Verschlüsselung DSGVO Datenschutz
Verschlüsselung im Unternehmen – Was die DSGVO verlangt
Verschlüsselung für Unternehmen: Welche Daten verschlüsselt werden müssen, welche Methoden es gibt und was Art. 32 DSGVO fordert.
Weiterlesen TOM Datenschutz DSGVO IT-Sicherheit KMU
Technische und organisatorische Maßnahmen (TOM) – Beispiele für KMU
Inhalt in Kürze
- TOM sind technische und organisatorische Maßnahmen, die Art. 32 DSGVO von jedem Unternehmen fordert – unabhängig von der Größe.
- Die DSGVO schreibt keine konkreten Maßnahmen vor, sondern verlangt ein “dem Risiko angemessenes Schutzniveau”. Für KMU bedeutet das: pragmatische, aber dokumentierte Maßnahmen.
- Die vier Schutzziele lauten Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Ihre TOM müssen alle vier abdecken.
- Fehlende oder mangelhafte TOM sind einer der häufigsten Gründe für DSGVO-Bußgelder – auch bei kleinen Unternehmen.
“Welche technischen und organisatorischen Maßnahmen haben Sie getroffen?”
Diese Frage steht in jedem Auftragsverarbeitungsvertrag. Sie kommt bei jeder Prüfung durch die Datenschutzbehörde. Und sie ist der erste Punkt, den eine Cyberversicherung nach einem Vorfall prüft.
Die Antwort vieler KMU: Schulterzucken. Vielleicht gibt es eine Firewall. Vielleicht werden Passwörter regelmäßig geändert. Aber eine strukturierte Dokumentation der technischen und organisatorischen Maßnahmen? Fehlanzeige.
Dabei ist die Sache weniger kompliziert, als viele denken. Dieser Artikel zeigt Ihnen konkrete TOM-Beispiele nach Kategorie – und was Sie als KMU mindestens umsetzen sollten.
Was sind TOM nach DSGVO Art. 32?
Technische und organisatorische Maßnahmen (TOM) sind alle Vorkehrungen, die den Schutz personenbezogener Daten sicherstellen. Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, diese Maßnahmen umzusetzen und zu dokumentieren.
Das Gesetz nennt dabei vier Schutzziele:
- Vertraulichkeit – Nur berechtigte Personen haben Zugang zu den Daten.
- Integrität – Daten werden nicht unbemerkt verändert.
- Verfügbarkeit – Daten sind zugänglich, wenn sie gebraucht werden.
- Belastbarkeit – Systeme funktionieren auch unter Last oder nach einem Vorfall.
Der Maßstab ist dabei immer: Stand der Technik, Implementierungskosten und die Schwere des Risikos für die betroffenen Personen. Das bedeutet für KMU: Sie müssen nicht die gleichen Maßnahmen umsetzen wie ein Konzern. Aber Sie müssen nachweisen, dass Ihre Maßnahmen angemessen sind.
Art. 32
Rechtsgrundlage TOM
4 Ziele
Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit
20 Mio €
Max. Bußgeld bei Verstößen
TOM-Beispiele nach Kategorie
Die klassische Einteilung der TOM orientiert sich an den Kontrollbereichen, die auch das BSI im Grundschutz-Kompendium verwendet. Die folgende Tabelle zeigt konkrete Beispiele für jede Kategorie – zugeschnitten auf KMU.
| Kategorie | Technische Maßnahme | Organisatorische Maßnahme |
|---|---|---|
| Zutrittskontrolle (Gebäude/Räume) | Schließanlage, Chipkarten, Alarmanlage | Besucherregelung, Schlüsselprotokoll, Clean-Desk-Policy |
| Zugangskontrolle (IT-Systeme) | Passwortrichtlinie, Zwei-Faktor-Authentifizierung, Bildschirmsperre | Benutzerkonten-Verwaltung, Sperrung bei Austritt |
| Zugriffskontrolle (Daten) | Rollenbasierte Berechtigungen, Verschlüsselung von Datenträgern | Berechtigungskonzept, Vier-Augen-Prinzip bei sensiblen Daten |
| Weitergabekontrolle (Transport) | TLS-Verschlüsselung für E-Mails, VPN für Remote-Zugriffe | Richtlinie für Datenübermittlung, AVV mit Dienstleistern |
| Eingabekontrolle (Nachvollziehbarkeit) | Protokollierung von Änderungen, Audit-Logs | Dokumentation der Datenerfassung, Verantwortlichkeiten |
| Auftragskontrolle | Getrennte Mandanten-Umgebungen | AVV-Prüfung, Weisungsgebundenheit dokumentieren |
| Verfügbarkeitskontrolle | Backup-Konzept, USV, Redundanz | Notfallplan, regelmäßige Wiederherstellungstests |
| Trennungskontrolle | Getrennte Datenbanken, Mandantentrennung | Zweckbindung dokumentieren, Zugriffsrechte pro Zweck |
Tipp: Starten Sie mit den größten Risiken
Sie müssen nicht alle Maßnahmen gleichzeitig umsetzen. Beginnen Sie mit den Bereichen, in denen die größten Risiken liegen – bei den meisten KMU sind das Zugangskontrolle (schwache Passwörter, keine Zwei-Faktor-Authentifizierung) und Verfügbarkeitskontrolle (fehlendes Backup-Konzept).
Technische vs. organisatorische Maßnahmen – der Unterschied
Viele KMU setzen einseitig auf Technik: Firewall installiert, Virenscanner aktiv, fertig. Dabei verursachen organisatorische Lücken die meisten Datenpannen.
Technische Maßnahmen sind automatisierte oder systemseitige Schutzvorkehrungen: Verschlüsselung, Firewalls, Zugriffskontrollen, Backup-Systeme, Protokollierung.
Organisatorische Maßnahmen sind Regeln, Prozesse und Schulungen: Passwortrichtlinien, Besucherregelungen, Schulungen, Vertretungsregelungen, Löschkonzepte.
Beide Seiten gehören zusammen. Eine Verschlüsselung bringt nichts, wenn Mitarbeitende das Passwort auf einem Post-it am Monitor kleben haben. Und eine Passwortrichtlinie wirkt nicht, wenn das System Passwörter wie “123456” akzeptiert.
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugoTOM dokumentieren – warum das Pflicht ist
Die DSGVO verlangt nicht nur die Umsetzung von TOM, sondern auch deren Dokumentation. Das ergibt sich aus der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und der Pflicht zur Zusammenarbeit mit Auftragsverarbeitern (Art. 28 DSGVO).
Konkret heißt das: Sie brauchen ein TOM-Dokument, das Sie als Anlage zum Auftragsverarbeitungsvertrag (AVV) und als Bestandteil Ihres Datenschutzkonzepts verwenden können.
Eine fehlende TOM-Dokumentation hat drei Konsequenzen:
- Bußgeldrisiko – Aufsichtsbehörden werten fehlende Dokumentation als Verstoß gegen die Rechenschaftspflicht.
- Haftungsrisiko – Bei einer Datenpanne können Sie nicht nachweisen, dass Sie angemessene Maßnahmen getroffen haben. Das erhöht die Geldbuße.
- Geschäftsrisiko – Ohne TOM-Dokument scheitern AVVs, Lieferantenaudits und Cyberversicherungen.
Checkliste: Mindest-TOMs für KMU
Diese Maßnahmen sollte jedes KMU mindestens umsetzen und dokumentieren:
- Passwortrichtlinie – Mindestlänge 12 Zeichen, keine Wiederverwendung
- Zwei-Faktor-Authentifizierung – für E-Mail, Cloud-Dienste und Remote-Zugriffe
- Verschlüsselung – Festplatten (BitLocker/FileVault), E-Mails (TLS), mobile Geräte
- Backup-Konzept – automatisiert, regelmäßig getestet, mindestens 3-2-1-Regel
- Firewall und Virenschutz – aktuell und zentral verwaltet
- Berechtigungskonzept – dokumentiert, wer auf welche Daten zugreifen darf
- Bildschirmsperre – automatisch nach 5 Minuten Inaktivität
- Mitarbeiterschulung – mindestens jährlich zu Datenschutz und IT-Sicherheit
- Clean-Desk-Policy – keine offenen Unterlagen mit personenbezogenen Daten
- Besucherregelung – Protokoll, Begleitung in sensiblen Bereichen
- Löschkonzept – definierte Fristen, dokumentierte Löschprozesse
- Notfallplan – Vorgehen bei Datenpanne, Verantwortlichkeiten, Meldefristen
So setzen Sie TOM pragmatisch um
Sie brauchen kein 50-seitiges Dokument. Für die meisten KMU reicht eine strukturierte Tabelle, die folgende Punkte pro Maßnahme festhält:
- Kategorie (z. B. Zugangskontrolle)
- Maßnahme (z. B. Zwei-Faktor-Authentifizierung für Microsoft 365)
- Status (umgesetzt / geplant / nicht relevant)
- Verantwortlich (Person oder Rolle)
- Letzte Prüfung (Datum)
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stellt eine kostenlose TOM-Checkliste bereit, die sich an KMU richtet. Nutzen Sie diese als Ausgangspunkt.
Orientieren Sie sich außerdem am BSI-Grundschutz – das Kompendium bietet konkrete Maßnahmenempfehlungen, die auch für kleinere Unternehmen umsetzbar sind.
Das Wichtigste in Kürze
- TOM sind keine Kür, sondern gesetzliche Pflicht nach Art. 32 DSGVO – für jedes Unternehmen.
- Decken Sie alle vier Schutzziele ab: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit.
- Dokumentieren Sie Ihre Maßnahmen schriftlich – das ist der Nachweis gegenüber Behörden, Kunden und Versicherungen.
- Starten Sie mit den 12 Mindest-Maßnahmen aus der Checkliste und erweitern Sie schrittweise.
- Lassen Sie Ihre TOM regelmäßig prüfen – mindestens einmal jährlich oder nach wesentlichen Änderungen.
TOM prüfen lassen – nächster Schritt
Viele KMU sind unsicher, ob ihre bestehenden Maßnahmen ausreichen. Ein Datenschutz-Schnellcheck gibt Ihnen eine erste Einschätzung. Für eine vollständige Prüfung unterstützt Sie ein externer Datenschutzbeauftragter bei der Analyse, Dokumentation und Umsetzung Ihrer TOM.
TOM-Check für Ihr Unternehmen
Wir prüfen Ihre technischen und organisatorischen Maßnahmen und schließen Lücken – pragmatisch und verständlich.
Jetzt TOM-Check anfragen →TOM-Beratung für KMU in Hamburg
Viele kleine und mittlere Unternehmen in Hamburg stehen vor der gleichen Frage: Welche technischen und organisatorischen Maßnahmen sind wirklich angemessen — und wie dokumentiere ich sie so, dass der HmbBfDI zufrieden ist? Der Hamburgische Datenschutzbeauftragte hat in seinem letzten Tätigkeitsbericht betont, dass mangelhafte TOM-Dokumentation einer der häufigsten Beanstandungsgründe bei Hamburger Unternehmen ist. Als externer Datenschutzbeauftragter in Hamburg prüfen wir Ihre bestehenden Maßnahmen, schließen Lücken und liefern eine Dokumentation, die auch einem Audit standhält.
Häufige Fragen (FAQ)
Was sind TOM im Datenschutz?
TOM steht für technische und organisatorische Maßnahmen. Art. 32 DSGVO verpflichtet jedes Unternehmen, solche Maßnahmen zum Schutz personenbezogener Daten umzusetzen – etwa Verschlüsselung, Zugangskontrollen oder Mitarbeiterschulungen.
Welche TOM muss ein kleines Unternehmen mindestens haben?
Als Minimum gelten: Passwortrichtlinie, Virenschutz, regelmäßige Backups, verschlüsselte Datenübertragung (TLS), abschließbare Räume für Akten und eine Vertraulichkeitsvereinbarung für Mitarbeiter.
Müssen TOM schriftlich dokumentiert werden?
Ja. Die DSGVO verlangt den Nachweis, dass angemessene Schutzmaßnahmen getroffen wurden. Ohne schriftliche Dokumentation können Sie das bei einer Prüfung nicht belegen. Zudem ist die TOM-Dokumentation Pflichtbestandteil jedes Auftragsverarbeitungsvertrags.
Was ist der Unterschied zwischen technischen und organisatorischen Maßnahmen?
Technische Maßnahmen sind IT-gestützt, etwa Firewalls, Verschlüsselung oder Zugriffsrechte. Organisatorische Maßnahmen betreffen Abläufe und Regeln, etwa Schulungen, Besucherregelungen oder Clean-Desk-Policies.
Wie oft müssen TOM aktualisiert werden?
TOM müssen regelmäßig überprüft und an den Stand der Technik angepasst werden. In der Praxis empfiehlt sich eine jährliche Überprüfung sowie eine sofortige Anpassung nach Sicherheitsvorfällen oder IT-Änderungen.
Inhaltsverzeichnis
Weiterlesen
Ähnliche Artikel
Datenschutz DSGVO IT-Sicherheit
Neue Datenschutzgesetze und IT-Sicherheitsrichtlinien: Februar 2026 im Überblick
Einleitung Liebe Leserinnen und Leser, in der heutigen digitalen Geschäftswelt, die sich stetig weiterentwickelt, sind Datenschutz und IT-Sicherheit...
Weiterlesen
Datenschutz DSGVO IT-Sicherheit
Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards im Überblick
Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
WeiterlesenÜber den Autor
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt
Haben Sie Fragen?
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
