Magazin
Technisch organisatorische Maßnahmen (TOM): Leitfaden für DSGVO-Compliance

Technisch organisatorische Maßnahmen (TOM): Leitfaden für DSGVO-Compliance

Letztes Update:
05.03.2026
Lesezeit:
0
Min
Die Datenschutzgrundverordnung (DSGVO) verpflichtet Unternehmen, technische und organisatorische Maßnahmen (TOM) zu ergreifen, um personenbezogene Daten sicher zu verarbeiten. TOM sind das Fundament jeder DSGVO-konformen Datenverarbeitung. In diesem Leitfaden erfahren Sie, welche Maßnahmen verpflichtend sind, wie die 14 Kontrollbereiche funktionieren und wie Sie TOM rechtskonform dokumentieren – inklusive praktischer Tipps für Homeoffice und Auftragsverarbeitung.
Technisch organisatorische Maßnahmen (TOM): Leitfaden für DSGVO-Compliance
Die wichtigsten Erkenntnisse
  • TOM gewährleisten die Sicherheit personenbezogener Daten gemäß Art. 32 DSGVO und § 64 BDSG.
  • 14 Kontrollbereiche umfassen Zugangs-, Zugriffs-, Speicher- und Eingabekontrollen sowie Verschlüsselung.
  • Risikobasierte Dokumentation und regelmäßige Wirksamkeitsprüfung sind rechtlich verpflichtend.
  • Bußgelder bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes drohen bei Verstößen.
  • Proliance 360 unterstützt Sie bei der Umsetzung, Dokumentation und kontinuierlichen Prüfung Ihrer TOM.

Was sind technisch organisatorische Maßnahmen nach DSGVO?

Technisch organisatorische Maßnahmen (TOM) sind Schutzvorkehrungen, die Verantwortliche ergreifen müssen, um die Sicherheit personenbezogener Daten zu gewährleisten. Sie bilden das Kernstück des Datenschutzes durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen (Privacy by Default).

Art. 32 DSGVO: Diese Maßnahmen schreibt die DSGVO vor

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten
  1. Dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  1. Wiederherstellbarkeit der Daten nach einem technischen oder physischen Zwischenfall
  1. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

Diese allgemeinen Anforderungen werden durch § 64 BDSG konkretisiert, der 14 spezifische Kontrollbereiche definiert.

TOM effizient umsetzen mit Proliance 360

Einleitung: Die manuelle Verwaltung von TOM ist zeitaufwändig und fehleranfällig. Proliance unterstützt Sie bei der rechtskonformen Umsetzung.

Jetzt DSGVO TOM Software testen

Welche Zwecke erfüllen technisch organisatorische Maßnahmen?

TOM sollen sicherstellen, dass personenbezogene Daten dem neuesten Stand der Technik entsprechend geschützt werden. Die Maßnahmen müssen dabei risikobasiert ausgewählt werden – je sensibler die Daten, desto höher die Anforderungen.

Praxisbeispiel: Backup-Strategie als TOM

  • Anforderung: Daten müssen nach einem technischen Zwischenfall wiederherstellbar sein.
  • Umsetzung: Wenn Sie mit Festplatten arbeiten, benötigen Sie ein regelmäßiges Backup-System (z. B. 3-2-1-Regel: 3 Kopien auf 2 verschiedenen Medien, 1 extern).
  • Risiko ohne TOM: Irreparabler Datenverlust nach Festplattenschaden, DSGVO-Verstoß, mögliches Bußgeld.

Diese Risikoanalyse ist der erste Schritt bei der TOM-Implementierung und unverzichtbar für eine angemessene Datensicherheit.

Die 14 Kontrollbereiche und Beispiele für TOM

§ 64 BDSG definiert konkret 14 Bereiche, in denen Unternehmen TOM umsetzen müssen. Nicht alle sind für jedes Unternehmen gleich relevant – entscheidend ist die individuelle Risikoanalyse.

Übersicht: Alle 14 TOM-Kontrollbereiche nach § 64 BDSG

| Kontrollbereich | Ziel | Beispielmaßnahmen | |---|---|---| | **Zugangskontrolle** | Unbefugten den Zugang zu Verarbeitungsanlagen verwehren | Chipkarten, biometrische Scanner, Schließsysteme | | **Datenträgerkontrolle** | Unbefugtes Lesen, Kopieren, Verändern oder Löschen verhindern | Verschlüsselte USB-Sticks, sichere Vernichtung alter Datenträger | | **Speicherkontrolle** | Unbefugte Eingabe, Kenntnisnahme, Änderung oder Löschung verhindern | Zugriffsrechte-Management, Verschlüsselung von Datenbanken | | **Benutzerkontrolle** | Unbefugte Nutzung von Systemen durch Datenübertragung verhindern | Zwei-Faktor-Authentifizierung (2FA), VPN-Zugang | | **Zugriffskontrolle** | Nur autorisierte Personen auf ihre Daten zugreifen lassen | Rollenbasierte Berechtigungskonzepte (RBAC) | | **Übertragungskontrolle** | Nachvollziehen, wohin Daten übermittelt wurden | Logging-Systeme, Protokollierung von Datenexporten | | **Eingabekontrolle** | Nachvollziehen, wer wann welche Daten eingegeben/geändert hat | Audit-Logs, Versionierung in Datenbanken | | **Transportkontrolle** | Vertraulichkeit bei Übermittlung und Transport schützen | TLS/SSL-Verschlüsselung, sichere Kurierdienste | | **Wiederherstellbarkeit** | Systeme im Störungsfall wiederherstellen können | Regelmäßige Backups, Disaster-Recovery-Plan | | **Zuverlässigkeit** | Verfügbarkeit aller Funktionen, Fehlermeldungen | Monitoring-Tools, redundante Systeme | | **Datenintegrität** | Schutz vor Beschädigung durch Systemfehler | Fehlerkorrekturmechanismen, Checksummen | | **Auftragskontrolle** | Daten nur gemäß Weisungen des Auftraggebers verarbeiten | AVV-Vereinbarungen, Schulung von Auftragsverarbeitern | | **Verfügbarkeitskontrolle** | Schutz vor Zerstörung oder Verlust | Redundante Speichersysteme, Brandschutz im Serverraum | | **Trennbarkeit** | Daten zu unterschiedlichen Zwecken getrennt verarbeiten | Mandantenfähige Systeme, separate Datenbanken |

💡 Wichtig: Es ist nicht notwendig, alle 14 Maßnahmen umzusetzen – aber Sie müssen mittels Risikoanalyse dokumentieren, welche für Ihr Unternehmen relevant sind.

Technisch organisatorische Maßnahmen bei Auftragsverarbeitung (AVV): Was muss beachtet werden?

Wenn Sie Dienstleister beauftragen, die in Ihrem Auftrag personenbezogene Daten verarbeiten (z. B. Cloud-Anbieter, Lohnbuchhaltung), sind Sie verpflichtet, einen Auftragsverarbeitungsvertrag (AVV) abzuschließen.

TOM-Anforderungen im AVV nach Art. 28 Abs. 3 DSGVO

Der AVV muss gemäß Art. 28 Abs. 3 DSGVO die technisch organisatorischen Maßnahmen des Auftragsverarbeiters konkret benennen. Sie als Verantwortlicher müssen:

✅ Die TOM des Dienstleisters vor Vertragsabschluss prüfen
✅ Sicherstellen, dass diese Ihrem Schutzniveau entsprechen
✅ Regelmäßig die Wirksamkeit der TOM kontrollieren (z. B. durch Audits)

Verknüpfung: Mehr zu rechtssicheren AV-Verträgen finden Sie in unserer AVV-Mustervorlage.

Wie dokumentiert man TOM DSGVO-konform? Schritt-für-Schritt-Anleitung

Die DSGVO verlangt nicht nur die Umsetzung von TOM, sondern auch deren lückenlose Dokumentation. So gehen Sie vor:

Schritt-für-Schritt Anleitung zur TOM Dokumentation nach DSGVO

Schritt 1: Risikoanalyse durchführen

  • Identifizieren Sie alle Verarbeitungstätigkeiten (Verzeichnis nach Art. 30 DSGVO)
  • Bewerten Sie das Risiko für die Rechte und Freiheiten betroffener Personen
  • Bestimmen Sie das erforderliche Schutzniveau

Schritt 2: Passende TOM auswählen

  • Wählen Sie für jede Verarbeitungstätigkeit passende Maßnahmen aus den 14 Kontrollbereichen
  • Berücksichtigen Sie Stand der Technik, Kosten und Eintrittswahrscheinlichkeit

Schritt 3: TOM-Verzeichnis erstellen und Umsetzung dokumentieren

  • Erstellen Sie ein TOM-Verzeichnis mit konkreten Maßnahmen
  • Benennen Sie Verantwortliche für jede Maßnahme
  • Dokumentieren Sie Zeitpunkte der Implementierung

Schritt 4: Regelmäßige Wirksamkeitsprüfung

  • Prüfen Sie mindestens jährlich die Wirksamkeit Ihrer TOM
  • Passen Sie Maßnahmen an neue Risiken oder Technologien an
  • Dokumentieren Sie alle Änderungen

💡 Tipp: Nutzen Sie standardisierte Vorlagen, um die Dokumentation zu vereinfachen und Fehler zu vermeiden.

Technisch organisatorische Maßnahmen für Homeoffice und Remote Work

Die zunehmende Verbreitung von Homeoffice stellt besondere Anforderungen an technisch organisatorische Maßnahmen. Typische Risiken:

❌ Zugriff Dritter auf Unternehmensgeräte
❌ Unsichere WLAN-Verbindungen
❌ Fehlende physische Zugangskontrollen

Die 5 wichtigsten TOM-Maßnahmen für mobiles Arbeiten

| Bereich | Maßnahme | |---|---| | **Zugangskontrolle** | Bildschirmsperren mit automatischer Aktivierung, Clean-Desk-Policy | | **Benutzerkontrolle** | VPN-Pflicht für Zugriff auf Unternehmensdaten | | **Transportkontrolle** | Nur verschlüsselte Kommunikationskanäle (z. B. MS Teams, kein privates WhatsApp) | | **Datenträgerkontrolle** | Verschlüsselte Festplatten auf allen Endgeräten | | **Schulung** | Regelmäßige Awareness-Trainings für Remote-Mitarbeiter |

TOM vs. ISMS: Wo liegt der Unterschied?

Viele Unternehmen fragen sich: Sind TOM nicht dasselbe wie ein Informationssicherheits-Managementsystem (ISMS) nach ISO 27001?

Die wichtigsten Unterschiede zwischen TOM und ISMS

| Aspekt | TOM (DSGVO) | ISMS (ISO 27001) | |---|---|---| | Fokus | Schutz personenbezogener Daten | Schutz aller Unternehmensinformationen | | Rechtsgrundlage | DSGVO (verpflichtend) | ISO-Norm (freiwillig, aber oft gefordert) | | Umfang | Datenschutzspezifisch | Ganzheitliche IT-Sicherheit | | Zertifizierung | Keine offizielle Zertifizierung | ISO 27001-Zertifizierung möglich |

💡 Synergien nutzen: Ein bestehendes ISMS deckt viele TOM-Anforderungen bereits ab. Datenschutzspezifische Maßnahmen (z. B. Betroffenenrechte, Zweckbindung) müssen jedoch ergänzt werden.

Welche Strafen drohen bei TOM-Verstößen?

Während bei anderen DSGVO-Verstößen maximal 300.000 Euro Bußgeld drohen, können TOM-Verstöße deutlich teurer werden:

Bußgeldrahmen nach Art. 83 Abs. 4 DSGVO:

  • Bis zu 10 Millionen Euro oder
  • 2 % des weltweiten Jahresumsatzes (je nachdem, was höher ist)

Typische TOM-Verstöße mit Bußgeld-Risiko

❌ Fehlende oder unzureichende TOM
❌ Keine Risikoanalyse durchgeführt
❌ Unzureichende Dokumentation
❌ Keine regelmäßige Überprüfung der Wirksamkeit

Praxisbeispiel: Bußgeld wegen fehlender Verschlüsselung

Beispiel: Ein Unternehmen speichert Kundendaten unverschlüsselt und ohne Zugriffskontrolle. Nach einem Hackerangriff werden die Daten öffentlich. Neben dem Reputationsschaden droht ein hohes Bußgeld wegen Verstoß gegen Art. 32 DSGVO.

💡 Wichtig: Die Aufsichtsbehörden prüfen nicht nur, ob TOM existieren, sondern auch, ob diese angemessen und wirksam sind.

Fazit: TOM sind das Fundament der DSGVO-Compliance

Technisch organisatorische Maßnahmen sind keine Option, sondern gesetzliche Pflicht. Sie schützen nicht nur personenbezogene Daten, sondern auch Ihr Unternehmen vor Bußgeldern, Haftungsrisiken und Reputationsschäden.

Die 4 wichtigsten Schritte zur TOM-Umsetzung

  1. Risikobewertung durchführen
  2. Passende TOM aus den 14 Kontrollbereichen auswählen
  3. Lückenlos dokumentieren (TOM-Verzeichnis, Prüfprotokolle)
  4. Regelmäßig überprüfen und anpassen

Mit der richtigen Strategie und den passenden Tools setzen Sie TOM effizient um – und schaffen eine solide Grundlage für dauerhaften Datenschutz.

Häufige Fragen

Sie haben noch Fragen? Wir haben die Antworten

Was bedeuted 'TOM' im Datenschutz?

TOM sind durch die DSGVO vorgeschriebene Maßnahmen für die Sicherheit von personenbezogenen Daten, wie z.B. Zugangskontrollen zu einem Gebäude oder Auftragskontrollen wie AV-Verträge.

Sind technische und organisatorische Maßnahmen (TOM) Pflicht für Unternehmen?

TOM müssen von Unternehmen, die personenbezogene Daten erheben, verarbeiten oder speichern, angewandt werden. Die Größe des Unternehmens spielt dabei keine Rolle.

Was sind technisch organisatorische Maßnahmen nach DSGVO?

Technische und organisatorische Maßnahmen (TOM) sollen helfen, den Schutz personenbezogener Daten sicherzustellen. Es handelt sich dabei um Schutzvorrichtungen für verschiedene Unternehmensbereiche, die mit sensiblen Daten arbeiten. Ein Beispiel für TOM sind Zutrittskontrollen zum Serverraum oder der Einsatz von Firewalls und Backups.

Was ist das Ziel von technisch organisatorischen Maßnahmen?

TOM sollen personenbezogene Daten, die von Unternehmen erhoben, verarbeitet und gespeichert werden, auf bestmögliche Weise schützen. Vor allem der Zugriff unberechtigter Dritter, die Änderung der Daten sowie deren Schutz vor unbefugter Kopie oder Löschung sind dabei zentrale Punkte.

Was sind Beispiele für technisch organisatorische Maßnahmen?

Technische und organisatorische Maßnahmen umfassen z.B. Zugangskontrollen sowie Weitergabe- und Eingabekontrollen. All diese Maßnahmen zielen darauf ab, dass unbefugte Dritte keinen Zugang zu Datenverarbeitungsanlagen wie einem Serverraum erlangen können. Weitere TOM sind darüber hinaus die Verwendung von Dateiverschlüsselungen, Firewalls, Virenschutzprogrammen oder Backups. All diese Maßnahmen müssen immer nach dem neusten Stand der Technik umgesetzt werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Datenschutz in der Praxis
Informationssicherheit & Standards
Datenschutz­management
Redaktion
Ivona Simic
Content & Social Media Manager
Ivona Simic ist Content & Social Media Managerin bei Proliance. Sie verantwortet die redaktionellen Inhalte im CMS und unterstützt SEO & Content Marketing und steigert die Sichtbarkeit. Ihre operativen Stärken liegen in der Organisation und Umsetzung von Online- und Offline-Events, der Steuerung von Kooperationen sowie der Entwicklung und Optimierung von Content für verschiedene digitale Kanäle. Mit einem hands-on Ansatz sorgt sie für effiziente Prozesse und erfolgreiche Kampagnen.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
16.03.2026
DSGVO und BDSG: Unterschiede und Gemeinsamkeiten, die Unternehmen kennen sollten
Wenn es um den Datenschutz geht, müssen Unternehmen sich mit DSGVO und BDSG auseinandersetzen. Was sind die Unterschiede zwischen den Verordnungen und wann gilt was? Dieser Artikel beleuchtet die wichtigsten Aspekte mit praxisnahen Beispiele und liefert Tipps zur Einhaltung beider Gesetze.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
12.03.2026
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt. Wer sie verarbeitet, braucht nicht nur eine saubere Rechtsgrundlage, sondern auch Prozesse, die im Alltag funktionieren (von der Anmeldung über IT-Systeme bis zur Zusammenarbeit mit Dienstleistern). In diesem Beitrag schauen wir darauf, welche Regeln gemäß DSGVO für Gesundheitsdaten gelten – und welche praktischen Maßnahmen euch helfen, typische Risiken schnell in den Griff zu bekommen.
Datenschutz vs. IT‑Sicherheit vs. Informationssicherheit: Unterschiede einfach erklärt
11.03.2026
Datenschutz vs. IT‑Sicherheit vs. Informationssicherheit: Unterschiede einfach erklärt
Datenschutz und IT-Sicherheit sind Grundpfeiler für die Informationssicherheit in Unternehmen. Doch zwischen den drei Compliance-Bereichen besteht Verwechslungsgefahr. Erfahren Sie alles über Unterschiede und Zusammenhänge, um Ihre Unternehmensinformationen wirksam zu schützen.
Was ist Datenschutz? Grundlagen, Grundsätze und Relevanz für Unternehmen
11.03.2026
Was ist Datenschutz? Grundlagen, Grundsätze und Relevanz für Unternehmen
Verbraucher kommen vor allem beim Cookie-Banner mit Datenschutz in Berührung. Doch in Unternehmen steckt Datenschutz in viel mehr Momenten: wenn Bewerbungen im HR-Postfach ankommen, Kundendaten im CRM landen oder Dateien per Cloud geteilt werden. Die gute Nachricht: Wer die Grundlagen versteht, kann Datenschutzvorgaben effizient und sicher einhalten.
datenschutz-Muster

Kostenlose Materialien zum Thema

Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell Proliance mit unserer Bestellurkunde.
Verarbeitungsverzeichnis (VVT)
Nutzen Sie unser kostenloses VVT Datenschutz Muster und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Bewerber
Erfüllen Sie die DSGVO-Datenschutzpflicht für Bewerber mit unserer Vorlage einfach & sicher.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!