Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Datenschutz & Compliance Glossar

TOMs (Technisch-organisatorische Maßnahmen)

Technisch-organisatorische Maßnahmen (TOMs) sind nach DSGVO Art. 32 vorgeschriebene Sicherheitsmaßnahmen, die Unternehmen ergreifen müssen, um personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Zerstörung zu schützen.

Technisch-organisatorische Maßnahmen (TOMs) sind der datenschutzrechtliche Begriff für die Gesamtheit der Sicherheitsmaßnahmen, die ein Unternehmen zum Schutz personenbezogener Daten ergreift. Sie sind in Art. 32 DSGVO verankert und müssen dem Stand der Technik sowie dem Risiko für betroffene Personen entsprechen.

Rechtliche Grundlage

Art. 32 DSGVO fordert:

“Der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.”

TOMs sind nicht optional. Fehlen sie oder sind sie unzureichend, drohen Bußgelder bis €10 Mio. oder 2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO).

Typische TOM-Kategorien

Zutrittskontrolle: Unbefugte haben keinen Zutritt zu Datenverarbeitungsanlagen (Schlösser, Zutrittssysteme, Alarmanlagen)

Zugangskontrolle: Unbefugte können Systeme nicht nutzen (Passwortrichtlinien, MFA, Bildschirmsperre)

Zugriffskontrolle: Berechtigte können nur auf die Daten zugreifen, die sie für ihre Aufgaben benötigen (RBAC, Least Privilege)

Trennungskontrolle: Daten verschiedener Zwecke werden getrennt verarbeitet (Mandantentrennung, Datenbankschemas)

Pseudonymisierung und Verschlüsselung: Personenbezogene Daten werden verschlüsselt oder pseudonymisiert gespeichert und übertragen

Eingabekontrolle: Nachvollziehbarkeit, wer wann welche Daten eingegeben oder verändert hat (Audit Logs)

Übertragungskontrolle: Schutz bei Datenübertragung (TLS, VPN, sichere E-Mail)

Verfügbarkeitskontrolle: Schutz vor Datenverlust (Backup, Redundanz, Notfallplan)

Auftragskontrolle: Bei Auftragsverarbeitung Prüfung und Steuerung von Dienstleistern

TOMs in der Praxis

TOMs müssen dokumentiert werden - Datenschutzbehörden verlangen bei Prüfungen oder Vorfällen einen Nachweis. Die Dokumentation sollte:

  • Jede Maßnahme konkret beschreiben
  • Den Stand der Technik und das Risiko der Verarbeitungstätigkeit berücksichtigen
  • Regelmäßig überprüft und aktualisiert werden

Ein ISO-27001-Zertifikat vereinfacht den TOM-Nachweis erheblich: Die Controls des Annex A decken die DSGVO-Anforderungen weitgehend ab.

AWARE7 Leistungen zum Thema

ISO 27001 Beratung ISMS-Beratung

Ausführlicher Wiki-Artikel

ISO 27001 - Informationssicherheitsmanagementsystem

9 Min. Lesezeit

NIS2-Richtlinie

7 Min. Lesezeit

Verwandte Begriffe

IAM (Identity and Access Management) ISMS (Informationssicherheitsmanagementsystem) MFA (Multi-Faktor-Authentifizierung)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung