Unternehmen sind heute mehr denn je gefordert, personenbezogene Daten und vertrauliche Informationen wirksam zu schützen. Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch gängige Standards der Informationssicherheit wie ISO/IEC 27001 verlangen strukturelle, technische und organisatorische Vorkehrungen, um Risiken zu minimieren und den Schutz sensibler Daten dauerhaft zu gewährleisten.

Ein zentraler Baustein zur Umsetzung dieser Anforderungen sind die technisch-organisatorischen Maßnahmen (TOMs). Sie verbinden rechtliche Vorgaben mit konkreten Schutzmaßnahmen in der Praxis und schaffen die operative Grundlage für ein wirksames Datenschutz- und Informationssicherheitsmanagement. Entscheidend ist dabei ein ganzheitlicher Ansatz, der sowohl die Sicherstellung der Compliance als auch die Abwehr konkreter Bedrohungen im Blick behält.

Gesetzlicher Rahmen: TOMs nach DSGVO und Sicherheitsstandards

Gemäß DSGVO sind Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um die datenschutzrechtlichen Anforderungen wirksam umzusetzen und ein angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen müssen dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sein. Die Bewertung erfolgt anhand der Eintrittswahrscheinlichkeit und der Schwere möglicher Schäden.

Ergänzend verweist die DSGVO auf den „Stand der Technik“, den Implementierungsaufwand, die Natur, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie auf die Frage, ob besondere Kategorien personenbezogener Daten betroffen sind.

Weitere rechtliche Grundlagen für TOMs finden sich im Bundesdatenschutzgesetz (§ 64 BDSG), insbesondere für öffentliche Stellen.

Neben der DSGVO betonen auch Normen wie ISO/IEC 27001 (Managementsysteme für Informationssicherheit), ISO/IEC 27002 (Maßnahmenkatalog), ISO/IEC 27701 (Datenschutzmanagement) sowie branchenspezifische Standards wie TISAX (automobilnah) und der BSI IT-Grundschutz die Bedeutung systematisch implementierter Schutzmaßnahmen.

Technische Maßnahmen

Technische Maßnahmen dienen der Absicherung von IT-Systemen, Netzwerken und physischen Infrastrukturen. Sie zielen auf die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Beispiele umfassen:

  • Einsatz von starker Verschlüsselung bei Datenübertragung und -speicherung
  • Authentifizierungsverfahren wie Zwei-Faktor-Authentifizierung (2FA)
  • Einrichtung und Kontrolle von Zugriffsrechten und Rollenkonzepten
  • Datenträgervernichtung und sichere Löschung gemäß DIN 66399
  • Firewall- und Intrusion-Detection-/Prevention-Systeme (IDS/IPS)
  • Regelmäßige System- und Sicherheitsupdates (Patch-Management)
  • Absicherung physischer Zugänge, z.B. durch Zutrittskontrollen oder Videoüberwachung

Technische Maßnahmen betreffen nicht nur digitale Systeme. Auch die Sicherung von Papierakten, z.B. in abschließbaren Schränken oder geschützten Archiven, fällt unter diese Kategorie.

Organisatorische Maßnahmen

Organisatorische Maßnahmen beziehen sich auf alle strukturellen, personellen und prozessbezogenen Regelungen innerhalb eines Unternehmens. Sie schaffen die Rahmenbedingungen für einen rechtskonformen und sicheren Umgang mit Informationen. Dazu gehören u.a.:

  • Verbindliche Richtlinien zu Datenschutz, IT-Nutzung, Passwörtern, Mobile Device Management etc.
  • Verpflichtung der Mitarbeitenden auf Vertraulichkeit gemäß Art. 32 Abs. 4 DSGVO
  • Definition von Zuständigkeiten und Verantwortlichkeiten (z.B. Datenschutz- und Informationssicherheitsbeauftragte)
  • Etablierung eines Datenschutz- oder ISMS-Teams
  • Durchführung regelmäßiger Audits und Risikoanalysen
  • Awareness-Maßnahmen zur Sensibilisierung der Belegschaft
  • Datenschutz- und Informationssicherheitsschulungen
  • Notfallmanagement (Business Continuity & Incident Response)
  • Kontrollverfahren zur Umsetzung und Dokumentation der Maßnahmen

Die organisatorischen Maßnahmen stellen sicher, dass technische Lösungen nicht ins Leere laufen – denn jeder Schutz ist nur so stark wie sein menschliches Glied in der Kette.

Auswahl und Umsetzung geeigneter Maßnahmen

Die DSGVO nennt bewusst keinen festen Maßnahmenkatalog, da TOMs stets risikobasiert auszuwählen sind. Ein Startpunkt für Datenschutzbeauftragte und Informationssicherheitsbeauftragte ist die Risikoanalyse, die potenzielle Bedrohungen für personenbezogene Daten identifiziert und bewertet. Daraus ergeben sich geeignete Maßnahmen, die regelmäßig überprüft und angepasst werden müssen.

Auch Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO gehören zum Werkzeugkasten. Sie sind immer dann durchzuführen, wenn ein hohes Risiko für betroffene Personen besteht – etwa bei Videoüberwachung, Profiling oder umfangreicher Verarbeitung sensibler Daten.

Gerade der „Stand der Technik“ verlangt eine kontinuierliche Weiterentwicklung: Was heute noch angemessen ist, kann morgen schon veraltet sein. Ein wirksames Datenschutz- und Informationssicherheitskonzept erfordert daher laufende Pflege, Schulung, Kontrolle und umfassende Dokumentation.

TOMs bei der Auftragsverarbeitung

Sobald Unternehmen personenbezogene Daten durch Dritte verarbeiten lassen, spricht man von Auftragsverarbeitung im Sinne der DSGVO. In diesem Fall müssen nicht nur Verträge geschlossen, sondern auch die TOMs des Dienstleisters geprüft und dokumentiert werden.

Im sogenannten Auftragsverarbeitungsvertrag (AVV) sind die vom Dienstleister umgesetzten technischen und organisatorischen Maßnahmen verbindlich festzuhalten. Empfehlenswert ist, sich regelmäßig Nachweise (z.B. ISO-Zertifizierungen, Auditberichte, SOC 2, TISAX-Ergebnisse) vorlegen zu lassen oder eigene Prüfungen durchzuführen. Verantwortliche tragen die Verantwortung für die Auswahl eines geeigneten Auftragsverarbeiters gemäß Art. 28 DSGVO.

Fazit: Sicherheit durch Struktur und Verantwortung

Technisch-organisatorische Maßnahmen bilden das Rückgrat jedes funktionierenden Datenschutz- und Informationssicherheitskonzepts. Sie dürfen nicht als Pflichtübung verstanden werden, sondern als zentrale Steuerungsinstrumente, um Datenrisiken zu beherrschen und das Vertrauen von Kunden, Partnern und Mitarbeitenden zu stärken.

Dabei gilt: Technik allein schützt nicht – ohne organisatorische Maßnahmen bleibt jede Sicherheitsarchitektur lückenhaft. Nur ein ganzheitlicher, kontinuierlich gepflegter Schutzansatz schafft wirkliche Sicherheit.

Wir helfen Ihnen weiter

Ob bei der Auswahl geeigneter Maßnahmen, der Umsetzung von Richtlinien oder der Bewertung externer Dienstleister: Wir begleiten Unternehmen bei der Einrichtung und Pflege ihrer TOMs. Unsere Beratung orientiert sich am Risikoprofil Ihres Unternehmens, berücksichtigt sowohl datenschutzrechtliche als auch informationssicherheitsrelevante Anforderungen und führt zu umsetzbaren Lösungen. Lassen Sie sich in einer kostenlosen Erstberatung unverbindlich informieren.

Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen