Technisch–Organisatorische Maßnahmen (TOM) im Datenschutz

Schutz der Daten

TOM stellen sicher, dass personenbezogene Daten vor Verlust, Missbrauch oder unbefugtem Zugriff geschützt werden.

Technische Sicherheit

Dazu gehören Verschlüsselung, Zugriffskontrollen, Firewalls und regelmäßige Sicherheitsupdates.

Organisatorische Kontrolle

Richtlinien, Schulungen und klare Verantwortlichkeiten sorgen dafür, dass Sicherheitsregeln auch im Alltag eingehalten werden.

Nachvollziehbarkeit

Jede Maßnahme muss dokumentiert und bei Bedarf nachgewiesen werden – das ist Teil der Rechenschaftspflicht nach DSGVO.

Einleitung

Die sogenannten "Technisch–Organisatorischen Maßnahmen" (TOM) sind das praktische Herzstück des Datenschutzes. Sie sollen sicherstellen, dass personenbezogene Daten geschützt, korrekt verarbeitet und nicht unbefugt weitergegeben werden.

TOMs verbinden Technik und Organisation – sie machen Datenschutz konkret und umsetzbar.

Rechtlicher Hintergrund

Nach Artikel 32 der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen "geeignete technische und organisatorische Maßnahmen" treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das bedeutet: Je sensibler die Daten, desto strenger die Schutzvorkehrungen.

Der Schutzbedarf richtet sich nach Risiko, Sensibilität und Verwendungszweck der Daten.

Ziele der TOM

Die Maßnahmen sollen verhindern, dass personenbezogene Daten verloren gehen, manipuliert, unrechtmäßig verarbeitet oder unbefugt offengelegt werden. Wichtige Schutzziele sind:

  • Vertraulichkeit: Daten sind nur für Berechtigte zugänglich.
  • Integrität: Daten sind korrekt und unverändert.
  • Verfügbarkeit: Daten stehen bei Bedarf zur Verfügung.
  • Belastbarkeit: Systeme funktionieren auch bei Störungen oder Angriffen.

Ziel ist es, Datenschutz dauerhaft in die Arbeitsabläufe zu integrieren.

Beispiele für technische Maßnahmen

  • Zugriffsbeschränkung: Nur autorisierte Personen dürfen auf Daten zugreifen.
  • Verschlüsselung: Daten werden bei Übertragung und Speicherung geschützt.
  • Passwortschutz und Mehrfaktor-Authentifizierung: Nur sichere Anmeldemethoden verwenden.
  • Firewall und Antivirensoftware: Schutz vor unbefugtem Zugriff und Schadprogrammen.
  • Backup-Systeme: Regelmäßige Sicherung und Wiederherstellung von Daten.
  • Protokollierung: Zugriff und Änderungen werden nachvollziehbar dokumentiert.

Technische Sicherheit ist die Basis – sie verhindert Datenpannen und Manipulationen.

Beispiele für organisatorische Maßnahmen

  • Zugriffsrichtlinien: Klare Regelungen, wer Daten sehen oder verarbeiten darf.
  • Vertraulichkeitsvereinbarungen: Mitarbeitende verpflichten sich zum sorgfältigen Umgang mit Daten.
  • Schulungen und Sensibilisierung: Regelmäßige Trainings zum sicheren Umgang mit Daten.
  • Clean-Desk-Policy: Keine vertraulichen Unterlagen offen liegen lassen.
  • Besucherregelung: Zutritt zu sensiblen Bereichen nur für autorisierte Personen.
  • Notfallkonzepte: Vorgehen bei Datenverlust, Cyberangriffen oder technischen Ausfällen.

Organisation schafft Struktur – und damit gelebten Datenschutz im Alltag.

Verhältnismäßigkeit und Risikoorientierung

Nicht jede Maßnahme ist in jeder Situation gleich wichtig. Die TOMs müssen immer verhältnismäßig zum Risiko sein. Das heißt: Je größer das Risiko für die betroffene Person, desto höher die Anforderungen an Schutz und Kontrolle.

Beispiel:

  • Eine Mailingliste braucht geringeren Schutz als Patientendaten.
  • Ein öffentliches Firmenprofil ist weniger sensibel als Mitarbeiterakten.

Datenschutz ist kein "alles oder nichts", sondern ein abgestuftes Sicherheitskonzept.

Dokumentation der Maßnahmen

Alle umgesetzten technischen und organisatorischen Maßnahmen müssen dokumentiert werden. Diese Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und zeigt, dass der Datenschutz aktiv umgesetzt wird.

  • Beschreibung der eingesetzten Maßnahmen,
  • Verantwortlichkeiten und Zuständigkeiten,
  • Datum der Umsetzung und letzte Aktualisierung,
  • Bewertung der Wirksamkeit.

Dokumentation ist Teil der Rechenschaftspflicht – wer sie führt, ist auf der sicheren Seite.

Kontinuierliche Überprüfung und Verbesserung

TOMs sind keine einmalige Aufgabe. Technik, Prozesse und Risiken ändern sich – daher müssen Maßnahmen regelmäßig geprüft und angepasst werden.

  • Jährliche Überprüfung der Sicherheitsmaßnahmen,
  • Aktualisierung bei technischen Änderungen oder neuen Risiken,
  • Schulung von Mitarbeitenden bei neuen Prozessen,
  • Prüfung nach Datenschutzvorfällen.

Datenschutz ist ein Prozess – kein Zustand.

TOM in der Praxis

In der Praxis bedeutet das Zusammenspiel von Technik und Organisation, dass jeder Bereich seinen Beitrag leistet. Zum Beispiel:

  • Die IT sorgt für sichere Systeme und Verschlüsselung.
  • Das Management legt klare Regeln und Verantwortlichkeiten fest.
  • Mitarbeitende achten auf sorgfältigen Umgang mit Daten im Alltag.

Nur gemeinsam lassen sich technische Maßnahmen mit organisatorischer Verantwortung verbinden.

Fazit

Technisch–Organisatorische Maßnahmen sind die Grundlage für gelebten Datenschutz. Sie schützen Informationen, Systeme und Menschen zugleich. Entscheidend ist nicht nur, Maßnahmen zu haben – sondern sie konsequent umzusetzen und weiterzuentwickeln.

Datenschutz lebt von Technik, Struktur und Bewusstsein – also von guten TOMs und aufmerksamen Menschen.