Technische & organisatorische Maßnahmen

Was sind technische und organisatorische Maßnahmen (TOMs)?

Artikel 32 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen werden in der Praxis als TOMs bezeichnet und bilden das Rückgrat jeder DSGVO-Compliance.

Die DSGVO gibt keinen abschließenden Maßnahmenkatalog vor, sondern nennt in Art. 32 Abs. 1 vier Kategorien als Orientierung: Pseudonymisierung, Verschlüsselung, Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die Fähigkeit, personenbezogene Daten nach einem Vorfall rasch wiederherzustellen. Hinzu kommt die Pflicht, die Wirksamkeit der Maßnahmen regelmäßig zu überprüfen und zu bewerten.

Sicherheit der Verarbeitung (Art. 32 Abs. 1)

Bei der Auswahl geeigneter Maßnahmen sind der Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen. Das bedeutet: Es gibt keine Einheitslösung — jedes Unternehmen muss eine individuelle Risikobewertung durchführen.

Aufsichtsbehörden erwarten, dass Unternehmen nachweisen können, wie sie zu ihren Maßnahmen gekommen sind. Eine reine Checkliste ohne Risikobezug reicht nicht aus. Die Dokumentation der Risikoanalyse ist daher ebenso wichtig wie die Maßnahmen selbst.

Verschlüsselung und Pseudonymisierung

Die DSGVO hebt Verschlüsselung und Pseudonymisierung als beispielhafte Maßnahmen explizit hervor. Beide verfolgen unterschiedliche Ziele:

• Verschlüsselung: Schützt Daten vor unbefugtem Zugriff — sowohl bei der Übertragung (Transport Layer Security) als auch im Ruhezustand (Disk Encryption, Datenbank-Verschlüsselung). Bei einer Datenpanne mit verschlüsselten Daten entfällt unter Umständen die Benachrichtigungspflicht gegenüber Betroffenen (Art. 34 Abs. 3 lit. a).
• Pseudonymisierung: Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Die zusätzlichen Informationen werden gesondert aufbewahrt. Pseudonymisierte Daten bleiben personenbezogen, aber das Risiko bei einem Datenleck sinkt erheblich.

Zugangs- und Zugriffskontrolle

Die Kontrolle, wer auf welche Daten zugreifen darf, ist eine der wichtigsten technisch-organisatorischen Maßnahmen. Die DSGVO unterscheidet dabei zwischen mehreren Kontrollbereichen:

• Zugangskontrolle: Physischer Zugang zu Räumen mit IT-Systemen — Schlüsselkarten, biometrische Zutrittssysteme, Besucherregelungen.
• Zugriffskontrolle: Logischer Zugriff auf Systeme und Daten — rollenbasierte Berechtigungen (RBAC), Multi-Faktor-Authentifizierung (MFA), regelmäßige Berechtigungsreviews.
• Eingabekontrolle: Nachvollziehbarkeit, wer wann welche Daten eingegeben, verändert oder gelöscht hat — Audit-Logs, Versionierung.
• Weitergabekontrolle: Schutz bei der Übertragung personenbezogener Daten — verschlüsselte E-Mail, VPN, sichere Dateitransfer-Protokolle.
• Trennungskontrolle: Daten, die zu unterschiedlichen Zwecken erhoben wurden, müssen getrennt verarbeitet werden — mandantenfähige Systeme, logische Trennung in Datenbanken.

Backup und Wiederherstellung

Art. 32 Abs. 1 lit. c verlangt die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das erfordert:

• Backup-Strategie: Regelmäßige Datensicherungen nach der 3-2-1-Regel (drei Kopien, zwei verschiedene Medien, eine Off-Site-Kopie). Backup-Intervalle sollten dem Risiko und der Datenmenge angemessen sein.
• Recovery Time Objective (RTO): Wie schnell müssen Systeme nach einem Ausfall wiederhergestellt werden? Die RTO muss dokumentiert und regelmäßig getestet werden.
• Recovery Point Objective (RPO): Wie viel Datenverlust ist akzeptabel? Bei täglichen Backups kann bis zu einem Tag an Daten verloren gehen.
• Restore-Tests: Backups, die nie getestet wurden, sind keine Backups. Regelmäßige Wiederherstellungstests sind Pflicht.

Regelmäßige Überprüfung und Bewertung

Art. 32 Abs. 1 lit. d verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen. Das ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess:

• Interne Audits: Mindestens jährliche Überprüfung der implementierten Maßnahmen gegen die dokumentierten Anforderungen.
• Penetrationstests: Regelmäßige technische Sicherheitstests, um Schwachstellen zu identifizieren, bevor sie ausgenutzt werden.
• Schwachstellen-Management: Systematisches Scannen und Patchen von Software-Schwachstellen in allen Systemen, die personenbezogene Daten verarbeiten.
• Überprüfung bei Änderungen: Jede wesentliche Änderung an Systemen, Prozessen oder Auftragsverarbeitern erfordert eine erneute Risikobewertung und ggf. Anpassung der TOMs.

Für Verarbeitungen mit hohem Risiko kann zusätzlich eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein, die eine vertiefte Analyse der Risiken und Gegenmaßnahmen umfasst.

TOM-Dokumentation für den Nachweis

Die Rechenschaftspflicht (Art. 5 Abs. 2) verlangt, dass du die Einhaltung der DSGVO nachweisen kannst. Für TOMs bedeutet das: Jede Maßnahme muss dokumentiert sein. Aufsichtsbehörden und Auftraggeber (bei der Auftragsverarbeitung) fordern regelmäßig TOM-Dokumentationen an.

Eine vollständige TOM-Dokumentation sollte folgende Bereiche abdecken:

• Vertraulichkeit: Zugangs-, Zugriffs-, Weitergabe- und Trennungskontrolle
• Integrität: Eingabekontrolle, Datenintegrität, Audit-Logging
• Verfügbarkeit: Backup, Wiederherstellung, Redundanz, Notfallpläne
• Belastbarkeit: Systemhärtung, Skalierbarkeit, DDoS-Schutz
• Verfahren zur Überprüfung: Audit-Plan, Penetrationstest-Berichte, Ergebnisse der letzten Bewertung

Im Verarbeitungsverzeichnis nach Art. 30 muss eine allgemeine Beschreibung der TOMs enthalten sein. Die detaillierte Dokumentation wird separat geführt, aber im Verarbeitungsverzeichnis referenziert.

Typische TOM-Kategorien in der Praxis

Eine Schritt-für-Schritt-Anleitung zur Umsetzung aller DSGVO-Anforderungen findest du in unserer DSGVO-Checkliste. Wenn du bereits ISO 27001 zertifiziert bist, zeigt dir unser ISO 27001 Mapping, welche Controls deine TOMs bereits abdecken.