fidup.wiki

Design

TOM (Technische und Organisatorische Maßnahmen)

Der TOM-Begriff umfasst Sicherheitsmaßnahmen, die technische und organisatorische Ansätze verbinden, um personenbezogene Daten zu schützen und datenschutzrechtliche Vorgaben zu erfüllen. Diese Maßnahmen zielen darauf ab, Risiken bei der Datenverarbeitung zu minimieren und ein angemessenes Schutzniveau sicherzustellen, wie es die Datenschutz-Grundverordnung fordert.

Kurzüberblick

TOM bilden die Grundlage für die Datensicherheit personenbezogener Daten in Unternehmen und Organisationen. Sie teilen sich in technische Maßnahmen, die IT-Systeme und physische Zugänge absichern, sowie organisatorische Maßnahmen, die Prozesse und Verhaltensweisen regeln. Die Auswahl und Umsetzung orientiert sich an einem risikobasierten Ansatz, um den Stand der Technik, Implementierungskosten und das tatsächliche Risiko zu berücksichtigen. Als Leitfaden dienen das Standard-Datenschutzmodell mit seinen sieben Gewährleistungszielen sowie der BSI IT-Grundschutz als systematische Methode zur ganzheitlichen Informationssicherheit.

Kontext und Einordnung

TOM ergeben sich aus rechtlichen Anforderungen, insbesondere aus Art. 32 der Datenschutz-Grundverordnung, der geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus fordert. Dieser Artikel bezieht sich auf die sieben Gewährleistungsziele des Standard-Datenschutzmodells: Vertraulichkeit, Integrität, Verfügbarkeit, Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit. Diese Ziele übersetzen abstrakte Vorgaben in praktische Maßnahmen. Der BSI IT-Grundschutz ergänzt dies als Standard für Informationssicherheit in Deutschland, der technische, organisatorische, infrastrukturelle und personelle Aspekte integriert. TOM sind keine starren Regeln, sondern müssen risikoorientiert gewählt werden, um Über- oder Unterversorgung zu vermeiden.

Technische Maßnahmen

Technische Maßnahmen sichern IT-Systeme und Daten durch physische und digitale Kontrollen ab. Sie umfassen Zutrittskontrolle für physische Zugänge, Zugangskontrolle für Systemzugriffe, Zugriffskontrolle für Berechtigungen, Netzwerksicherheit und Datensicherung.

Zutrittskontrolle

Zutrittskontrolle regelt den physischen Zugang zu Gebäuden oder Räumen mit sensiblen Daten. Beispiele sind Alarmanlagen, Videoüberwachung und Besucherausweise.

Zugangskontrolle

Zugangskontrolle steuert den Zugriff auf IT-Systeme. Dazu gehören Bildschirmschoner mit Passwortschutz, biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung sowie Magnet- oder Chipkarten.

Zugriffskontrolle

Zugriffskontrolle verwaltet Berechtigungen innerhalb von Systemen nach dem Least-Privilege-Prinzip. Maßnahmen sind Verschlüsselung von Datenträgern, sichere Löschung von Datenträgern und User- sowie Rollenkonzepte.

Netzwerksicherheit

Netzwerksicherheit schützt vor unbefugtem Zugriff und Angriffen. Sie umfasst Firewalls, Intrusion Detection Systems und VPNs für sichere Verbindungen.

Datensicherung

Datensicherung stellt die Verfügbarkeit von Daten sicher. Regelmäßige Backups und redundante Systeme verhindern Datenverlust durch Ausfälle oder Angriffe.

Organisatorische Maßnahmen

Organisatorische Maßnahmen betreffen Strukturen und Abläufe im Unternehmen. Sie fördern eine systematische Herangehensweise an Datenschutz und Sicherheit.

Richtlinien und Verfahren

Richtlinien und Verfahren definieren Standards. Dazu zählen Datenschutzrichtlinien, Sicherheitsrichtlinien und Notfallpläne für den Umgang mit Krisen.

Schulung und Sensibilisierung

Schulung und Sensibilisierung bauen Awareness auf. Mitarbeiter erhalten Schulungen zu Datenschutz und IT-Sicherheit sowie Sensibilisierungskampagnen zu aktuellen Bedrohungen.

Zugriffsmanagement

Zugriffsmanagement regelt die Vergabe und Überprüfung von Rechten. Es umfasst Verfahren zur Zuweisung von Berechtigungen und regelmäßige Anpassungen.

Audit und Kontrolle

Audit und Kontrolle überwachen die Compliance. Regelmäßige Sicherheitsüberprüfungen und Checks stellen die Einhaltung von Vorgaben sicher.

Incident Management

Incident Management handhabt Sicherheitsvorfälle. Es beinhaltet Meldeverfahren, Bearbeitung von Vorfällen und deren Dokumentation.

Change Management

Change Management kontrolliert Änderungen an IT-Systemen. Es prüft Änderungen auf Sicherheitsrelevanz und dokumentiert sie.

Umsetzung und Aufrechterhaltung

Die Umsetzung von TOM erfolgt risikobasiert, basierend auf einer Risikoanalyse. Maßnahmen müssen dem Stand der Technik entsprechen und kosteneffizient sein. Regelmäßige Überprüfungen, Bewertungen und Evaluierungen der Wirksamkeit sind Pflicht, um Anpassungen vorzunehmen. Dokumentation und Nachweisbarkeit unterstützen die Compliance und ermöglichen Nachweise bei Prüfungen.

Beispiele

Ein Beispiel für TOM in einem kleinen Unternehmen: Zur Zutrittskontrolle wird ein elektronisches Schloss mit Chipkarten eingeführt. Zugangskontrolle erfolgt über Zwei-Faktor-Authentifizierung. Organisatorisch erhalten Mitarbeiter jährliche Schulungen zu Datenschutz, und ein Incident-Management-Plan regelt die Meldung von Datenlecks. Regelmäßige Audits überprüfen die Maßnahmen.

Häufige Fehler und Tipps

Häufige Fehler sind die Vernachlässigung organisatorischer Maßnahmen zugunsten technischer oder das Fehlen regelmäßiger Überprüfungen. Stattdessen sollten technische und organisatorische Ansätze gleichermaßen berücksichtigt werden; regelmäßige Schulungen verhindern Fehlverhalten. Bei Unsicherheiten hilft der Bezug zum BSI IT-Grundschutz.

Weiterführendes

Weitere Informationen finden sich in den Quellen zu Art. 32 DSGVO, dem Standard-Datenschutzmodell und dem BSI IT-Grundschutz. Für praktische Umsetzung eignen sich Checklisten des BSI.

Copyright © 2026 Torben Haack