Technische und organisatorische Maßnahmen (TOM)

Definition

Technische und organisatorische Maßnahmen (TOM) sind gemäß Art. 32 der Datenschutz-Grundverordnung (DSGVO) Sicherheitsvorkehrungen, die Verantwortliche und Auftragsverarbeiter implementieren müssen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Technische Maßnahmen betreffen die IT-Infrastruktur und Systeme (z. B. Verschlüsselung, Firewalls, Zugriffskontrollen), während organisatorische Maßnahmen Prozesse, Richtlinien und Schulungen umfassen (z. B. Berechtigungskonzepte, Datenschutzrichtlinien, Mitarbeiterschulungen).

Die DSGVO benennt in Art. 32 explizit vier Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Darüber hinaus muss die Fähigkeit bestehen, die Verfügbarkeit personenbezogener Daten nach einem Zwischenfall rasch wiederherzustellen. Die konkreten Maßnahmen richten sich nach dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos.

Einfach erklärt

Stellen Sie sich ein Firmengebäude vor: Die technischen Maßnahmen sind das Schloss an der Eingangstür, die Alarmanlage und die Überwachungskameras. Die organisatorischen Maßnahmen sind die Regeln, wer einen Schlüssel bekommt, wann das Gebäude abgeschlossen wird und wer die Aufnahmen der Kameras auswerten darf.

Genauso funktioniert es in der digitalen Welt: Technische Maßnahmen sind die digitalen Schlösser und Alarmanlagen, also Verschlüsselung, Firewalls und Zugangskontrollen. Organisatorische Maßnahmen sind die Regeln und Prozesse, also wer auf welche Daten zugreifen darf, wie Passwörter erstellt werden müssen und was bei einem Sicherheitsvorfall zu tun ist. Beide zusammen bilden ein Schutzschild um Ihre Daten.

Warum ist das wichtig?

Technische und organisatorische Maßnahmen sind das Herzstück jeder Datenschutzstrategie. Ohne sie bleiben selbst die besten Datenschutzrichtlinien wirkungslos:

• Gesetzliche Pflicht: Art. 32 DSGVO verpflichtet jedes Unternehmen, das personenbezogene Daten verarbeitet, angemessene TOM zu implementieren. Die Angemessenheit richtet sich nach dem Risiko der Verarbeitung.
• Nachweisverpflichtung: Unternehmen müssen ihre TOM dokumentieren und auf Anfrage der Aufsichtsbehörden vorlegen können. Im Rahmen eines Auftragsverarbeitungsvertrags müssen die TOM dem Auftraggeber offengelegt werden.
• Haftungsreduzierung: Angemessene TOM können im Falle einer Datenpanne die Haftung des Unternehmens reduzieren. Wer nachweisen kann, dass alle zumutbaren Maßnahmen getroffen wurden, steht besser da als ein Unternehmen ohne dokumentierte Schutzmaßnahmen.
• Kundenvertrauen: Geschäftspartner und Kunden erwarten zunehmend, dass Dienstleister ihre TOM offenlegen. Gerade in regulierten Branchen ist dies ein entscheidendes Kriterium bei der Anbieterauswahl.
• Prävention: TOM sind in erster Linie Präventivmaßnahmen. Sie verhindern Datenschutzverletzungen, bevor sie entstehen, anstatt nur im Nachhinein darauf zu reagieren.

Praxisbeispiel

Ein mittelständisches Ingenieurbüro tauscht regelmäßig Konstruktionszeichnungen und Projektunterlagen mit Auftraggebern aus. Die Unterlagen enthalten Namen und Kontaktdaten von Projektbeteiligten, also personenbezogene Daten. Bisher wurden die Dateien über einen ungesicherten FTP-Server ausgetauscht.

Nach einer internen Sicherheitsüberprüfung stellt das Unternehmen fest, dass wesentliche TOM fehlen:

• Keine Verschlüsselung der Datenübertragung
• Kein Berechtigungskonzept (alle Mitarbeiter haben vollen Zugriff)
• Keine Protokollierung von Zugriffen
• Keine regelmäßigen Sicherheitsupdates des Servers
• Keine Mitarbeiterschulungen zum Datenschutz

Das Büro implementiert daraufhin ein umfassendes TOM-Konzept: verschlüsselter Dateitransfer über eine sichere Plattform, rollenbasierte Zugriffskontrolle, lückenlose Protokollierung aller Zugriffe, automatische Sicherheitsupdates und jährliche Datenschutzschulungen für alle Mitarbeiter.

So setzt SendMeSafe das um

SendMeSafe implementiert ein umfassendes Set technischer und organisatorischer Maßnahmen, das den Anforderungen der DSGVO entspricht:

• Verschlüsselung: Alle Dateien werden mit AES-256 verschlüsselt gespeichert und über TLS 1.3 verschlüsselte Verbindungen übertragen. Mehr zur Verschlüsselung.
• Zugriffskontrollen: Rollenbasiertes Berechtigungssystem mit den Rollen Owner, Admin und Member. Upload-Links können zusätzlich mit Passwortschutz versehen werden.
• Audit-Trail: Jeder Upload, Download und Zugriff wird mit Zeitstempel, Benutzer und IP-Adresse protokolliert.
• Hosting in Deutschland: Alle Daten werden auf Hetzner Cloud Servern in Deutschland gespeichert. Es findet kein Datentransfer in Drittländer statt.
• Automatische Löschung: Dateien und Links können mit Ablaufdaten versehen werden, die eine automatische Löschung nach definierten Fristen auslösen.
• Sichere Authentifizierung: Passwortrichtlinien, Session-Management und optionale Zwei-Faktor-Authentifizierung schützen Benutzerkonten.
• Datensicherung: Regelmäßige Backups der Datenbank und des Dateispeichers gewährleisten die Verfügbarkeit auch nach Zwischenfällen.
• Dokumentation: Alle TOM sind in einem separaten TOM-Dokument beschrieben, das im Rahmen des AVV zur Verfügung gestellt wird.

Häufig gestellte Fragen

Welche TOM sind für mein Unternehmen verpflichtend?

Die DSGVO schreibt keine feste Liste von Maßnahmen vor, sondern verlangt ein dem Risiko angemessenes Schutzniveau. Je sensibler die verarbeiteten Daten und je höher das Risiko, desto umfangreicher müssen die TOM sein. Für den Dateitransfer bedeutet das mindestens: Verschlüsselung der Übertragung, Zugriffskontrollen, Protokollierung und ein Löschkonzept. Ein Datenschutzbeauftragter kann bei der konkreten Ausgestaltung unterstützen.

Muss ich meine TOM dokumentieren?

Ja, die Dokumentation ist Pflicht. Unternehmen müssen nachweisen können, welche Maßnahmen sie zum Schutz personenbezogener Daten getroffen haben. Diese Dokumentation ist Bestandteil jedes Auftragsverarbeitungsvertrags und muss auf Anfrage der Aufsichtsbehörden vorgelegt werden können. Die Dokumentation sollte regelmäßig überprüft und aktualisiert werden.

Was passiert, wenn meine TOM nicht ausreichend sind?

Unzureichende TOM stellen einen Verstoß gegen Art. 32 DSGVO dar. Aufsichtsbehörden können Bußgelder verhängen und Anordnungen zur Nachbesserung erlassen. Im Falle einer Datenpanne können unzureichende TOM zudem die Haftung des Unternehmens erheblich verschärfen, da das Unternehmen seine Sorgfaltspflichten nicht erfüllt hat.

Wie oft sollte ich meine TOM überprüfen?

Die DSGVO fordert, dass TOM regelmäßig überprüft und bei Bedarf aktualisiert werden. In der Praxis empfiehlt sich eine jährliche Überprüfung sowie eine anlassbezogene Überprüfung bei wesentlichen Änderungen der IT-Infrastruktur, neuen Verarbeitungstätigkeiten oder nach Sicherheitsvorfällen.