Technische und organisatorische Maßnahmen (TOM) – Beispiele für KMU
TOM nach DSGVO Art. 32: Konkrete Beispiele für technische und organisatorische Maßnahmen, die Hamburger KMU sofort umsetzen können.
Weiterlesen
Viele kleine Betriebe verarbeiten täglich Kundendaten, Personalakten und Rechnungen, haben aber niemanden, der sich hauptberuflich um die IT kümmert. Die DSGVO interessiert das nicht: Ihre Pflichten hängen nicht daran, ob Sie eine IT-Abteilung haben.
Besonders die technischen Vorgaben aus Art. 32 DSGVO müssen erfüllt werden, egal wer die Server betreut. Dieser Beitrag zeigt, welche technischen Maßnahmen anfallen und wer sie umsetzt, wenn intern niemand zuständig ist.
Die DSGVO kennt keine Ausnahme für kleine Firmen. Sobald Sie personenbezogene Daten verarbeiten, gelten die gleichen Grundpflichten wie für einen Konzern, nur der Maßstab richtet sich nach Ihrem Risiko.
Das gilt gerade dann, wenn die Angriffsfläche wächst. Laut der Bitkom-Studie Wirtschaftsschutz 2025 waren 87 Prozent der deutschen Unternehmen von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden lag bei 289,2 Milliarden Euro. Kleine Betriebe sind kein zu unattraktives Ziel, im Gegenteil: Sie sind oft der schwächere Punkt in der Lieferkette.
Wer die Pflicht ignoriert, weil "wir doch nur zehn Leute sind", verkennt die Rechtslage. Verantwortlich im Sinne der DSGVO ist die Geschäftsführung, nicht die nicht vorhandene IT-Abteilung.
Technische und organisatorische Maßnahmen (TOM) sind: alle konkreten Vorkehrungen, mit denen Sie personenbezogene Daten schützen, technisch am System und organisatorisch im Ablauf.
Art. 32 DSGVO nennt kein starres Pflichtenheft, sondern ein Schutzniveau, das dem Risiko angemessen ist. Für ein KMU heißt das nicht Konzern-Infrastruktur, aber die Grundlagen müssen sitzen. Diese vier Bereiche fallen praktisch immer an:
Dazu kommt die organisatorische Seite, etwa das Verzeichnis der Verarbeitungstätigkeiten und die regelmäßige Überprüfung der Maßnahmen. Der Punkt ist: Diese Anforderungen entstehen ganz unabhängig davon, ob jemand bei Ihnen "IT macht".
Die Pflicht steht fest, jetzt braucht sie jemanden, der sie am System umsetzt. In der Praxis sehen wir drei Modelle, jedes mit klaren Grenzen.
Für Betriebe ohne eigenes IT-Team übernimmt die technische Umsetzung dann ein Managed-IT-Dienstleister wie externe IT-Abteilung vom Systemhaus hagel IT, das die IT als laufenden Service betreibt, mit Daten in Deutschland und DSGVO-konform. Das ist eine von mehreren Optionen, entscheidend ist, dass jemand den Betrieb verlässlich und dokumentiert führt.
Ein externer Datenschutzbeauftragter ersetzt keine IT-Betreuung. Der DSB definiert die Pflichten, prüft und dokumentiert sie, betreibt aber keine Server und richtet keine Backups ein. Wer beides in eine Hand legen will, muss zwei Rollen besetzen: Beratung und technischen Betrieb.
Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.
Genau da liegt der praktische Knoten: Nicht die Größe entscheidet über die Pflicht, sondern die Daten, die Sie verarbeiten. Ein Fünf-Personen-Betrieb, der für einen Konzern arbeitet, muss dieselben technischen Maßnahmen nachweisen können, ohne dafür eine eigene IT-Abteilung zu haben.
Datenschutz ohne IT-Abteilung ist machbar, aber nicht zum Nulltarif an Aufmerksamkeit. Trennen Sie sauber: Der Datenschutzbeauftragte legt fest, was zu tun ist, und ein verlässlicher IT-Betrieb setzt es um. Beides zusammen ergibt eine belastbare Lösung, auch für kleine Betriebe.
Wenn Sie beides bündeln möchten, lohnt der Blick auf unsere Datenschutz-Plattform Hugo DSB und die Leistungen rund um den externen Datenschutzbeauftragten.
Datenschutz ohne eigene IT-Abteilung umsetzen
Wir klären in 15 Minuten, welche technischen Pflichten bei Ihnen anfallen und wie Sie sie ohne internes IT-Team erfüllen.
Kostenloses Erstgespräch (15 Min) →Ja. Die DSGVO knüpft nicht an die Unternehmensgröße oder daran, ob es eine IT-Abteilung gibt. Sobald Sie personenbezogene Daten verarbeiten, gelten Art. 32 und die übrigen Pflichten. Verantwortlich bleibt die Geschäftsführung, auch wenn niemand intern für IT zuständig ist.
Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen für ein dem Risiko angemessenes Schutzniveau. Konkret gehören dazu Zugriffskontrolle, Verschlüsselung, die Verfügbarkeit und Wiederherstellbarkeit der Daten nach einem Zwischenfall (Backup) sowie die regelmäßige Überprüfung dieser Maßnahmen.
Dafür gibt es drei Wege: ein Mitarbeiter macht die IT nebenbei, ein freier IT-Dienstleister betreut sie punktuell, oder ein Systemhaus übernimmt den laufenden Betrieb als Managed IT. Für die dauerhafte Umsetzung von Backup, Updates und Zugriffskontrolle ist eine externe IT-Abteilung meist der belastbarste Weg.
Nein. Der Datenschutzbeauftragte definiert die Pflichten, prüft und dokumentiert sie. Die technische Umsetzung (Server, Backups, Verschlüsselung, Berechtigungen) betreibt er nicht selbst. Dafür brauchen Sie jemanden, der Ihre IT betreibt, intern oder als Dienstleister.
Nein. Ein Backup deckt die Verfügbarkeit und Wiederherstellbarkeit ab, ist aber nur ein Baustein. Art. 32 verlangt zusätzlich Zugriffskontrolle, Verschlüsselung und die regelmäßige Prüfung der Maßnahmen. Ein Backup, das nie getestet wurde, erfüllt die Pflicht ohnehin nur auf dem Papier.
Inhaltsverzeichnis
TOM nach DSGVO Art. 32: Konkrete Beispiele für technische und organisatorische Maßnahmen, die Hamburger KMU sofort umsetzen können.
Weiterlesen
Löschkonzept nach DSGVO erstellen: Praxis-Anleitung mit Aufbewahrungsfristen, DIN 66398 und Checkliste für KMU.
Weiterlesen
Deutsche Wohnen: LG Berlin senkt Bußgeld auf 900.000 €. NIS2-Nachfrist beim BSI bis 31. Juli. EuGH: DSGVO-Verstoß kein Beweisverbot. AI Act verschoben — KI-Schulung bleibt Pflicht.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular