TOM (Technische und Organisatorische Maßnahmen)

Sicherheitsmaßnahmen nach Art. 32 DSGVO — Pflicht für jeden Verantwortlichen

· Kategorie: DSGVO · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

Technische und Organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind verpflichtende Sicherheitsvorkehrungen — abgestimmt auf Risikolage und Stand der Technik. Typische Kategorien: Pseudonymisierung, Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Wiederherstellbarkeit, regelmäßige Wirksamkeitsprüfung.

Was ist TOM (Technische und Organisatorische Maßnahmen)?

Art. 32 DSGVO verlangt risikoangemessene TOMs. Anders als ISO 27001 (das auch greift) nennt die DSGVO keine konkrete Mindestliste. Stand der Technik wird laufend nachgehalten — BSI Grundschutz, ENISA Empfehlungen, ISO 27002.

Beispiele: Festplattenverschlüsselung, MFA, Backup-Strategie, Patch-Management, Berechtigungs-Konzept, Schulungen, Datenträger-Vernichtung nach DIN 66399.

Praxisbeispiel

Ein 30-Personen-Maschinenbauer dokumentiert 14 typische TOMs in einer Liste:

  1. MFA für alle Admin-Konten
  2. VPN für Remote-Zugriffe
  3. Festplattenverschlüsselung (BitLocker)
  4. Tägliches Backup mit 30-Tage-Retention
  5. Berechtigungskonzept nach Need-to-Know
  6. Schulungs-Pflichtschulung jährlich
  7. Patch-Management-Prozess
  8. Vier-Augen-Prinzip bei Sub-Vergabe
  9. Verschlossener Server-Raum + Zutrittsprotokoll
  10. SSL/TLS für alle Web-Services
  11. Pseudonymisierung in der Test-Umgebung
  12. DIN 66399-konforme Akten-Vernichtung
  13. Penetrationstest jährlich
  14. Notfall-Plan + Tabletop-Übung halbjährlich

Häufig gestellte Fragen

Reicht eine ISO 27001-Zertifizierung als TOM-Nachweis?
Größtenteils ja. ISO 27001 deckt 80-90 % der DSGVO-TOM-Anforderungen ab. Lücken: spezifische Beschäftigtendatenschutz-Themen (§ 26 BDSG), Pseudonymisierung.
Wie oft TOMs aktualisieren?
Mindestens jährlich + bei wesentlichen Änderungen (neue IT-Systeme, neue Verarbeitungen, neue Bedrohungen). Aufsichts-Standard: dokumentierter Review-Zyklus.
Müssen TOMs an Auftragsverarbeiter weitergegeben werden?
Nein, aber AV muss eigene TOMs nachweisen (Art. 28 Abs. 3 lit. c). Verantwortlicher prüft ihre Angemessenheit.

Siehe auch