Kurz erklärt
Technische und organisatorische Maßnahmen sind konkrete Schritte zum Schutz von Daten, etwa Verschlüsselung und Zugriffskonzepte. Die DSGVO verlangt sie als Nachweis angemessener Sicherheit.
Technische und organisatorische Maßnahmen sind konkrete Schritte zum Schutz von Daten, etwa Verschlüsselung und Zugriffskonzepte. Die DSGVO verlangt sie als Nachweis angemessener Sicherheit.
TOM sind alle konkreten Vorkehrungen, mit denen ein Unternehmen personenbezogene Daten schützt. Man unterscheidet technische Maßnahmen, die in Systemen verankert sind, und organisatorische Maßnahmen, die Abläufe und Verantwortlichkeiten betreffen.
Gemeinsam sorgen sie dafür, dass nur befugte Personen auf Daten zugreifen und dass diese verfügbar, vertraulich und unverändert bleiben.
Die DSGVO fordert ein dem Risiko angemessenes Schutzniveau. TOM sind der praktische Beleg, dass Sie diese Pflicht erfüllen — nicht durch bloße Absicht, sondern durch nachweisbare Maßnahmen.
Im Schadensfall oder bei einer Prüfung müssen Sie zeigen können, dass Schutzvorkehrungen vorhanden und wirksam waren. Welche Maßnahmen angemessen sind, richtet sich nach Sensibilität der Daten, Stand der Technik und möglichem Schaden für die Betroffenen. TOM sollten dokumentiert und regelmäßig überprüft werden, damit sie aktuell bleiben.
Maßnahmen dürfen nicht nur auf dem Papier stehen. Entscheidend ist, dass sie tatsächlich gelebt, dokumentiert und in Abständen überprüft werden.
Orientieren Sie den Aufwand am Risiko: Hochsensible Daten brauchen stärkere Vorkehrungen als unkritische. Vermeiden Sie generische Listen, die nicht zur eigenen IT passen. Ein wiederkehrendes Audit hilft, Lücken zu erkennen und die Maßnahmen aktuell zu halten. Auch Dienstleister müssen über den Auftragsverarbeitungsvertrag auf passende TOM verpflichtet werden.
FAQ
Kurz und konkret beantwortet.
TOM steht für technische und organisatorische Maßnahmen. Der Begriff fasst alle konkreten Vorkehrungen zusammen, mit denen ein Unternehmen personenbezogene Daten schützt — von der Verschlüsselung über Zugriffskonzepte bis zu Schulungen und klaren Zuständigkeiten.
Nein. Die DSGVO nennt Beispiele, schreibt aber keine starre Liste vor. Welche Maßnahmen angemessen sind, hängt vom Risiko, der Sensibilität der Daten und dem Stand der Technik ab. Sie wählen passende Maßnahmen und begründen Ihre Entscheidung.
Technische Maßnahmen sind in Systemen verankert, etwa Verschlüsselung, Firewalls oder automatische Backups. Organisatorische Maßnahmen betreffen Abläufe und Menschen, zum Beispiel Berechtigungskonzepte, Schulungen oder Vertraulichkeitsverpflichtungen. Wirksamer Datenschutz braucht beide Arten zusammen.
Ja. Die DSGVO verlangt, dass Sie die Angemessenheit Ihrer Maßnahmen nachweisen können. Eine schriftliche Dokumentation der TOM ist dafür unerlässlich. Sie sollte aktuell gehalten und bei Bedarf gegenüber Aufsichtsbehörden oder Geschäftspartnern vorgelegt werden können.
Verwandte Begriffe
Noch Fragen?
Ob Compliance & Recht oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.