kostenlos starten

TOM Datenschutz: Diese technischen und organisatorischen Maßnahmen musst du kennen

Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden – auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.

Bedeutung von TOM im Datenschutz

Wenn es um Datenschutz nach DSGVO geht, sind technische und organisatorische Maßnahmen – kurz TOM – ein zentrales Thema. In diesem Artikel erfährst du, was unter TOM im Datenschutz verstanden wird, warum sie wichtig sind und wie du sie richtig umsetzt.

Technische und organisatorische Maßnahmen (TOM) im Datenschutz sind entscheidend, um personenbezogene Daten wirksam zu schützen. Denn Daten zählen heute zu den wertvollsten Ressourcen – nicht nur für große Unternehmen, sondern auch für kleine Betriebe, Vereine und öffentliche Einrichtungen. Gleichzeitig steigen die Risiken: Cyberangriffe, Datenpannen und menschliche Fehler können schwerwiegende Folgen haben.

Gesetzliche Grundlage (Art. 32, 24, 25, BDSG §64)

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet daher alle Verantwortlichen, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, um personenbezogene Daten zu schützen.  

Gemäß Art. 32 DSGVO müssen die Maßnahmen ein Schutzniveau bieten, das dem jeweiligen Risiko angemessen ist. Entscheidend ist eine individuelle Risikobewertung sowie die kontinuierliche Anpassung an neue Bedrohungslagen. In diesem Beitrag erfahren Sie, was unter TOM im Datenschutz-Kontext zu verstehen ist, welche Anforderungen die DSGVO stellt und wie sie praktisch umgesetzt werden können. 

Ist Ihr Unternehmen schon DSGVO-konform aufgestellt? Mit // PRIMA gestalten Sie Ihr Datenschutz-Management einfach, klar und immer gesetzeskonform – dank automatischer Updates stets auf dem neuesten Stand – entwickelt von Datenschutzexperten. Jetzt 14 Tage Gratis-Zugang sichern! 
kostenlos starten!

Technische und organisatorische Maßnahmen (TOM) sind Schutzvorkehrungen, mit denen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Missbrauch gesichert werden sollen. Die Grundlage dafür ist Art. 32 Abs. 1 DSGVO, der insbesondere folgende Aspekte nennt: 

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • sowie Risiken für die Rechte und Freiheiten betroffener Personen. 

TOM unterteilen sich in: 

  • Technische Maßnahmen, wie Verschlüsselung, Firewalls oder Zugangskontrollen, 
  • Organisatorische Maßnahmen, wie Schulungen, interne Richtlinien oder Zugriffsregelungen. 

Je höher das Risiko der Verarbeitung, desto umfassender und strenger müssen die Maßnahmen ausgestaltet sein. Besonders bei sensiblen Daten – etwa Gesundheits- oder Finanzdaten – sind erweiterte Schutzvorkehrungen zwingend erforderlich. 

Wichtig: Maßnahmen dürfen nicht einmalig festgelegt werden. Verantwortliche müssen sie regelmäßig überprüfen und bei veränderten Risiken anpassen. 

Technische Maßnahmen 

Technische Maßnahmen dienen dem Schutz personenbezogener Daten durch gezielte technische Vorkehrungen. Art. 32 Abs. 1 lit. a DSGVO nennt konkrete Beispiele: 

  • Verschlüsselung schützt Daten bei Übertragung und Speicherung und verhindert unbefugten Zugriff. 
  • Pseudonymisierung reduziert Risiken, indem personenbezogene Daten ohne zusätzliche Informationen keiner Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). 
  • Zugangskontrollen (z. B. Passwortschutz, Zwei-Faktor-Authentifizierung, rollenbasierte Rechtevergabe) sichern den Zugriff auf personenbezogene Daten. 
  • Firewalls und Antivirensoftware schützen Systeme und Netzwerke vor Schadprogrammen und unbefugtem Zugriff. 
  • Regelmäßige Software-Updates und Patches schließen bekannte Sicherheitslücken und erhalten die IT-Sicherheit. 

Organisatorische Maßnahmen 

Organisatorische Maßnahmen ergänzen die Technik, indem sie interne Prozesse und Verhaltensregeln steuern: 

  • Schulungen und Sensibilisierung der Mitarbeitenden fördern Datenschutzbewusstsein und verhindern Fehler. 
  • Berechtigungskonzepte regeln den Datenzugriff nach dem Need-to-know-Prinzip. 
  • Datenschutzrichtlinien und klare Anweisungen schaffen verbindliche Regeln zum sicheren Umgang mit Daten. 
  • Notfallkonzepte und Backup-Strategien sorgen für schnelle Wiederherstellung bei Datenverlust oder IT-Ausfällen. 
  • Datenschutzfreundliche Voreinstellungen (Privacy by Default) stellen sicher, dass Systeme standardmäßig datensparsam arbeiten (Art. 25 Abs. 2 DSGVO). 
Laden Sie sich jetzt unsere kostenlose TOM-Checkliste herunter und dokumentieren Sie jetzt ihre Schutzmaßnahmen!
TOM Checkliste

Wie lässt sich der Datenschutz durch TOM verbessern?

  • Zutrittskontrolle: Verhindern den unkontrollierten Zugang zu Orten, in denen sich IT-Systemen befinden.
  • Zugangskontrolle: Stellt sicher, dass nachvollzogen werden kann, wer Zugang zu IT-Systemen hatte.
  • Zugriffskontrolle: Beschränkter stellt sicher, dass nur für autorisierte Personen auf personenbezogene Daten zugreifen können.
  • Weitergabekontrolle: Schutz der Daten während der Übertragung.
  • Eingabekontrolle: Stellt sicher, dass jeder Dateneingabe nachvollzogen werden kann.
  • Auftragskontrolle: Stellt sicher, dass Auftragnehmer nur in kontrollierter Weise mit personenbezogenen Daten umgehen.
  • Verfügbarkeitskontrolle: Stellt sicher, dass personenbezogene Daten verfügbar sind und nicht bei IT-Fehlern nicht dauerhaft verloren gehen.
  • Trennungsgebot: Stellt sicher, dass personenbezogenen Daten für verschiedene Zwecke getrennt verarbeitet werden.

Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.

Warum sind technische und organisatorische Maßnahmen (TOM) im Datenschutz wichtig? 

Ziel der TOM ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.

TOM sind der zentrale Baustein eines wirksamen Datenschutzkonzepts. Sie schützen nicht nur personenbezogene Daten, sondern auch Organisationen selbst vor rechtlichen, finanziellen und reputativen Schäden. 

Schutz der Rechte und Freiheiten betroffener Personen 

Die DSGVO schützt die Rechte natürlicher Personen. Werden personenbezogene Daten nicht ausreichend gesichert, drohen gravierende Folgen für die Betroffenen – etwa Identitätsdiebstahl, Diskriminierung oder wirtschaftlicher Schaden. 

Vermeidung von Datenschutzverletzungen 

Gemäß Art. 4 Nr. 12 DSGVO liegt eine Datenschutzverletzung vor, wenn es zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten kommt. TOM sollen genau solche Vorfälle verhindern oder deren Folgen minimieren. 

Minimierung von Bußgeldern und Reputationsschäden 

Verstöße gegen die Pflichten aus Art. 32 DSGVO können erhebliche Bußgelder nach sich ziehen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 und 5 DSGVO). Zudem drohen langfristige Schäden für das Vertrauen von Kunden, Partnern und Mitarbeitenden. 

Pflicht zur kontinuierlichen Anpassung 

TOM müssen stetig an neue Bedrohungslagen und technische Entwicklungen angepasst werden. Cyberangriffe, neue Angriffsmethoden oder organisatorische Veränderungen erfordern eine regelmäßige Überprüfung und Aktualisierung der Schutzmaßnahmen. 

Risikoanalyse und angemessenes Schutzniveau für TOM im Datenschutz

Die DSGVO gibt keine abschließende Liste von Schutzmaßnahmen vor. Stattdessen müssen Organisationen individuell prüfen, welche Maßnahmen erforderlich sind.  
Maßgeblich sind dabei: 

Risikoabschätzung 

Eine fundierte Risikoabschätzung ist die Grundlage jeder Auswahl. Sie bewertet Eintrittswahrscheinlichkeit und mögliche Auswirkungen von Datenschutzverletzungen. 

Stand der Technik  

Maßnahmen müssen dem aktuellen Stand der Technik entsprechen. Veraltete Systeme oder schwache Verschlüsselungen erfüllen die Anforderungen der DSGVO nicht. 

Implementierungskosten 

Wirtschaftliche Überlegungen dürfen berücksichtigt werden, dürfen aber nicht dazu führen, dass notwendige Schutzmaßnahmen unterbleiben. 

Art, Umfang und Zweck der Verarbeitung 

Je sensibler die Daten oder je größer das Datenvolumen, desto höher sind die Anforderungen an die TOM. Verarbeitungsvorgänge müssen immer im Einzelfall betrachtet werden. 

Sicherheit der Datenverarbeitung: Das sind die Anforderungen der DSGVO 

Art. 32 DSGVO fordert, dass Organisationen vier Schutzziele sicherstellen: 

  • Vertraulichkeit: Schutz vor unbefugtem Zugriff (z. B. durch Zugangskontrollen, Verschlüsselung). 
  • Integrität: Schutz vor unbefugter Veränderung oder Verlust (z. B. durch Prüfsummen oder Versionierung). 
  • Verfügbarkeit: Sicherstellung, dass Daten bei Bedarf zugänglich sind (z. B. durch Backups und Ausfallsicherungen). 
  • Belastbarkeit: Systeme müssen auch bei hoher Last oder nach Störungen funktionsfähig bleiben. 

Zusätzlich verlangt die DSGVO regelmäßige Überprüfung und Anpassung der Schutzmaßnahmen, um neue Risiken rechtzeitig zu erkennen. 

Besonderheiten für kleine Unternehmen, Vereine und ehrenamtliche Organisationen 

Die DSGVO gilt unabhängig von der Größe der Organisation. Allerdings dürfen kleine Organisationen den Grundsatz der Verhältnismäßigkeit nutzen: 

  • Maßnahmen müssen dem konkreten Risiko angemessen sein. 
  • Basisschutz wie sichere Passwörter, regelmäßige Updates, Sensibilisierung der Mitarbeitenden und verschlüsselte Kommunikation ist Pflicht. 

Auch kleine Organisationen müssen ihre Maßnahmen dokumentieren, um sie bei Bedarf gegenüber Behörden nachweisen zu können. 

Ein schrittweises Vorgehen hilft: 

  • Risiken analysieren, 
  • bestehende Maßnahmen erfassen, 
  • Schutz verbessern, 
  • Maßnahmen regelmäßig überprüfen. 

Folgen unzureichender technischer und organisatorischer Maßnahmen 

Wer keine angemessenen TOM im Datenschutz trifft, riskiert erhebliche Folgen: 

  • Bußgelder bis 20 Millionen Euro oder 4 % des Jahresumsatzes (Art. 83 Abs. 4 und 5 DSGVO). 
  • Reputationsverluste, wenn Datenschutzvorfälle öffentlich werden. 
  • Haftungsansprüche von betroffenen Personen auf Schadenersatz (Art. 82 DSGVO). 
  • Behördliche Anordnungen, wie Untersagung von Verarbeitungen oder Auflagen. 

Ein fehlendes Budget oder geringe Ressourcen entbinden nicht von der Pflicht zur Umsetzung angemessener Schutzmaßnahmen. 

Fazit 

Technische und organisatorische Maßnahmen sind entscheidend für einen wirksamen Datenschutz. Sie müssen risikobasiert ausgewählt, umgesetzt und laufend an neue Bedrohungen angepasst werden. Nur wer Datenschutz aktiv gestaltet, schützt nicht nur sensible Daten, sondern auch die eigene Organisation vor Bußgeldern, Reputationsverlust und Vertrauensschäden. 

Vermeiden Sie Bußgelder durch unzureichende technische und organisatorische Maßnahmen. // PRIMA bietet Ihnen die strukturierte Dokumentation Ihrer TOM. Jetzt 14 Tage kostenlos ausprobieren und Datenschutz richtig umsetzen! 

Buchen Sie jetzt ihr persönliches Beratungsgespräch!

Jetzt Termin buchen

Weitere Beiträge

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

Mit Datenschutz den Unternehmenswert steigern! 

Mit Datenschutz den Unternehmenswert steigern – das funktioniert!Datenschutz wird meist als lästige Pflicht und

Umsetzung von Löschpflichten: Löschkonzepte und Löschkonzept mit Muster

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Inhalt Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen.

Datenschutzrechtliche Gap- und Risikoanalyse

In einer Zeit, in der Daten als „neues Gold“ bezeichnet werden, hat der Datenschutz

Grundlagen des KI-Risikomanagements – KI-Systeme richtig einstufen, Risiken erkennen und managen

Grundlagen des KI-Risikomanagements Die KI-Verordnung (KI-VO) der Europäischen Union ist in Kraft getreten und

Die datenschutzrechtliche Einwilligung 

Ob Online-Shop, Newsletter oder Kundenumfrage – überall werden personenbezogene Daten verarbeitet. Damit dies rechtmäßig

10 Irrtümer über Datenschutz, die fast jedes Unternehmen glaubt

Einleitung Viele Unternehmen unterschätzen das Thema Datenschutz oft aus Unwissenheit oder Fehleinschätzungen. Aussagen wie

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024