Technische und organisatorische Maßnahmen (TOM)

TOM nach Art. 32 DSGVO – Analyse, Dokumentation & Umsetzung – bundesweit

Kostenlose Beratung

✓ TÜV-zertifiziert   ✓ BSI-zertifiziert   ✓ IHK-zertifiziert   ✓ Über 500 Mandanten in Sachsen   ✓ Seit 2019

Technische und organisatorische Maßnahmen (TOM) nach DSGVO

Fachmännische Betreuung für Unternehmen bundesweit.

Kostenlose Erstberatung anfragen · TÜV-zertifizierte Berater · 15+ Jahre Erfahrung · 500+ zufriedene Kunden

Technische und organisatorische Maßnahmen (TOM) sind das Fundament des Datenschutzes in Ihrem Unternehmen. Art. 32 DSGVO verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, geeignete Maßnahmen zum Schutz personenbezogener Daten zu implementieren. Die DATUREX GmbH unterstützt Unternehmen in ganz Deutschland bei der Erstellung, Dokumentation und Umsetzung ihrer TOM.

Was sind technische und organisatorische Maßnahmen?

TOM Datenschutz umfasst alle technischen und organisatorischen Vorkehrungen, die den Schutz personenbezogener Daten gewährleisten. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Zwecke der Verarbeitung.

Technische Maßnahmen im Überblick

Technische Maßnahmen sind alle Schutzmaßnahmen, die durch IT-Systeme, Software oder physische Einrichtungen umgesetzt werden:

  • Zutrittskontrolle: Sicherung von Serverräumen, Bürogebäuden und Archiven durch Schlösser, Zutrittskarten, biometrische Systeme
  • Zugangskontrolle: Passwortrichtlinien, Zwei-Faktor-Authentifizierung, automatische Bildschirmsperre, Verschlüsselung von Datenträgern
  • Zugriffskontrolle: Rollenbasierte Berechtigungskonzepte, Need-to-know-Prinzip, Protokollierung von Zugriffen
  • Weitergabekontrolle: Verschlüsselung bei Datenübertragung (TLS/SSL), VPN für Remote-Zugriffe, E-Mail-Verschlüsselung
  • Eingabekontrolle: Protokollierung von Änderungen, Versionierung, Audit-Trails
  • Verfügbarkeitskontrolle: Backup-Konzepte, USV-Anlagen, Notfallpläne, redundante Systeme
  • Trennungskontrolle: Mandantentrennung, logische Datentrennung, separate Datenbanken

Organisatorische Maßnahmen im Überblick

Organisatorische Maßnahmen betreffen die Gestaltung von Prozessen, Zuständigkeiten und Regelwerken:

  • Datenschutzrichtlinien: Interne Anweisungen zum Umgang mit personenbezogenen Daten
  • Mitarbeiterschulungen: Regelmäßige Sensibilisierung und Schulung aller Beschäftigten
  • Verpflichtung auf Verschwiegenheitspflicht im Datenschutz: Schriftliche Verpflichtungserklärungen nach Art. 28 Abs. 3 lit. b DSGVO
  • Datenschutz-Folgenabschätzung: Durchführung bei risikoreichen Verarbeitungen nach Art. 35 DSGVO
  • Art. 28 DSGVO: Vertragliche Regelungen mit Dienstleistern nach Art. 28 DSGVO
  • Meldeprozesse: Definierte Abläufe für Datenschutzvorfälle nach Art. 33/34 DSGVO
  • Löschkonzept: Regelungen zur fristgerechten Löschung personenbezogener Daten

TOM nach dem Stand der Technik

Die DSGVO fordert Maßnahmen nach dem „Stand der Technik“. Dies bedeutet, dass Unternehmen ihre TOM regelmäßig überprüfen und an aktuelle Entwicklungen anpassen müssen. Was vor drei Jahren als angemessen galt, kann heute unzureichend sein. Die DATUREX GmbH berät Sie, welche Maßnahmen für Ihr Unternehmen aktuell erforderlich sind.

Unsere Leistungen zu TOM Datenschutz

  • TOM-Analyse: Systematische Erfassung und Bewertung Ihrer bestehenden Maßnahmen
  • Gap-Analyse: Identifikation von Lücken zwischen Ist-Zustand und DSGVO-Anforderungen
  • TOM-Dokumentation: Professionelle Dokumentation gemäß Art. 32 DSGVO
  • Maßnahmenplan: Priorisierte Handlungsempfehlungen zur Schließung von Sicherheitslücken
  • Regelmäßige Überprüfung: Jährliche Überprüfung und Aktualisierung Ihrer TOM

TOM in der Praxis: Konkrete Beispiele

Viele Unternehmen fragen sich, welche konkreten Maßnahmen sie umsetzen müssen. Hier zeigen wir Ihnen praxiserprobte Beispiele aus unserer bundesweiten Beratungstätigkeit:

Zutrittskontrolle: Wer darf ins Gebäude?

Die Zutrittskontrolle stellt sicher, dass nur berechtigte Personen Zugang zu Räumlichkeiten mit personenbezogenen Daten haben. Typische Maßnahmen sind:

  • Elektronische Zutrittskarten für Serverraäume und Archive
  • Protokollierung von Zutritten zu sensiblen Bereichen
  • Besucherregelungen mit Anmeldepflicht und Begleitung
  • Alarmanlagen und Videoüberwachung (unter Beachtung des Datenschutzes)

Zugangskontrolle: Wer darf ins System?

Die Zugangskontrolle verhindert unbefugten Zugriff auf IT-Systeme:

  • Passwortrichtlinien: Mindestlänge 12 Zeichen, Komplexitätsanforderungen
  • Zwei-Faktor-Authentifizierung (2FA) für alle Systeme mit personenbezogenen Daten
  • Automatische Bildschirmsperre nach 5 Minuten Inaktivität
  • Verschlüsselung aller mobilen Datenträger (Laptops, USB-Sticks)
  • VPN-Pflicht für Homeoffice-Zugriffe

Zugriffskontrolle: Wer darf was sehen?

Nicht jeder Mitarbeiter muss auf alle Daten zugreifen können. Das Need-to-know-Prinzip bedeutet:

  • Rollenbasierte Berechtigungskonzepte (z.B. Sachbearbeiter, Teamleiter, Admin)
  • Regelmäßige Überprüfung der Zugriffsrechte (mindestens halbjährlich)
  • Sofortige Sperrung bei Mitarbeiteraustritt
  • Protokollierung aller Zugriffe auf sensible Daten

TOM nach Branche

TOM für Arztpraxen und Gesundheitswesen

Im Gesundheitswesen gelten erhöhte Anforderungen, da Gesundheitsdaten nach Art. 9 DSGVO besonders geschützt sind. Hier empfehlen wir zusätzlich: Ende-zu-Ende-Verschlüsselung für Patientendaten, separierte Netzwerke für medizinische Geräte, regelmäßige Penetrationstests und strenge Zugriffsprotokollierung.

TOM für Handwerk und KMU

Kleine und mittlere Unternehmen müssen keine Enterprise-Lösungen implementieren. Wichtig ist ein dem Risiko angemessenes Schutzniveau: sichere Passwörter, verschlüsselte E-Mails, regelmäßige Backups und eine dokumentierte Datenschutzrichtlinie. Unsere Datenschutz-Schulungen helfen, das Bewusstsein im Team zu schärfen.

Kosten einer TOM-Analyse

Die Kosten einer professionellen TOM-Analyse durch die DATUREX GmbH hängen vom Umfang ab:

  • TOM-Quick-Check: Erste Einschätzung Ihrer bestehenden Maßnahmen
  • Vollständige Gap-Analyse: Detaillierte Prüfung aller Schutzbereiche mit Handlungsempfehlungen
  • Laufende Betreuung: Jährliche Überprüfung und Aktualisierung als Teil unserer DSGVO-Beratung

Die TOM-Dokumentation ist auch Bestandteil unserer Leistung als externer Datenschutzbeauftragter.

Häufig gestellte Fragen zu TOM Datenschutz

Sind TOM Pflicht für jedes Unternehmen?

Ja, jeder Verantwortliche und Auftragsverarbeiter muss nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen treffen. Die konkreten Maßnahmen richten sich nach dem Risiko der Verarbeitung, müssen aber in jedem Fall dokumentiert werden.

Welche Strafen drohen bei fehlenden TOM?

Fehlende oder unzureichende TOM können als Verstoß gegen Art. 32 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Bei einer Datenpanne ohne angemessene TOM drohen zusätzlich Schadensersatzforderungen.

Wie oft müssen TOM überprüft werden?

Die DSGVO schreibt keine feste Frist vor, fordert aber eine regelmäßige Überprüfung der Wirksamkeit (Art. 32 Abs. 1 lit. d DSGVO). Empfohlen wird eine jährliche Überprüfung sowie eine anlassbezogene Prüfung bei Änderungen der IT-Infrastruktur oder nach Sicherheitsvorfällen.

Was ist der Unterschied zwischen TOM und einem IT-Sicherheitskonzept?

TOM nach DSGVO beziehen sich spezifisch auf den Schutz personenbezogener Daten, während ein IT-Sicherheitskonzept die gesamte Informationssicherheit umfasst. In der Praxis gibt es große Überschneidungen, aber TOM erfordern eine datenschutzrechtliche Perspektive mit Fokus auf die Rechte der Betroffenen.

TOM Datenschutz professionell umsetzen

Lassen Sie Ihre technischen und organisatorischen Maßnahmen professionell analysieren und dokumentieren. Unsere Datenschutzexperten sorgen bundesweit für ein DSGVO-konformes Schutzkonzept.

Jetzt kostenlose Erstberatung anfragen

Weitere Datenschutz-Leistungen

Weitere Leistungen der DATUREX GmbH

TOM Datenschutz hängt eng mit Informationssicherheit zusammen:

Als erfahrener Datenschutzbeauftragter Dresden unterstützt die DATUREX GmbH Unternehmen bei der Umsetzung aller datenschutzrechtlichen Anforderungen.

Kostenlose Erstberatung

Zertifizierte Datenschutzexperten. DATUREX GmbH, Dresden.

Telefon: 0351 / 79593513

TOMs professionell umsetzen?

Die DATUREX GmbH hilft Ihnen bei der Erstellung und Dokumentation technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO.

Kostenlose Erstberatung anfragen

Oder rufen Sie uns direkt an: 0351 / 795 935 13