Compliance-Lexikon · DSGVO
Technisch-organisatorische Massnahmen
auch: TOM, TOMs
Technisch-organisatorische Massnahmen (TOMs) sind die nach Art. 32 DSGVO geforderten Schutzmassnahmen zur Gewaehrleistung eines dem Risiko angemessenen Schutzniveaus fuer personenbezogene Daten - einschliesslich Verschluesselung, Zugriffskontrolle, Verfuegbarkeitssicherung und regelmaessiger Wirksamkeitspruefung.
Warum TOMs der technische Kern der DSGVO-Compliance sind
Art. 32 DSGVO verlangt nicht abstrakte Sicherheitsabsichten, sondern dokumentierte, dem Risiko angemessene Massnahmen: Pseudonymisierung und Verschluesselung, Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme, Wiederherstellungsfaehigkeit nach einem Zwischenfall sowie regelmaessige Ueberpruefung der Wirksamkeit. TOMs sind zudem verpflichtender Bestandteil jedes Auftragsverarbeitungsvertrags.
Wo TOMs gefordert werden
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 32 | Sicherheit der Verarbeitung: Vollstaendige TOM-Anforderung mit Beispielmassnahmen. |
| DSGVO | Art. 24 | Verantwortung des Verantwortlichen: TOMs als Nachweis der Rechenschaftspflicht. |
| DSGVO | Art. 28 Abs. 3c | TOMs als verpflichtender Vertragsbestandteil bei der Auftragsverarbeitung. |
| ISO 27001:2022 | Annex A | TOMs entsprechen weitgehend dem ISO-27001-Kontrollkatalog als Implementierungsrahmen. |
| BSI IT-Grundschutz | vollstaendig | Alternativer, deutschlandspezifischer Rahmen zur TOM-Implementierung. |
Haeufige Fehler
- TOM-Dokument generisch und nicht auf konkrete Verarbeitungen bezogen
- Keine regelmaessige Aktualisierung bei technischen oder organisatorischen Aenderungen
- TOMs nicht angemessen zum tatsaechlichen Risiko (Unter- oder Ueberdimensionierung)
- Keine Nachweise der Wirksamkeitspruefung (Tests, Audits)
TOM-Dokumentation in der Praxis
Eine vollstaendige TOM-Dokumentation gliedert sich typischerweise nach den acht Schutzzielen des Standard-Datenschutzmodells (SDM): Vertraulichkeit, Integritaet, Verfuegbarkeit, Transparenz, Nichtverkettung, Intervenierbarkeit, Datenminimierung und Authentizitaet. Fuer jedes Schutzziel werden konkrete technische und organisatorische Massnahmen benannt. Diese Dokumentation dient sowohl als Nachweis gegenueber Aufsichtsbehoerden als auch als Anhang zu Auftragsverarbeitungsvertraegen.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.