TOMs – Technische und organisatorische Maßnahmen
Art. 32 DSGVO verpflichtet Unternehmen, „geeignete technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese TOMs sind das operative Herzstück der Datensicherheit – die Liste konkreter Maßnahmen, die ein Unternehmen dokumentiert und umsetzt. Wer keinen TOM-Katalog hat oder ihn nicht kennt, kann bei einer Datenpanne oder einem Audit in erhebliche Schwierigkeiten geraten.
1) Was sind TOMs?
TOMs sind keine abstrakte Anforderung – sie sind eine konkrete Aufzählung aller technischen und organisatorischen Schutzmaßnahmen, die ein Unternehmen für seine Datenverarbeitungen implementiert hat. Der Begriff kommt aus dem alten BDSG und ist in der DSGVO-Praxis geblieben. TOMs müssen dokumentiert, regelmäßig überprüft und bei Bedarf angepasst werden.
Der Grundsatz: Die Maßnahmen müssen verhältnismäßig sein – also zum Risiko passen. Eine kleine Arztpraxis braucht andere Maßnahmen als ein internationaler Konzern, der Gesundheitsdaten in großem Maßstab verarbeitet. Aber beide brauchen einen TOM-Katalog.
2) Die acht klassischen Schutzziele (nach altem BDSG)
In der Datenschutzpraxis werden TOMs häufig anhand von acht klassischen Schutzzielen strukturiert. Diese sind zwar formal aus dem alten BDSG und nicht mehr normiert, haben sich aber als Gliederungsprinzip für TOM-Kataloge bewährt.
| Schutzziel | Was es sichert | Beispiel-TOM |
|---|---|---|
| Zutrittskontrolle | Kein unbefugter Zutritt zu Datenverarbeitungsanlagen | Serverraum nur mit Chipkarte zugänglich |
| Zugangskontrolle | Kein unbefugter Zugang zu IT-Systemen | Passwortrichtlinie, MFA, automatische Sperre |
| Zugriffskontrolle | Nur zweckgebundener Datenzugriff | RBAC: Vertrieb sieht keine HR-Daten |
| Weitergabekontrolle | Daten nicht unbefugt übermittelt oder transportiert | Verschlüsselung bei E-Mail-Versand, VPN |
| Eingabekontrolle | Nachvollziehbarkeit, wer was eingegeben/geändert hat | Audit-Log in der Datenbank |
| Auftragskontrolle | Verarbeitung nur nach Weisung des Auftraggebers | AVV mit klaren Weisungsbefugnissen |
| Verfügbarkeitskontrolle | Schutz vor Datenverlust und Systemausfall | RAID, Backup, Redundanz |
| Trennungsgebot | Daten verschiedener Auftraggeber getrennt | Mandantentrennung in Multi-Tenant-Systemen |
Zusammenfassung
TOMs (Technische und Organisatorische Maßnahmen) sind die dokumentierten Schutzmaßnahmen, die ein Unternehmen zum Schutz personenbezogener Daten implementiert. Sie umfassen technische Maßnahmen (Verschlüsselung, Zugangskontrolle, Firewall, Backup) und organisatorische Maßnahmen (Schulungen, Clean Desk, Datenschutzbeauftragter, VVT). Sie werden anhand von acht klassischen Schutzzielen strukturiert. TOMs müssen dokumentiert, verhältnismäßig zum Risiko sein und regelmäßig überprüft werden. Sie sind Pflichtbestandteil eines AVV und Grundlage einer DSFA.