Technische und organisatorische Maßnahmen (TOM) – Beispiele für KMU
TOM nach DSGVO Art. 32: Konkrete Beispiele für technische und organisatorische Maßnahmen, die KMU sofort umsetzen können.
Weiterlesen
Datenschutz und IT-Betrieb werden oft in einen Topf geworfen. In Wahrheit sind es zwei getrennte Rollen mit klaren Zuständigkeiten – die ohne einander aber nicht funktionieren. Wer die Abgrenzung kennt, spart sich Doppelarbeit, Haftungslücken und teure Missverständnisse.
Laut Art. 39 DSGVO berät und überwacht der Datenschutzbeauftragte – die technischen Maßnahmen schuldet nach Art. 32 DSGVO hingegen das Unternehmen selbst.
Diese Trennung ist kein Formalismus, sondern der Kern der Zusammenarbeit. Zwei Definitionen machen es greifbar:
Der DSB sagt, was datenschutzrechtlich gefordert ist. Die IT sorgt dafür, dass es technisch auch passiert. Erst beide zusammen ergeben einen belastbaren Datenschutz.
Der Datenschutzbeauftragte ist die rechtlich-organisatorische Instanz, die IT-Abteilung die technische Umsetzungsebene. Diese vier Aufgaben liegen beim DSB:
Und diese vier bei der IT-Abteilung:
Der DSB darf technische Maßnahmen fordern und prüfen – umsetzen darf und muss er sie nicht. Wer beide Rollen in einer Person oder Firma bündelt, prüft am Ende seine eigene Arbeit. Genau das gilt nach Art. 38 DSGVO als Interessenkonflikt.
An diesen vier Punkten entscheidet sich, ob Datenschutz und IT-Sicherheit im Alltag wirklich zusammenpassen.
Cyberangriffe sind längst kein Randthema mehr. Laut der Bitkom-Studie „Wirtschaftsschutz 2025” waren 87 Prozent der deutschen Unternehmen in den letzten zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden liegt bei 289,2 Milliarden Euro – rund 202 Milliarden davon entfallen auf Cyberangriffe.
Viele kleine und mittlere Unternehmen haben weder einen internen DSB noch eine eigene IT-Abteilung. Die schlankste Antwort darauf: beide Rollen extern besetzen und sauber verzahnen. Der externe Datenschutzbeauftragte übernimmt die rechtlich-organisatorische Seite und macht die Umsetzung prüffest.
Die technische Umsetzung übernimmt bei Unternehmen ohne eigenes IT-Team ein Managed-IT-Dienstleister – etwa eine externe IT-Abteilung als Service vom Systemhaus hagel IT (seit 2004, Daten in Deutschland, DSGVO-konform), das die Systeme betreibt, absichert und die vom DSB geforderten Maßnahmen technisch realisiert.
So greifen Beratung und Betrieb ineinander, ohne dass Sie zwei Vollzeitstellen schaffen müssen. Spätestens die NIS-2-Richtlinie macht diese Verzahnung ohnehin zur Pflicht: Sie verlangt Risikomanagement und dessen technische Umsetzung. Welche Datenschutz-Leistungen wir konkret abdecken, sehen Sie in unserer Leistungsübersicht.
Auslagern heißt nicht, Verantwortung abzugeben – Sie bleiben der Verantwortliche im Sinne der DSGVO. Externer DSB und externe IT geben Ihnen aber das Fachwissen und die Umsetzungskraft, die intern oft fehlen.
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Genau dieser Pragmatismus lebt vom Zusammenspiel: Der DSB findet die rechtlich saubere Lösung, die IT setzt sie ohne Reibungsverluste um. Läuft beides Hand in Hand, wird Datenschutz vom Bremsklotz zum stillen Rückgrat des Betriebs.
Datenschutz ist Beratung, IT-Betrieb ist Handwerk – zwei Rollen, die zusammengehören, aber getrennt bleiben müssen. Für KMU ohne eigenes Team ist die Kombination aus externem DSB und externer IT-Abteilung die effizienteste Art, beide Seiten abzudecken. Unsere Datenschutz-Plattform Hugo DSB bündelt dabei die organisatorische Seite an einem Ort.
Datenschutz und IT-Sicherheit im Griff – ohne eigenes Team?
Wir zeigen Ihnen in 15 Minuten, wie externer DSB und externe IT bei Ihnen ineinandergreifen.
Kostenloses Erstgespräch (15 Min) →Der Datenschutzbeauftragte berät, überwacht und dokumentiert den Datenschutz – rechtlich und organisatorisch. Die IT-Abteilung setzt technisch um und betreibt die Systeme, etwa Firewalls, Verschlüsselung und Backups. Der DSB fordert und prüft Maßnahmen, die IT realisiert sie.
Nein, in Personalunion ist das kritisch. Wer die IT betreibt und zugleich den Datenschutz überwacht, prüft seine eigene Arbeit. Das gilt nach Art. 38 DSGVO als Interessenkonflikt. Deshalb sind DSB und IT-Betrieb getrennte Rollen – idealerweise zwei getrennte Dienstleister.
Für kleine und mittlere Unternehmen ohne eigenes Datenschutz- und IT-Team ist das Duo die schlankste Lösung. Der externe DSB deckt die rechtlich-organisatorische Seite ab, die externe IT-Abteilung den technischen Betrieb. Beide zusammen erfüllen die DSGVO nachweisbar, ohne dass Sie zwei Vollzeitstellen schaffen.
Verantwortlich bleibt immer das Unternehmen selbst. Nach Art. 32 DSGVO schuldet der Verantwortliche die technischen und organisatorischen Maßnahmen. Der DSB berät und überwacht, die IT setzt um – die rechtliche Verantwortung für die Sicherheit trägt aber die Geschäftsführung.
An vier Schnittstellen: Der DSB definiert das nötige Schutzniveau (TOM), die IT setzt es um. Bei einer Datenpanne stoppt die IT den Vorfall, der DSB bewertet die Meldepflicht. Der DSB prüft AVV-Verträge, die IT liefert die technischen Angaben. Und der DSB fordert minimale Berechtigungen, die IT vergibt sie im System.
Inhaltsverzeichnis
TOM nach DSGVO Art. 32: Konkrete Beispiele für technische und organisatorische Maßnahmen, die KMU sofort umsetzen können.
Weiterlesen
Datenschutz ohne IT-Abteilung: Welche technischen DSGVO-Pflichten aus Art. 32 auf KMU zukommen und wer sie umsetzt, wenn intern niemand für IT zuständig ist.
Weiterlesen
Deutsche Wohnen: LG Berlin senkt Bußgeld auf 900.000 €. NIS2-Nachfrist beim BSI bis 31. Juli. EuGH: DSGVO-Verstoß kein Beweisverbot. AI Act verschoben — KI-Schulung bleibt Pflicht.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular