenverlust oder IT-Ausfällen. 
  • Datenschutzfreundliche Voreinstellungen (Privacy by Default) stellen sicher, dass Systeme standardmäßig datensparsam arbeiten (Art. 25 Abs. 2 DSGVO). 
Laden Sie sich jetzt unsere kostenlose TOM-Checkliste herunter und dokumentieren Sie jetzt ihre Schutzmaßnahmen!
TOM Checkliste

Warum sind technische und organisatorische Maßnahmen nach DSGVO so wichtig? 

TOM sind der zentrale Baustein eines wirksamen Datenschutzkonzepts. Sie schützen nicht nur personenbezogene Daten, sondern auch Organisationen selbst vor rechtlichen, finanziellen und reputativen Schäden. 

Schutz der Rechte und Freiheiten betroffener Personen 

Die DSGVO schützt die Rechte natürlicher Personen. Werden personenbezogene Daten nicht ausreichend gesichert, drohen gravierende Folgen für die Betroffenen – etwa Identitätsdiebstahl, Diskriminierung oder wirtschaftlicher Schaden. 

Vermeidung von Datenschutzverletzungen 

Gemäß Art. 4 Nr. 12 DSGVO liegt eine Datenschutzverletzung vor, wenn es zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten kommt. TOM sollen genau solche Vorfälle verhindern oder deren Folgen minimieren. 

Minimierung von Bußgeldern und Reputationsschäden 

Verstöße gegen die Pflichten aus Art. 32 DSGVO können erhebliche Bußgelder nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 und 5 DSGVO). Zudem drohen langfristige Schäden für das Vertrauen von Kunden, Partnern und Mitarbeitenden. 

Pflicht zur kontinuierlichen Anpassung 

TOM müssen stetig an neue Bedrohungslagen und technische Entwicklungen angepasst werden. Cyberangriffe, neue Angriffsmethoden oder organisatorische Veränderungen erfordern eine regelmäßige Überprüfung und Aktualisierung der Schutzmaßnahmen. 

Auswahl von technischen und organisatorischen Maßnahmen DSGVO-konform gestalten 

Die DSGVO gibt keine abschließende Liste von Schutzmaßnahmen vor. Stattdessen müssen Organisationen individuell prüfen, welche Maßnahmen erforderlich sind.  
Maßgeblich sind dabei: 

Risikoabschätzung 

Eine fundierte Risikoabschätzung ist die Grundlage jeder Auswahl. Sie bewertet Eintrittswahrscheinlichkeit und mögliche Auswirkungen von Datenschutzverletzungen. 

Stand der Technik  

Maßnahmen müssen dem aktuellen Stand der Technik entsprechen. Veraltete Systeme oder schwache Verschlüsselungen erfüllen die Anforderungen der DSGVO nicht. 

Implementierungskosten 

Wirtschaftliche Überlegungen dürfen berücksichtigt werden, dürfen aber nicht dazu führen, dass notwendige Schutzmaßnahmen unterbleiben. 

Art, Umfang und Zweck der Verarbeitung 

Je sensibler die Daten oder je größer das Datenvolumen, desto höher sind die Anforderungen an die TOM. Verarbeitungsvorgänge müssen immer im Einzelfall betrachtet werden. 

Sicherheit der Datenverarbeitung: Das sind die Anforderungen der DSGVO 

Art. 32 DSGVO fordert, dass Organisationen vier Schutzziele sicherstellen: 

  • Vertraulichkeit: Schutz vor unbefugtem Zugriff (z. B. durch Zugangskontrollen, Verschlüsselung). 
  • Integrität: Schutz vor unbefugter Veränderung oder Verlust (z. B. durch Prüfsummen oder Versionierung). 
  • Verfügbarkeit: Sicherstellung, dass Daten bei Bedarf zugänglich sind (z. B. durch Backups und Ausfallsicherungen). 
  • Belastbarkeit: Systeme müssen auch bei hoher Last oder nach Störungen funktionsfähig bleiben. 

Zusätzlich verlangt die DSGVO regelmäßige Überprüfung und Anpassung der Schutzmaßnahmen, um neue Risiken rechtzeitig zu erkennen. 

Besonderheiten für kleine Unternehmen, Vereine und ehrenamtliche Organisationen 

Die DSGVO gilt unabhängig von der Größe der Organisation. Allerdings dürfen kleine Organisationen den Grundsatz der Verhältnismäßigkeit nutzen: 

  • Maßnahmen müssen dem konkreten Risiko angemessen sein. 
  • Basisschutz wie sichere Passwörter, regelmäßige Updates, Sensibilisierung der Mitarbeitenden und verschlüsselte Kommunikation ist Pflicht. 

Auch kleine Organisationen müssen ihre Maßnahmen dokumentieren, um sie bei Bedarf gegenüber Behörden nachweisen zu können. 

Ein schrittweises Vorgehen hilft: 

  • Risiken analysieren, 
  • bestehende Maßnahmen erfassen, 
  • Schutz verbessern, 
  • Maßnahmen regelmäßig überprüfen. 

Folgen unzureichender technischer und organisatorischer Maßnahmen 

Wer keine angemessenen TOM trifft, riskiert erhebliche Folgen: 

  • Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes (Art. 83 Abs. 4 und 5 DSGVO). 
  • Reputationsverluste, wenn Datenschutzvorfälle öffentlich werden. 
  • Haftungsansprüche von betroffenen Personen auf Schadenersatz (Art. 82 DSGVO). 
  • Behördliche Anordnungen, wie Untersagung von Verarbeitungen oder Auflagen. 

Ein fehlendes Budget oder geringe Ressourcen entbinden nicht von der Pflicht zur Umsetzung angemessener Schutzmaßnahmen. 

Fazit 

Technische und organisatorische Maßnahmen sind entscheidend für einen wirksamen Datenschutz. Sie müssen risikobasiert ausgewählt, umgesetzt und laufend an neue Bedrohungen angepasst werden. Nur wer Datenschutz aktiv gestaltet, schützt nicht nur sensible Daten, sondern auch die eigene Organisation vor Bußgeldern, Reputationsverlust und Vertrauensschäden. 

Vermeiden Sie Bußgelder durch unzureichende technische und organisatorische Maßnahmen. // PRIMA bietet Ihnen die strukturierte Dokumentation Ihrer TOM. Jetzt 14 Tage kostenlos ausprobieren und Datenschutz richtig umsetzen! 

Buchen Sie jetzt ihr persönliches Beratungsgespräch!

Jetzt Termin buchen

Weitere Beiträge

Technische und organisatorische Maßnahmen: Ein Überblick 

Technische und organisatorische Maßnahmen nach DSGVO sind entscheidend, um personenbezogene Daten wirksam zu schützen.

Sicherheit im Unternehmen: Die Wichtigkeit von Mitarbeiterschulungen

Erfahren Sie mehr über die Wichtigkeit von regelmäßigen Mitarbeiterschulungen und warum Schulungen zu Datenschutz,

KI-Verordnung der EU: Unternehmen müssen handeln!

Am 1. August 2024 ist die neue KI-Verordnung (KI-VO) in Kraft getreten und bringt
Anschaffung von Software

Augen auf beim Software Kauf (und Miete): Diese Anforderungen muss deine Software erfüllen

Software ist das Rückgrat jedes modernen Unternehmens. Software bildet praktisch jeden Unternehmensprozess ab. Angefangen

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für

Process Data Subject Requests Efficiently and GDPR-Compliant

Betroffenenanfragen auf Knopfdruck beantworten

Ein wichtiger Bestandteil des Datenschutzes ist der korrekte Umgang mit Anfragen betroffener Personen. Diese

Den richtigen Datenschutzbeauftragten auswählen und bestellen – So geht’s

Ein Datenschutzbeauftragter spielt eine entscheidende Rolle in deiner Datenschutz-Organisation und begleitet dein Unternehmen oft

Umsetzung von Löschpflichten mit Muster Löschkonzept

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024