Kowoll Protects Logo +49 7071 770371

Glossar

Technische und organisatorische Maßnahmen (TOM)

Konkrete Schutzmaßnahmen nach Art. 32 DSGVO, die ein angemessenes Sicherheitsniveau für personenbezogene Daten sicherstellen.

Definition

Technische und organisatorische Maßnahmen (TOMs) sind nach Art. 32 DSGVO alle Maßnahmen, die ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Sie sind die Antwort auf die Frage: “Wie schützen Sie konkret die Daten gegen Verlust, unbefugten Zugriff und Veränderung?”

Die DSGVO nennt beispielhaft:

  • Pseudonymisierung und Verschlüsselung
  • Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme
  • Verfahren zur Wiederherstellung von Verfügbarkeit nach Zwischenfällen
  • Verfahren zur regelmäßigen Überprüfung der Wirksamkeit

TOMs sind kein einmaliges Dokument — sie sind ein lebendes System.

In der Praxis

Ein typisches TOM-Konzept für ein KMU gliedert sich in acht Schutzziele:

  • Zutrittskontrolle: Wer kommt physisch ins Gebäude / Serverraum? Schlüssel, Schließanlage, Kameraüberwachung
  • Zugangskontrolle: Wer darf welches System nutzen? Passwörter, 2FA, SSO
  • Zugriffskontrolle: Wer darf welche Daten sehen? Rollenkonzept, Berechtigungsmatrix
  • Trennungskontrolle: Daten verschiedener Kunden / Zwecke logisch trennen
  • Pseudonymisierung / Verschlüsselung: bei Übertragung und Speicherung
  • Integrität: Schutz vor unbefugter Veränderung — Logging, Versionierung
  • Verfügbarkeit / Belastbarkeit: Backup-Konzept, USV, redundante Systeme
  • Auftragskontrolle: Weisungsbindung der Auftragsverarbeiter

Im Verarbeitungsverzeichnis wird je Verarbeitungstätigkeit auf die relevanten TOMs verwiesen.

Was Sie tun müssen

Für ein wirksames TOM-Konzept:

  • Schriftliches TOM-Konzept erstellen — Excel, Word oder strukturiertes Wiki
  • Risikoanalyse: Welche Schutzziele sind besonders kritisch?
  • Maßnahmen konkret beschreiben — keine Allgemeinplätze wie “Server sind sicher”
  • Im VVT je Verarbeitungstätigkeit referenzieren
  • In AVVs als Anlage einbinden
  • Mindestens jährlicher Review — passen die Maßnahmen noch?
  • Schulung der Mitarbeiter — TOMs nützen nichts, wenn niemand sie kennt

Bei Datenpannen prüft die Aufsicht zuerst, ob die TOMs angemessen waren. Wer dort schlecht aufgestellt ist, zahlt höhere Bußgelder. Bei Kowoll-Mandanten ist das TOM-Konzept im Aufbau-Paket enthalten — siehe Leistungen und Preisbeispiele.

Verwandte Begriffe und Seiten