CompliantDesk

DSGVO für den Mittelstand

Technische und organisatorische Maßnahmen (TOM)

DSGVOArt. 32 DSGVO

Technische und organisatorische Maßnahmen sind die konkreten Schutzvorkehrungen, mit denen Sie personenbezogene Daten absichern. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau nach dem Stand der Technik - und dass Sie es nachweisen können.

Worum geht es?

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Maßstab sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang und Risiko der Verarbeitung. Die DSGVO nennt dabei Schutzziele wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Entscheidend ist nicht nur, dass Maßnahmen existieren, sondern dass ihre Wirksamkeit regelmäßig überprüft und dokumentiert wird - eine veraltete TOM-Liste im Word-Dokument genügt der Rechenschaftspflicht nicht.

Das müssen Sie konkret tun

  • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
  • Pseudonymisierung und Verschlüsselung personenbezogener Daten, wo angemessen
  • Fähigkeit, Daten nach einem Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit
  • Orientierung am Stand der Technik und am konkreten Verarbeitungsrisiko

So setzen Sie es mit CompliantDesk um

  • TOM als überprüfbare Kontrollen im Kontroll- und SoA-Modul abbilden statt als statische Liste
  • Umsetzungsnachweise wie Verschlüsselungs- oder Backup-Belege im Nachweise-Modul hinterlegen
  • Review-Intervalle je Maßnahme setzen und überfällige Prüfungen im Kalender sichtbar machen
  • Schutzbedarf und Restrisiken im Risiko-Register bewerten und mit Maßnahmen verknüpfen
  • Die TOM jederzeit als versioniertes Dokument für AVV und Aufsicht exportieren

Typische Fehler

Eine generische TOM-Vorlage übernehmen, ohne sie an die eigene Lage anzupassen
Maßnahmen dokumentieren, ihre Wirksamkeit aber nie überprüfen
Den Stand der Technik einmalig festschreiben und nicht fortschreiben
TOM und tatsächlich gelebte Sicherheitspraxis auseinanderdriften lassen

Häufig gestellte Fragen

Was gehört zu den technischen und organisatorischen Maßnahmen?

Technische Maßnahmen sind etwa Verschlüsselung, Zugriffskontrollen oder Backups; organisatorische Maßnahmen umfassen Berechtigungskonzepte, Schulungen und Richtlinien. Beide zusammen sollen die Schutzziele aus Art. 32 DSGVO sicherstellen.

Wie oft müssen TOM überprüft werden?

Die DSGVO verlangt eine regelmäßige Überprüfung der Wirksamkeit, ohne ein festes Intervall vorzugeben. In der Praxis hat sich eine mindestens jährliche Prüfung sowie ein Review nach relevanten Änderungen bewährt.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen