Zuletzt aktualisiert am 7. April 2026

Das Kürzel „TOM“ steht im Datenschutzrecht im Bereich Datensicherheit für „technische und organisatorische Maßnahmen“. Diese dienen dem Schutz von personenbezogenen Daten.

Welche Maßnahmen es hier gibt und was Ihr Unternehmen dabei beachten sollte, erfahren Sie hier.

Ziele von TOM

Technische und organisatorische Maßnahmen (TOM) spielen eine große Rolle dabei, sowohl analog als auch elektronisch gespeicherte personenbezogene Daten zu schützen. Sie umfassen dabei alle Vorkehrungen, die zum Schutz dieser Daten getroffen werden müssen.

In erster Linie gewährleisten die Maßnahmen die sichere Verarbeitung der personenbezogenen Daten. Das bedeutet vor allem, dass unbefugter Zugriff verhindert wird. Die DSGVO fordert, dass man schriftlich dokumentiert, welche technischen und organisatorischen Maßnahmen das Unternehmen ergreift, um diesen Schutz zu gewährleisten.

Auch physische Schutzmaßnahmen zählen zu den TOM: Alarmanlagen, Zugangskontrollen oder ähnliches können erforderlich sein.

Zudem ist es auch wichtig, die Mitarbeiter des Unternehmens regelmäßig zu schulen. Diese Schulungen müssen an den Arbeitsbereich und die dort anfallenden Daten und Sicherheitsrisiken angepasst sein.

Alle Schutzmaßnahmen müssen dabei immer dem aktuellen Stand der Technik entsprechen.

TOM auswählen

Um zu entscheiden, welche Maßnahmen angemessen sind, müssen regelmäßig Risikoeinschätzungen durchgeführt werden. Hierbei identifiziert das Unternehmen mögliche Risiken und ihre Eintrittswahrscheinlichkeit. Daran wird nach dem Verhältnismäßigkeitsprinzip abgemessen, welche Schutzmaßnahmen angemessen sind.

Beispiele

Beispiele für technische Schutzmaßnahmen finden sich in der IT. Die Informationssicherheit kann zum Beispiel durch Maßnahmen aus dem IT-Grundschutz Komendium entsprechend des vorliegenden Schutzbedarfs gwährleistet werden. Zudem kann das Unternehmen den Zugriff auf Daten in IT Systemen durch Rechte und Rollenkonzepte reglementieren. Daten sollten zudem verschlüsselt verarbeitet werden z.B. beim Transport auf Datenträgern oder über Datenverbindungen.

Als rein physische Maßnahme bieten sich Eingangskontrollen an. Auch Systeme zur Absicherung der Räumlichkeiten und sensiblen Bereichen können angemessen sein, z.B. Alarmanlagen und Videoüberwachung.

Organisatorisch sind Schulungen des Personals sehr wichtig. Mitarbeiter sollten darin geschult werden, was bei einer Datenschutzpanne zu tun ist und wie sie mit Verdachtsfällen von unberechtigtem Zugriff umgehen sollen.

Welche Schutzmaßnahmen ein Unternehmen laut DSGVO ergreifen muss, ist einzelfallabhängig und richtet sich unter anderem Risiken, rechtlichen Anforderungen sowie dem Schutzbedarf. Es muss ein angemessenes Schutzniveau erreicht werden. Hierbei spielen Faktoren wie die Wahrscheinlichkeit des Eintrittes eines Risikos und dessen Schwere sowie Rechte und Freiheiten der Betroffenen Personen eine Rolle.

Gesetzliche Grundlagen der TOM

Die rechtliche Grundlage für technische und organisatorische Maßnahmen findet sich in Art. 32 DSGVO. Dieser verpflichtet den Verantwortlichen und den Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete Maßnahmen zu treffen.

Art. 32 Abs. 1 DSGVO nennt dabei konkret vier Schutzziele, die durch TOM gewährleistet werden müssen: die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Belastbarkeit der Systeme und Dienste. Zusätzlich muss die Fähigkeit sichergestellt werden, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen ist ebenfalls vorgeschrieben.

Kategorien technischer Maßnahmen im Detail

Technische Maßnahmen umfassen alle Schutzmaßnahmen, die durch den Einsatz von Hardware, Software oder infrastrukturellen Vorkehrungen realisiert werden. Im Einzelnen lassen sich folgende Kategorien unterscheiden:

Zutrittskontrolle: Diese Maßnahmen verhindern, dass Unbefugte physischen Zugang zu Datenverarbeitungsanlagen erhalten. Dazu gehören beispielsweise elektronische Schließsysteme, Chipkartenleser, biometrische Zugangskontrollen, Alarmanlagen, Videoüberwachung von Serverräumen sowie die Protokollierung von Zutritten zu sensiblen Bereichen.

Zugangskontrolle: Hier geht es darum, die Nutzung von Datenverarbeitungssystemen durch Unbefugte zu verhindern. Typische Maßnahmen sind sichere Passwortrichtlinien, Zwei-Faktor-Authentifizierung, automatische Bildschirmsperren, VPN-Verbindungen für Remote-Zugriffe und die zentrale Verwaltung von Benutzerkonten über ein Identity-Management-System.

Zugriffskontrolle: Diese Maßnahmen stellen sicher, dass berechtigte Nutzer nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen. Das Prinzip der minimalen Rechte (Least Privilege) spielt hier eine zentrale Rolle. Berechtigungskonzepte, rollenbasierte Zugriffssteuerung und die regelmäßige Überprüfung vergebener Berechtigungen sind typische Maßnahmen in diesem Bereich.

Verschlüsselung: Die Verschlüsselung personenbezogener Daten — sowohl bei der Speicherung (Data at Rest) als auch bei der Übertragung (Data in Transit) — ist eine der wichtigsten technischen Schutzmaßnahmen. Art. 32 Abs. 1 lit. a DSGVO nennt die Verschlüsselung ausdrücklich als geeignete Maßnahme. In der Praxis umfasst dies die Festplattenverschlüsselung, die E-Mail-Verschlüsselung mittels TLS oder S/MIME sowie die verschlüsselte Datenübertragung über HTTPS.

Organisatorische Maßnahmen im Detail

Neben den technischen Vorkehrungen sind organisatorische Maßnahmen mindestens ebenso wichtig. Sie betreffen die Gestaltung von Abläufen, Prozessen und Verantwortlichkeiten innerhalb des Unternehmens:

Mitarbeiterschulungen: Regelmäßige Datenschutz-Schulungen sensibilisieren die Mitarbeiter für den korrekten Umgang mit personenbezogenen Daten. Dabei sollten praxisnahe Beispiele verwendet und die Schulungsinhalte an die jeweiligen Aufgabenbereiche angepasst werden.

Datenschutzrichtlinien: Interne Richtlinien regeln verbindlich den Umgang mit personenbezogenen Daten im Unternehmen. Sie sollten Themen wie die Nutzung privater Endgeräte, den Umgang mit E-Mails, Clean-Desk-Policies und die Meldung von Datenschutzvorfällen abdecken.

Verpflichtung auf Vertraulichkeit: Alle Mitarbeiter, die mit personenbezogenen Daten in Berührung kommen, müssen auf die Vertraulichkeit verpflichtet werden. Diese Verpflichtung sollte schriftlich dokumentiert werden und auch über das Ende des Arbeitsverhältnisses hinaus gelten.

Auftragsverarbeitungsverträge: Wenn personenbezogene Daten an Dienstleister weitergegeben werden, müssen entsprechende Verträge nach Art. 28 DSGVO geschlossen werden. Diese Verträge müssen unter anderem die vom Auftragsverarbeiter zu treffenden technischen und organisatorischen Maßnahmen festlegen.

TOM dokumentieren und aktuell halten

Die bloße Implementierung von TOM reicht nicht aus — sie müssen auch sorgfältig dokumentiert werden. Das Verarbeitungsverzeichnis nach Art. 30 DSGVO muss eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen enthalten. Außerdem empfiehlt es sich, ein separates TOM-Verzeichnis zu führen, das detaillierter auf die einzelnen Maßnahmen eingeht.

Wichtig ist zudem die regelmäßige Überprüfung und Aktualisierung der TOM. Der Stand der Technik entwickelt sich ständig weiter, und Maßnahmen, die vor einigen Jahren noch als ausreichend galten, können heute veraltet sein. Eine jährliche Überprüfung der TOM durch einen qualifizierten externen Datenschutzbeauftragten stellt sicher, dass das Schutzniveau laufend den aktuellen Anforderungen entspricht.

Konsequenzen unzureichender TOM

Unzureichende technische und organisatorische Maßnahmen können schwerwiegende Folgen haben. Neben Bußgeldern von bis zu 10 Millionen Euro gemäß Art. 83 Abs. 4 lit. a DSGVO drohen Schadensersatzansprüche betroffener Personen nach Art. 82 DSGVO. Hinzu kommen Reputationsschäden, die besonders für Unternehmen im B2B-Bereich existenzbedrohend sein können. Die Investition in angemessene TOM ist daher keine optionale Maßnahme, sondern eine betriebswirtschaftliche und rechtliche Notwendigkeit. Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Entwicklung, Implementierung und regelmäßigen Überprüfung ihrer technischen und organisatorischen Maßnahmen.

Praxisbeispiel: TOM für ein mittelständisches Unternehmen

Ein mittelständisches Unternehmen mit 50 Mitarbeitern, das Kundendaten und Mitarbeiterdaten verarbeitet, benötigt typischerweise folgende technische und organisatorische Maßnahmen: Im technischen Bereich eine Firewall mit Intrusion-Detection-System, verschlüsselte Festplatten auf allen Arbeitsplatzrechnern und Notebooks, eine zentrale Antivirenlösung mit automatischen Updates, ein VPN für alle Remote-Zugriffe, eine automatische Bildschirmsperre nach fünf Minuten Inaktivität sowie ein regelmäßiges Backup-System mit verschlüsselter Auslagerung an einen zweiten Standort.

Im organisatorischen Bereich sind erforderlich: ein dokumentiertes Berechtigungskonzept mit dem Prinzip der minimalen Rechte, jährliche Datenschutzschulungen für alle Mitarbeiter, eine Clean-Desk-Policy für alle Arbeitsplätze, ein Prozess zur Meldung und Behandlung von Datenschutzvorfällen, die schriftliche Verpflichtung aller Mitarbeiter auf Vertraulichkeit sowie ein dokumentiertes Löschkonzept mit definierten Aufbewahrungsfristen. Diese Maßnahmen bilden ein solides Fundament, das je nach Branche und Schutzbedarf der verarbeiteten Daten erweitert werden muss.

Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Erstellung eines individuellen TOM-Konzepts. Unsere Datenschutzexperten analysieren Ihre bestehenden Maßnahmen, identifizieren Lücken und entwickeln gemeinsam mit Ihnen ein individuelles Schutzkonzept, das sowohl den rechtlichen Anforderungen als auch den praktischen Gegebenheiten Ihres Unternehmens gerecht wird.

Häufige Fehler bei der Umsetzung von TOM

In der Praxis beobachten wir bei vielen Unternehmen wiederkehrende Fehler bei der Umsetzung technischer und organisatorischer Maßnahmen. Einer der häufigsten Fehler ist die einmalige Implementierung ohne regelmäßige Überprüfung. TOM sind kein statisches Dokument, sondern müssen kontinuierlich an neue Bedrohungen, technische Entwicklungen und organisatorische Veränderungen angepasst werden. Ein weiterer verbreiteter Fehler ist die fehlende Dokumentation: Selbst wenn angemessene Maßnahmen ergriffen werden, nützen sie wenig, wenn sie bei einer behördlichen Prüfung nicht nachgewiesen werden können. Auch die mangelnde Einbeziehung der Mitarbeiter ist ein häufiges Problem — die beste technische Absicherung versagt, wenn Mitarbeiter aus Unwissenheit oder Bequemlichkeit Sicherheitsvorkehrungen umgehen.

Sie benötigen Beratung dazu, welche technischen und organisatorischen Maßnahmen in Ihrem Unternehmen ergriffen werden müssen und wie diese umzusetzen sind? Unser Team an Experten übernimmt diese Fragen gerne für Sie. Auch beim Thema Schulungen helfen wir Ihnen gerne individuell weiter. Kontaktieren Sie uns einfach hier.

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen