Datenschutz & IT-Sicherheit

7 technisch-organisatorische Maßnahmen (TOMs) für DSGVO-Compliance

Zuletzt aktualisiert:
In einem Satz

TOMs nach Art. 32 DSGVO sind risikoorientiert: Schutzbedarf prüfen, dann Maßnahmen wählen. Die sieben Kern-Bereiche: (1) Zutritts- und Zugangskontrolle, (2) Zugriffskontrolle und Rollenkonzept, (3) Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a), (4) Integrität und Übertragungssicherheit, (5) Verfügbarkeit und Belastbarkeit (lit. b), (6) Wiederherstellbarkeit (lit. c), (7) regelmäßige Überprüfung und Mitarbeitenden-Schulung (lit. d). TOMs sind im AVV und Verarbeitungsverzeichnis zu dokumentieren. Keine Rechtsberatung.

Art. 32 DSGVO verlangt risikoangepasste TOMs. Stand der Technik, Implementierungskosten und Schutzbedarf werden gegeneinander abgewogen. Es gibt keine fixe Checkliste, aber die Aufsichtsbehörden haben Erwartungen, die sich in sieben Themenfeldern wiederfinden.

Dieses Listicle ordnet das BSI-IT-Grundschutz-Modell und gängige Audit-Praxis in praktikable TOM-Cluster.

1

Zutritts- und Zugangskontrolle

Physischer Schutz vor Unbefugten: Schließsysteme, Besucherausweise, abgeschlossene Serverräume, Clean Desk Policy, gesperrte Bildschirme bei Abwesenheit, Aktenschränke mit Schlüssel, sichere Vernichtung (DIN 66399 Stufen P-3 bis P-5). Auch der USB-Stick-Verlust gehört hierher. Endpoint-Verschlüsselung als ergänzende Maßnahme.

2

Zugriffskontrolle und Berechtigungskonzept

Need-to-know-Prinzip: Mitarbeitende sehen nur, was sie für ihre Aufgabe brauchen. Konkret: Rollen-basiertes Berechtigungsmodell (RBAC), starke Passwörter, Multi-Faktor-Authentifizierung (MFA), Single Sign-on mit zentraler De-Provisionierung beim Austritt. Jährliches Berechtigungs-Review, gerade beim Wechsel zwischen Abteilungen wird oft nichts entzogen, nur ergänzt.

3

Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a)

DSGVO nennt beide explizit. Transport-Verschlüsselung (TLS 1.2+ für Web, S/MIME oder PGP für E-Mail mit sensiblen Inhalten). Festplatten-Verschlüsselung (BitLocker, FileVault) für alle mobilen Geräte. Datenbank-Verschlüsselung für besonders sensible Felder. Pseudonymisierung in Test- und Analyse-Umgebungen statt Klartextdaten. Schlüsselmanagement nicht vergessen, verlorene Schlüssel = verlorene Daten.

4

Integrität und Übertragungssicherheit

Schutz vor unbeabsichtigter oder unbefugter Veränderung: Hash-Verfahren bei Backups, signierte Logs, Vier-Augen-Prinzip bei kritischen Änderungen, Versionierung. Bei Übertragung: gesicherte Kanäle (SFTP statt FTP, VPN für Remote-Zugriffe). E-Mail an externe Adressen mit personenbezogenen Daten verschlüsseln oder gar nicht senden. TLS-only reicht nicht für sensible Daten.

5

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b)

Schutz vor Ausfall: USV in Serverräumen, redundante Hardware, Cluster, geografisch getrennte Rechenzentren bei Cloud-Anbietern. Anti-Malware, Patch-Management, Vulnerability-Scans. Notfall-Konzept (Business Continuity) inkl. Rollen, Eskalation, Kommunikation. DSGVO sieht Verfügbarkeit ausdrücklich als Datenschutz-Thema, ein Mailserver-Crash kann Betroffenenrechte ausbremsen.

6

Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c)

3-2-1-Backup-Regel: drei Kopien, zwei verschiedene Medien, eine offsite. Ransomware-resistente Backups (offline, immutable, air-gapped). RTO und RPO definieren und testen, wann wurde das letzte Restore-Drill gemacht? Backups, die nie zurückgespielt wurden, sind oft kaputt. Auch Datenbank-Restore-Skripte gehören regelmäßig in den Test.

7

Überprüfung, Bewertung, Mitarbeitenden-Schulung (Art. 32 Abs. 1 lit. d)

TOMs werden „regelmäßig überprüft, bewertet und evaluiert“, die DSGVO macht das ausdrücklich zur Pflicht. Konkret: jährlicher TOM-Review, interne Audits, Penetrationstests, Phishing-Simulationen. Mitarbeitenden-Schulung mindestens einmal pro Jahr, mit Nachweis. Awareness ist die wirksamste TOM gegen Social Engineering, und die günstigste.

Fazit

Dokumentation als TOM

TOMs müssen nicht nur existieren, sondern dokumentiert sein, in AVVs (Art. 28), im Verarbeitungsverzeichnis (Art. 30) und in einem TOM-Konzept. Im Ernstfall (Aufsichtsbehörde, Datenpanne) wird genau diese Dokumentation geprüft.

Risikoangemessen · kein Overkill

Art. 32 verlangt Risiko-Angemessenheit, nicht Maximum-Security. Eine kleine Buchhaltungs-Software für 5 Mitarbeiter braucht keine Hochsicherheits-TOMs einer Bank. Aber: Bei Gesundheits- oder Kinder-Daten gilt ein anderes Niveau. Schutzbedarf zuerst, dann Maßnahmen.

FAQs

Reicht es, die TOMs des Cloud-Anbieters zu übernehmen?
AWS, Azure, Google Cloud betreiben TOMs auf Infrastruktur-Ebene (Rechenzentrum, Netzwerk, Hypervisor). Du bist verantwortlich für Identity-Management, Berechtigungen, Daten-Verschlüsselung im Account, Backup-Konfiguration, Logging und Auditing in deinen Workloads.
Müssen TOMs zertifiziert sein?
DSGVO sieht in Art. 42 freiwillige Zertifizierungen vor. ISO 27001 ist Industrie-Standard für ISMS; BSI IT-Grundschutz ist im deutschen Behörden-Umfeld verbreitet. Für Automotive-Lieferketten: TISAX. Eine Zertifizierung ersetzt keine DSGVO-Compliance, beweist aber strukturiertes Sicherheits-Management.
Wie oft müssen TOMs überprüft werden?
Praxis: jährlicher Review-Termin im Datenschutz-Kalender. Ad-hoc-Review bei Sicherheitsvorfällen, neuen Tools, Reorganisationen oder Standortwechseln. Aufsichtsbehörden achten besonders darauf, dass TOMs aktualisiert wurden, veraltete Dokumente sind ein Red Flag.
Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.