Technische und organisatorische Maßnahmen (TOM) im Datenschutz

Was sind technische und organisatorische Maßnahmen (TOM)?

Art. 32 Abs. 1 DSGVO formuliert den Grundsatz: Der Verantwortliche und – im Rahmen seiner Pflichten – auch der Auftragsverarbeiter müssen „geeignete technische und organisatorische Maßnahmen“ treffen, um ein „dem Risiko angemessenes Schutzniveau“ zu gewährleisten. Dabei sind unter anderem der Stand der Technik, die Implementierungskosten sowie die Art, der Umfang, die Umstände und Zwecke der Verarbeitung zu berücksichtigen.

Der Artikel benennt keine abschließenden Maßnahmen, sondern stellt vier beispielhafte Kategorien vor:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
• Wiederherstellbarkeit bei technischen oder physischen Zwischenfällen
• Regelmäßige Überprüfung und Evaluierung der Sicherheitsmaßnahmen

Diese Aufzählung macht deutlich, dass TOM nicht als „Checkliste“ zu verstehen sind, sondern als Ausdruck eines risikobasierten und dynamischen Sicherheitskonzepts.

Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit

TOM verfolgen das Ziel, zentrale Prinzipien der Informationssicherheit zu wahren. Diese lassen sich im sogenannten CIA-Dreiklang (Confidentiality, Integrity, Availability) beschreiben:

• Vertraulichkeit bedeutet, dass nur befugte Personen auf Daten zugreifen können. Maßnahmen wie Zugriffskontrollen, Authentifizierungsverfahren oder die Verschlüsselung dienen diesem Zweck.
• Integrität schützt die Daten vor unbeabsichtigter oder unbefugter Veränderung. Dies umfasst etwa Protokollierungssysteme, Prüfsummen oder Versionskontrollen.
• Verfügbarkeit stellt sicher, dass Daten dann zugänglich sind, wenn sie benötigt werden. Backup-Konzepte und Notfallpläne gehören hier zu den klassischen Maßnahmen.

Verhältnis zu verwandten Normen und Systemen:

• ISO/IEC 27001: Liefert systematische Anforderungen für ein Informationssicherheitsmanagementsystem (ISMS). Viele DSGVO-TOM finden sich in den ISO-Kontrollen wieder.
• ISMS: Bietet den organisatorischen Rahmen zur Umsetzung von TOM. Die DSGVO liefert das „Was“, das ISMS das „Wie“.
• ISO/IEC 27701: Ist eine Erweiterung der ISO/IEC 27001 und liefert spezifische Anforderungen und Empfehlungen für den Schutz personenbezogener Daten. Sie unterstützt Organisationen bei der Umsetzung von TOM im Einklang mit der DSGVO, ersetzt jedoch keine rechtliche Prüfung.

Welche TOM gibt es?

Wie der Name schon sagt, gibt es technische und organisatorische Maßnahmen. Hier finden Sie einige Beispiele für beide Kategorien.

Technische Maßnahmen

Technische Maßnahmen zielen auf die Infrastruktur, Anwendungen und Systeme. Beispiele sind:

Organisatorische Maßnahmen

Organisatorische Maßnahmen betreffen Abläufe, Zuständigkeiten und Regelwerke. Dazu zählen z.B.:

Wichtig ist: Technische und organisatorische Maßnahmen sind nicht isoliert zu betrachten, sondern ergänzen sich. Eine starke Verschlüsselung nützt wenig, wenn Zugangsdaten ungeschützt auf Post-its notiert werden.

Wie wählt man die richtigen TOM aus?

Die Auswahl geeigneter technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 DSGVO erfolgt risikobasiert. Das bedeutet, dass die Maßnahmen dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessen sein müssen. Die DSGVO gibt keine spezifischen Maßnahmen vor, sondern nennt Kriterien, die bei der Auswahl zu berücksichtigen sind.

Kriterien zur Auswahl von TOM

1. Stand der Technik

Die eingesetzten Maßnahmen sollten dem aktuellen Stand der Technik entsprechen. Dies bedeutet, dass allgemein anerkannte technische Lösungen und Sicherheitsstandards berücksichtigt werden sollten.

2. Implementierungskosten

Die Kosten für die Umsetzung der Maßnahmen müssen in einem angemessenen Verhältnis zum angestrebten Schutzniveau stehen. Hohe Kosten allein rechtfertigen jedoch nicht den Verzicht auf notwendige Sicherheitsmaßnahmen.

3. Art, Umfang, Umstände und Zwecke der Verarbeitung

Die spezifischen Eigenschaften der Datenverarbeitung, wie z. B. die Art der verarbeiteten Daten (z. B. besonders schützenswerte Daten gemäß Art. 9 DSGVO), der Umfang der Verarbeitung, die Verarbeitungskontexte und die verfolgten Zwecke, beeinflussen die Auswahl der TOM.

4. Risiko für die Rechte und Freiheiten betroffener Personen

Die Eintrittswahrscheinlichkeit und die Schwere möglicher Risiken für die betroffenen Personen müssen bewertet werden. Je höher das Risiko, desto strengere Maßnahmen sind erforderlich.

Vorgehensweise zur Bestimmung geeigneter TOM

1. Durchführung einer Risikoanalyse

Identifikation und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen im Zusammenhang mit der Datenverarbeitung.

2. Festlegung der Schutzziele

Definition der zu erreichenden Schutzziele, insbesondere Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.

3. Auswahl geeigneter Maßnahmen

Basierend auf der Risikoanalyse und den festgelegten Schutzzielen werden geeignete technische und organisatorische Maßnahmen ausgewählt, die das identifizierte Risiko angemessen reduzieren.

4. Dokumentation der Maßnahmen

Die getroffenen Maßnahmen müssen dokumentiert werden, z. B. im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

5. Regelmäßige Überprüfung und Aktualisierung

Die Wirksamkeit der Maßnahmen sollte regelmäßig überprüft und bei Bedarf angepasst werden, insbesondere bei Änderungen der Verarbeitungstätigkeiten oder der Risikolage.

ZAWAS-Prinzip

Das ZAWAS-Prinzip (Prozess zur Zur Auswahl Angemessener Sicherungsmaßnahmen) ist ein methodischer Ansatz, entwickelt von der Landesbeauftragten für den Datenschutz Niedersachsen, um systematisch geeignete technische und organisatorische Maßnahmen auszuwählen und zu dokumentieren.

Acht Schritte des ZAWAS-Prozesses

1. Verarbeitungstätigkeit beschreiben

Detaillierte Darstellung der Datenverarbeitung, einschließlich Zweck, Art der Daten und Ablauf.

2. Rechtliche Grundlagen prüfen

Sicherstellung, dass die Verarbeitung auf einer gültigen Rechtsgrundlage basiert.

3. Strukturanalyse durchführen

Identifikation der zu schützenden Objekte und deren Beziehungen zueinander.

4. Risikoanalyse vornehmen

Bewertung potenzieller Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schadensschwere.

5. Maßnahmen auswählen

Bestimmung geeigneter technischer und organisatorischer Maßnahmen zur Risikominderung.

6. Restrisiko bewerten

Einschätzung verbleibender Risiken nach Implementierung der Maßnahmen.

7. Maßnahmen konsolidieren

Zusammenfassung und Integration der Maßnahmen in bestehende Prozesse.

8. Maßnahmen realisieren

Umsetzung der ausgewählten Maßnahmen und Festlegung von Verantwortlichkeiten.

Zusätzliche Hinweise

• Bei Verarbeitungstätigkeiten mit hohem Risiko ist gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen.
• Es ist empfehlenswert, sich an etablierten Standards und Best Practices zu orientieren, z. B. ISO/IEC 27001 oder dem Standard-Datenschutzmodell (SDM).
• Die Auswahl der TOM sollte in Zusammenarbeit mit dem Datenschutzbeauftragten und gegebenenfalls mit IT-Sicherheitsexperten erfolgen.

Die Auswahl geeigneter TOM ist ein kontinuierlicher Prozess, der eine regelmäßige Bewertung und Anpassung erfordert, um den Schutz personenbezogener Daten effektiv sicherzustellen.

Wie müssen die TOM dokumentiert werden?

TOM gemäß Art. 32 DSGVO müssen dokumentiert werden, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Die Dokumentation dient als Nachweis gegenüber Aufsichtsbehörden und sollte regelmäßig aktualisiert werden.

Form der Dokumentation:

• Verzeichnis von Verarbeitungstätigkeiten (VVT): Gemäß Art. 30 DSGVO ist ein VVT zu führen, in dem auch die TOM für jede Verarbeitungstätigkeit dokumentiert werden. Die Datenschutzkonferenz (DSK) stellt hierzu Musterformulare bereit.
• Eigenständiges TOM-Dokument: Zusätzlich oder alternativ kann ein separates Dokument erstellt werden, das die allgemeinen TOM der Organisation beschreibt. Dies kann in Tabellenform, als Fließtext oder in anderer strukturierter Weise erfolgen.
  

Inhalte der Dokumentation:

Die Dokumentation sollte folgende Aspekte abdecken:

• Vertraulichkeit: Maßnahmen zur Zutritts-, Zugangs- und Zugriffskontrolle.
• Integrität: Maßnahmen zur Sicherstellung der Datenintegrität, z. B. durch Protokollierung und Änderungsverfolgung.
• Verfügbarkeit und Belastbarkeit: Maßnahmen zur Sicherstellung der Datenverfügbarkeit, z. B. durch Backup- und Wiederherstellungsverfahren.
• Überprüfung und Evaluierung: Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der TOM.

Beispielhafte Dokumentation der Zwei-Faktor-Authentifizierung bei CRM

Verarbeitungstätigkeit: Zugriff auf das Customer-Relationship-Management (CRM)-System

Zweck der Maßnahme: Sicherstellung, dass nur autorisierte Nutzer Zugriff auf das CRM-System erhalten, um die Vertraulichkeit und Integrität der darin enthaltenen personenbezogenen Daten zu gewährleisten.

Beschreibung der Maßnahme:

• Authentifizierungsverfahren: Kombination aus Benutzername/Passwort und einem zeitbasierten Einmalpasswort (TOTP), das über eine Authentifizierungs-App generiert wird.
• Implementierung: Integration der 2FA in das bestehende Authentifizierungssystem des CRM. Nutzer müssen bei jeder Anmeldung beide Faktoren eingeben.
• Verwaltung: Die IT-Abteilung ist für die Einrichtung und Wartung der 2FA verantwortlich. Neue Nutzer erhalten Anweisungen zur Einrichtung der Authentifizierungs-App.
• Schulung: Mitarbeiter werden regelmäßig über die Bedeutung der 2FA und den sicheren Umgang mit Authentifizierungsdaten informiert.
• Überprüfung: Die Wirksamkeit der 2FA wird jährlich im Rahmen des internen Audits überprüft.
  

Begründung: Die Implementierung der 2FA reduziert das Risiko unbefugter Zugriffe erheblich, insbesondere im Falle kompromittierter Passwörter. Dies entspricht dem Stand der Technik und ist unter Berücksichtigung der Risiken für die Rechte und Freiheiten der betroffenen Personen angemessen.

Verantwortlicher: Max Mustermann, IT-Sicherheitsbeauftragter

Datum der Implementierung: 01.03.2025

Letzte Überprüfung: 15.05.2025

Nächste geplante Überprüfung: 15.05.2026

Diese Dokumentation sollte Bestandteil des Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO sein.Zudem ist es empfehlenswert, die Dokumentation regelmäßig zu aktualisieren und bei Bedarf anzupassen, insbesondere wenn sich die technischen Gegebenheiten oder die Risikobewertung ändern.

Schritt-für-Schritt-Anleitung: TOM systematisch entwickeln

Ein wirksames TOM-Konzept entsteht nicht durch spontane Maßnahmen, sondern durch ein strukturiertes Vorgehen. Folgende Schritte haben sich bewährt:

1. Verarbeitungstätigkeit exakt beschreiben

Erstellen Sie eine vollständige Beschreibung der relevanten Verarbeitung, z. B. „Verarbeitung von Kundendaten im CRM-System für vertriebliche Zwecke“. Diese Klarheit ist Grundlage aller folgenden Entscheidungen.

Praxis-Tipp: Verwenden Sie das Verzeichnis von Verarbeitungstätigkeiten als Ausgangspunkt und halten Sie alle System- und Datenflüsse fest.

2. Risiken identifizieren und bewerten

Bewerten Sie, welche Risiken für die Rechte der betroffenen Personen bestehen – etwa Verlust der Vertraulichkeit, ungewollte Änderung oder Nichtverfügbarkeit.

Hinweis: Nutzen Sie qualitative Risikobewertungen, z. B. mittels Eintrittswahrscheinlichkeit × Schadenshöhe.

3. Schutzziele definieren

Legen Sie fest, welche Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit im konkreten Fall gelten. Eine besonders hohe Vertraulichkeit kann z. B. bei Gesundheitsdaten gegeben sein, während bei Notfalldaten die Verfügbarkeit dominieren kann.

4. Geeignete TOM auswählen

Wählen Sie geeignete technische und organisatorische Maßnahmen, um das identifizierte Risiko zu minimieren. Beachten Sie dabei:

• Stand der Technik
• Verhältnis zwischen Aufwand und Nutzen
• Wirksamkeit im konkreten Anwendungsfall

5. Maßnahmen dokumentieren

Halten Sie Maßnahmen schriftlich fest – idealerweise in strukturierter Tabellenform – inklusive Zweck, Implementierungsstand, Verantwortlichkeit und geplanten Überprüfungen.

6. Umsetzung sicherstellen

Koordinieren Sie die technische Umsetzung mit IT-Abteilung, HR und anderen relevanten Einheiten. Klären Sie Zuständigkeiten und stellen Sie sicher, dass Ressourcen zur Verfügung stehen.

7. Wirksamkeit regelmäßig evaluieren

Planen Sie regelmäßige Tests oder Audits ein. Prüfen Sie etwa, ob alle Benutzer tatsächlich Zwei-Faktor-Authentifizierung verwenden oder ob alte Benutzerkonten deaktiviert wurden.

8. Anpassung bei Veränderungen

Überarbeiten Sie TOM bei Systemänderungen, neuen Risiken oder Vorfällen. Änderungen müssen nicht nur dokumentiert, sondern auch kommuniziert und technisch umgesetzt werden.

Wer im Unternehmen ist verantwortlich für die TOM?

Zentral verantwortlich für die Umsetzung von TOM ist der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO – also die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Der Auftragsverarbeiter muss ebenfalls geeignete TOM implementieren (Art. 28 Abs. 3 lit. c DSGVO), jedoch im Rahmen des vom Verantwortlichen definierten Rahmens.

Der Datenschutzbeauftragte (DSB) nimmt eine beratende und überwachende Rolle ein. Er prüft die Angemessenheit der Maßnahmen, empfiehlt Ergänzungen, beteiligt sich an Datenschutz-Folgenabschätzungen und dokumentiert das Vorgehen.

Der Informationssicherheitsbeauftragte (ISB) wiederum verantwortet die konzeptionelle und operative Umsetzung des IT-Sicherheitsniveaus im Unternehmen. Er sorgt dafür, dass Sicherheitslücken erkannt, Maßnahmen evaluiert und die technische Umsetzung dokumentiert werden. Die Zusammenarbeit zwischen ISB und DSB ist essenziell – insbesondere bei der Festlegung und Bewertung von TOM.

Welche Sanktionen drohen bei unzureichenden TOM?

Ein Verstoß gegen Art. 32 DSGVO kann empfindliche Bußgelder nach sich ziehen – bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Relevante Beispiele aus Deutschland:

• 1,24 Mio. € gegen eine Krankenkasse wegen unzureichender Einwilligungskontrolle
• 900.000 € gegen einen IT-Dienstleister wegen fehlender Löschroutinen
• 105.000 € gegen ein Krankenhaus aufgrund organisatorischer Mängel bei der Patientenverwaltung

Diese Fälle zeigen: Unzureichende TOM sind nicht nur ein Compliance-Problem, sondern ein handfestes Risiko.

So unterstützen wir Sie bei Ihren TOM

Die Auswahl, Umsetzung und Dokumentation geeigneter technischer und organisatorischer Maßnahmen ist komplex und erfordert fundierte Kenntnisse im Datenschutz- und IT-Sicherheitsrecht sowie in der praktischen Umsetzung. Als spezialisierte Unternehmensberatung begleiten wir Sie dabei mit folgenden Leistungen:

• Analyse und Bewertung Ihrer bestehenden TOM auf Grundlage von DSGVO-Anforderungen und branchenspezifischen Standards
• Durchführung strukturierter Risikoanalysen zur Ermittlung notwendiger Sicherheitsmaßnahmen
• Begleitung bei der Erstellung und Pflege eines maßgeschneiderten TOM-Konzepts – rechtssicher, auditfähig und praxisnah
• Beratung zur Auswahl geeigneter technischer Sicherheitsmaßnahmen, z. B. Verschlüsselung, Zugriffs- und Zutrittskontrollen, Protokollierung
• Entwicklung organisatorischer Maßnahmen, z. B. Löschkonzepte, Berechtigungskonzepte und Meldeverfahren
• Unterstützung bei der Integration von TOM in ein bestehendes ISMS nach ISO/IEC 27001 oder im Aufbau eines neuen Systems
• Dokumentations- und Nachweiskonzepte zur internen Übersicht und für die Vorlage gegenüber Aufsichtsbehörden
• Regelmäßige Überprüfung und Aktualisierung Ihrer TOM bei Veränderungen in der Verarbeitung oder Bedrohungslage
• Schulungen für Fachbereiche und Verantwortliche, um Sicherheitsmaßnahmen nachhaltig im Unternehmen zu verankern

Wir unterstützen Sie sowohl punktuell bei konkreten Fragen als auch langfristig als strategischer Partner.