TOM Datensicherheit: Technisch-organisatorische Maßnahmen richtig umsetzen

Wer personenbezogene Daten von Kunden verarbeitet, muss diese durch geeignete technische und organisatorische Maßnahmen (TOM) schützen – und die Umsetzung im Streitfall auch belegen können. Das gilt für den Onlineshop genauso wie für die Steuerkanzlei oder den IT-Dienstleister.
Kurz erklärt: TOM sind die technischen und organisatorischen Maßnahmen, mit denen Unternehmen personenbezogene Daten vor Verlust, Missbrauch und unberechtigtem Zugriff schützen. Betroffen sind alle Verantwortlichen und Auftragsverarbeiter, die Kundendaten verarbeiten – unabhängig von der Unternehmensgröße. Fehlen angemessene TOM, drohen bei einer Datenpanne empfindliche Bußgelder.
Wer ist von der TOM-Pflicht betroffen?
Betroffen sind sowohl Verantwortliche als auch Auftragsverarbeiter, die personenbezogene Kundendaten verarbeiten – vom Einzelunternehmen bis zum Konzern.
Die Pflicht zu angemessenen TOM ergibt sich aus Art. 32 DSGVO und gilt unabhängig von Unternehmensgröße oder Branche – vom Einzelunternehmer mit einer Handvoll Kundendatensätzen bis zum mittelständischen Betrieb mit eigener IT-Abteilung. Wer einen Auftragsverarbeiter einsetzt, etwa einen Cloud-Dienstleister, ein Buchhaltungsbüro oder einen IT-Support, muss dessen TOM prüfen, bevor er ihn beauftragt, und die Maßnahmen im Auftragsverarbeitungsvertrag (AVV) verankern. Umgekehrt müssen Auftragsverarbeiter ihren Auftraggebern gegenüber offenlegen, welche Schutzmaßnahmen sie selbst einsetzen.
Auch wenn Sie keine besonders sensiblen Daten wie Gesundheits- oder Zahlungsdaten verarbeiten, sind Sie in der Pflicht: Bereits gewöhnliche Kundendaten wie Name, Adresse oder E-Mail-Adresse fallen unter den Schutzbereich der DSGVO und müssen angemessen abgesichert werden.
Was müssen Sie konkret tun?
Sie müssen risikobasierte Maßnahmen nach Stand der Technik umsetzen, die dem Schutzbedarf der verarbeiteten Daten entsprechen.
Zu den technischen Maßnahmen zählen unter anderem Zugriffskontrollen, die Verschlüsselung von Daten bei Übertragung und Speicherung sowie ein funktionierendes Backup-Konzept. Organisatorisch bedeutet das vor allem: klare Zuständigkeiten, geregelte Prozesse für die Vergabe und den Entzug von Zugriffsrechten sowie eine schriftliche Dokumentation, die im Ernstfall – etwa bei einer Prüfung durch die Aufsichtsbehörde – vorgelegt werden kann. Welche dieser Pflichten für Ihr Unternehmen im Detail gelten, zeigt ein Werkzeug wie Company Audit.
Wichtig ist der risikobasierte Ansatz: Je sensibler die verarbeiteten Daten und je größer der potenzielle Schaden bei einem Vorfall, desto höher müssen die Schutzmaßnahmen ausfallen. Ein Kleinunternehmen mit einfacher Kundendatenbank braucht andere Maßnahmen als ein Unternehmen, das Gesundheits- oder Finanzdaten verarbeitet.
In fünf Schritten zu dokumentierten TOM
Die Umsetzung lässt sich in fünf nachvollziehbaren Schritten strukturieren, die aufeinander aufbauen.
- Schutzbedarf der verarbeiteten Kundendaten einschätzen (normal/hoch/sehr hoch).
- Zugriffsrechte nach Need-to-know-Prinzip vergeben und regelmäßig prüfen.
- Verschlüsselung für Übertragung und Speicherung sensibler Daten einsetzen.
- Backup- und Wiederherstellungskonzept einrichten und testen.
- Umgesetzte Maßnahmen schriftlich dokumentieren (TOM-Dokument).
Diese Reihenfolge ist bewusst gewählt: Erst wenn der Schutzbedarf bekannt ist, lassen sich Zugriffsrechte, Verschlüsselung und Backup-Strategie sinnvoll dimensionieren. Die abschließende Dokumentation macht die getroffenen Entscheidungen nachvollziehbar – auch für neue Mitarbeitende oder externe Prüfer.
Wie oft müssen TOM überprüft werden?
TOM sind kein einmaliges Projekt, sondern müssen fortlaufend an neue Risiken angepasst werden.
Prüfen Sie Zugriffsrechte regelmäßig und aktualisieren Sie die Maßnahmen, sobald sich Systeme, Prozesse, Mitarbeiterzahl oder die Bedrohungslage ändern – etwa bei der Einführung neuer Software, einem Wechsel des Cloud-Anbieters oder nach einem sicherheitsrelevanten Vorfall. In der Praxis wird das TOM-Dokument oft direkt als Anlage zum Auftragsverarbeitungsvertrag (AVV) verlangt – beide Dokumente sollten daher gemeinsam gepflegt und bei Änderungen synchron aktualisiert werden.
Was droht bei Verstoß?
Fehlende oder unzureichende TOM zählen zu den häufigsten Gründen für DSGVO-Bußgelder, insbesondere wenn sie im Zusammenhang mit einer Datenpanne auffallen.
Nach Art. 32 DSGVO drohen bei unzureichenden Sicherheitsmaßnahmen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes – vor allem, wenn nach einer Datenpanne nachgewiesen wird, dass angemessene Schutzmaßnahmen gefehlt haben.
Neben dem Bußgeld drohen bei einer Datenpanne zusätzlich Meldepflichten gegenüber der Aufsichtsbehörde und gegebenenfalls den betroffenen Personen sowie ein Vertrauens- und Reputationsschaden, der sich oft schwerer beziffern lässt als das Bußgeld selbst.
Häufige Fragen
Was zählt zu technischen Maßnahmen?
Dazu zählen zum Beispiel Zugriffskontrollen wie Passwortschutz und Berechtigungskonzepte, die Verschlüsselung von Daten bei der Übertragung und bei der Speicherung sowie ein getestetes Backup- und Wiederherstellungskonzept, mit dem Daten nach einem Vorfall zuverlässig wiederhergestellt werden können.
Was zählt zu organisatorischen Maßnahmen?
Dazu gehören etwa die Vergabe von Zugriffsrechten nach dem Need-to-know-Prinzip, klare Verantwortlichkeiten im Unternehmen und die schriftliche Dokumentation aller Maßnahmen im TOM-Dokument, damit die getroffenen Entscheidungen jederzeit nachvollziehbar sind.
Gilt die TOM-Pflicht auch für kleine Unternehmen?
Ja, Art. 32 DSGVO gilt unabhängig von der Unternehmensgröße für alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten verarbeiten – auch für Einzelunternehmer und kleine Betriebe ohne eigene IT-Abteilung.
Wie hängen TOM und Auftragsverarbeitungsvertrag zusammen?
Das TOM-Dokument wird in der Praxis häufig direkt als Anlage zum AVV verlangt, weshalb beide Dokumente gemeinsam gepflegt und bei jeder Aktualisierung abgeglichen werden sollten.
Was ist ein einfacher erster Schritt?
Die Einführung einer Zwei-Faktor-Authentifizierung für zentrale Systeme ist ein einfacher und wirkungsvoller erster Schritt zu mehr Datensicherheit, der sich meist ohne großen Aufwand umsetzen lässt.
Quelle: Art. 32 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verzeichnis von Verarbeitungstätigkeiten (VVT) führen
Fast jedes Unternehmen mit Kundendaten muss ein VVT nach Art. 30 DSGVO führen – sonst drohen Bußgelder bis 10 Mio. Euro.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.