TOM-Basis-Paket für KMU: 12 Mindest-Maßnahmen

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

12 TOM-Mindest-Maßnahmen für DACH-KMU 50–250 MA — Stand der Technik 2026
Pflicht-Basis: Art. 32 DSGVO, BSI IT-Grundschutz, ISO 27001
Top-5: MFA, Backup-3-2-1, Patch-Management, Rollenkonzept, Verschlüsselung at-rest + in-transit
Kosten: 5.000–15.000 EUR Erstaufwand + 200–500 EUR/MA jährlich
NIS2-Schnittstelle: deckt 80 % von § 30 BSIG ab (NIS2UmsuCG seit 06.12.2025)

Hauptartikel: Hauptartikel: TOM Art. 32 DSGVO Prüfliste — der vollständige Pillar-Artikel zum Thema.

1. MFA überall

Microsoft Authenticator + FIDO2-Keys für Admins. Kosten: 0-60 EUR/User.

2. Verschlüsselung at-rest + in-transit

BitLocker auf allen Endgeräten, TLS 1.3 für alle Web-Verbindungen.

3. Patch-Management

Microsoft Defender for Endpoint, monatliche Patch-Zyklen, kritische Patches binnen 72h.

4. Backup 3-2-1 + immutable

Veeam mit Hardened Repository, quartalsweise Restore-Tests.

5. Anti-Malware

Microsoft Defender for Endpoint (in M365 E5 enthalten) oder Bitdefender, Sophos.

6. Firewall + Segmentierung

Firewall mit Default-Deny, Netz-Segmente Office/Production/Backup.

7. Zugriffskontrolle (RBAC)

Microsoft Entra ID + Conditional Access, Need-to-Know-Prinzip.

8. Logging + Monitoring

Microsoft Sentinel oder ELK-Stack, 90 Tage Aufbewahrung, 24/7-Alarmierung kritischer Events.

9. Schulung + Awareness

Jährliche Pflicht-Schulung + quartalsweise Phishing-Simulation.

10. Incident Response Plan

Krisenstab, Eskalationspfade, Tabletop-Übung jährlich.

11. Physische Sicherheit

Zutritts-Kontrolle, Server-Räume verschlossen, Besucher-Begleitung.

12. Lieferanten-Audit

Top-20-Lieferanten jährlich auditieren, AVV mit Pflicht-Klauseln.

Häufig gestellte Fragen

Sind die 12 TOM-Mindest-Maßnahmen für KMU rechtlich verbindlich?

Direkt verpflichtend ist nur Art. 32 Abs. 1 DSGVO ('angemessenes Schutzniveau'). Die 12 konkreten Maßnahmen sind 'Stand der Technik' nach BSI Grundschutz, ENISA-Empfehlung 2024 und DSK-Beschlüssen 2024-2025. Praxis: bei Audit/Bußgeldverfahren prüft die Aufsichtsbehörde anhand dieser Standards. Wer alle 12 erfüllt, ist auf der sicheren Seite. Wer Lücken hat, braucht eine dokumentierte Risiko-Bewertung warum die Maßnahme nicht erforderlich ist (z.B. 'kein remote work' → MFA-Anforderung reduziert).

Reicht Microsoft 365 E5 für TOM-Compliance?

Zu ~70% ja. M365 E5 deckt ab: MFA (Authenticator + Conditional Access), EDR (Defender for Endpoint), DLP (Data Loss Prevention), Compliance Manager (Audit-Trail), Sensitive Labels (Klassifikation), Sentinel-Light (Logging), Customer Lockbox. Was M365 E5 NICHT abdeckt: Backup (Veeam separat ~1.500 EUR/Jahr), physische Sicherheit (Hausrecht), Lieferanten-Audit-Prozess (eigene Doku). Für KMU 50-100 MA ist M365 E5 + Veeam + Compliance-Kit-Doku der pragmatische Stack: ~12-18k EUR/Jahr.

Was kostet TOM-Implementierung realistisch?

Drei Modelle: 1) DIY mit Compliance-Kit-Vorlagen: 25-40 PT Eigenleistung + ~5-15k EUR/Jahr Software (Defender, Veeam, Authenticator-Apps). 2) Externe DSB-Beratung: 8-12k EUR einmalig + 5-10k EUR/Jahr Doku-Pflege + Software. 3) Vollumfänglich extern (Compliance-as-a-Service): 15-30k EUR/Jahr Pauschale. Für KMU 50-150 MA: Modell 1 oder 2 sinnvoll. Bußgeld-Risiko ohne TOM-Doku: Median 12.500 EUR (DSK 2025), bei systemischen Lücken 50-300k EUR.

Wie oft sind die TOM zu reviewen?

Jährlich vollumfänglich (Standard im Audit-Plan), zusätzlich anlassbezogen: nach jedem Datenpanne-Vorfall, bei wesentlichen IT-Änderungen (Cloud-Migration, neue HR-Software), bei Verordnungs-Änderungen (z.B. Trilog-Annahme des Digital-Omnibus-Vorschlags vom 19.11.2025, EU AI Act Art. 32-Auswirkungen). Praxis-Pattern: quartalsweise Spot-Checks (Patching, MFA-Coverage, Backup-Tests), jährlich Vollaudit + ISO-27001-konforme CAPA-Maßnahmen. Doku-Pflicht: Art. 5 Abs. 2 DSGVO Rechenschaftspflicht.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
EDPB Leitlinien 04/2022 zur Berechnung von Geldbußen (Stand: 02.05.2026)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.