Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 01/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil

TOM: technische und organisatorische Maßnahmen

Personenbezogene Daten sind nicht nur auf rechtlicher Ebene, sondern auch auf technischer und organisatorischer Ebene zu schützen. Dies bezeichnet man auch als Datensicherheit. Nötig sind dafür die sogenannten technischen und organisatorischen Maßnahmen, meist abgekürzt als TOM.

➜ Technische und organisatorische Maßnahmen praktisch umsetzen

Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Personenbezogene Daten müssen korrekt und unversehrt sein. Dazu müssen Verantwortliche Maßnahmen für den Schutz und die Kontrolle der Integrität ergreifen.
Bild: iStock.com / Marcela-Vieira
Zentrale Begriffe im Datenschutz
Was heißt „Integrität“ im Zusammenhang mit dem Datenschutz?

Integrität gehört wie Vertraulichkeit zu den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten. Doch Integrität ist weitaus weniger bekannt und im Fokus als Vertraulichkeit, sodass der Schutz der Integrität leicht zu kurz kommt.

Hintergrund
4. Dezember 2025

Benutzerverwaltung im Personalbereich

DP+
Manche IT-Systeme etwa im Personalbereich verwenden feiner abgestufte Nutzerrollen, als das verbreitete Microsoft Actice Directory abbilden kann. Eine Folge: potenzielle Lücken in der datenschutzkonformen Verwaltung von Benutzerkonten.
Bild: iStock.com/asbe
Wo das Active Directory nicht reicht
Benutzerverwaltung im Personalbereich

„Bitte sperren Sie die Systemzugänge von Frau Schneider ab morgen“, lautet der Auftrag an die IT. Im Active Directory ist ihr Konto ab dem Folgetag schon deaktiviert. Ist der Fall damit erledigt? Nicht ganz. Denn was ist mit dem Bewerbungsportal, der Zeiterfassung oder der Lernplattform?

Hintergrund
24. November 2025

Wenn eine unendliche Geschichte endlich endet

DP+
Wenn eine unendliche Geschichte endlich endet
Datenschutzfalle analoges Postfach
Wenn eine unendliche Geschichte endlich endet

Bei meinen Begehungen kontrolliere ich immer auch die Postfächer der Beschäftigten. Dort finden sich neben der eingehenden Post analoge Mitteilungen der Geschäftsleitung oder anderer Stellen. Über die Jahre wird die analoge Post zwar immer weniger. Dennoch bleibt sie relevant für den Datenschutz.

Praxisbericht
29. Oktober 2025

Schritt für Schritt zum Löschkonzept

Schritt für Schritt zum Löschkonzept
Bild: Andranik Hakobyan / iStock / Getty Images
Datenschutzkonzept nach DSGVO
Schritt für Schritt zum Löschkonzept

Die Datenschutz-Grundverordnung (DSGVO / GDPR) macht Vorgaben zur Löschung personenbezogener Daten. Daher empfiehlt es sich, ein Löschkonzept zur Umsetzung zu entwickeln. Hier unterstützt Informationssicherheit, Cybersicherheit und Datenschutz – Leitlinien zur Löschung personenbezogener Daten (ISO/IEC 27555:2021); Deutsche Fassung EN ISO/IEC 27555:2025.

Ratgeber
10. Oktober 2025

Datenschutz und die Benutzer­verwaltung

DP+
Für Datenschutzbeauftragte kann es eine Herausforderung sein, sich den Überblick über alle digitalen Benutzerzugänge im Unternehmen zu verschaffen. Einblick in die Lösung zur Passwortverwaltung kann hier wertvolle Hilfe leisten.
Bild: iStock.com/Funtap
Benutzerzugänge zuverlässig erfassen
Datenschutz und die Benutzer­verwaltung

In vielen Unternehmen fehlt eine umfassende zentrale Übersicht über alle Benutzerzugänge. Die Betonung liegt auf „alle“. Ich habe mir angewöhnt, bei Kunden genau das nachzufragen – gibt es eine zentrale Benutzerverwaltung? Die Antwort ist erschreckend oft ausweichend oder ein klares Nein. Was lässt sich dagegen tun?

Ratgeber
18. August 2025

Anonymisierung und Pseudonymisierung von Kundendaten

Anonymisierung und Pseudonymisierung von Kundendaten
Bild: alla_snesar / iStock / Thinkstock
Datenschutz-Grundverordnung (DSGVO)
Anonymisierung und Pseudonymisierung von Kundendaten

Wer Pseudonyme einsetzt, kann die Sicherheit der Verarbeitung personenbezogener Daten verbessern. Und Anonymisierung kann den Datenschutz für den betreffenden Fall überflüssig machen, sofern sie richtig ausgeführt wird. Es lohnt sich also, Anonymisierung und Pseudonymisierung näher zu betrachten und im Unternehmen zu empfehlen.

Ratgeber
24. Juli 2025

Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Zutrittskontrollen müssen wirklich erforderlich sein, sonst sind sie unzulässig
Bild: Wavebreakmedia Ltd / Wavebreak Media / Thinkstock
Biometrische Daten
Biometrische Zutrittskontrollen: Tipps zum Datenschutz

Biometrische Daten werden nicht nur für die Multi-Faktor-Authentifizierung (MFA), sondern auch für die Zutrittskontrolle als Sicherheitsfaktor immer wichtiger. Hier sind Datenschutzbeauftragte gefragt. Denn biometrische Daten brauchen einen besonderen Schutz.

Ratgeber
9. Juli 2025

Großraumbüro – wie sehr vermisse ich dich!

DP+
Großraumbüro – wie sehr vermisse ich dich!
Ruheteppich statt Geräuschkulisse
Großraumbüro – wie sehr vermisse ich dich!

In vielen Unternehmen war das Großraumbüro eine feste Einrichtung. Gerne erinnere ich mich daran, in diesen Raum einzutreten. Und heute? Kaum Menschen, kaum Geräusche, kaum Gespräche und Diskussionen, aber auch weniger offensichtliche Datenschutzverletzungen.

Praxisbericht
25. Juni 2025

Diskussion um Verschlüsselung: Versand manipulierter Rechnungen

Müssen E-Mails mit Rechnungen Ende-zu-Ende-verschlüsselt sein?
Bild: iStock.com / jittawit.21
Nach Cyber-Attacke
Diskussion um Verschlüsselung: Versand manipulierter Rechnungen

Nach einem Phishing-Angriff auf ein Unternehmen erhalten Kundinnen und Kunden manipulierte Rechnungen. Ihre Zahlungen landen sonst wo, aber nicht auf Konten des Unternehmens. Deshalb kommt es zu einem Rechtsstreit. Eine Kundin weigert sich nämlich, noch mal zahlen.

Urteil
13. Mai 2025

Bluetooth-Sicherheit: So sperren Sie Angreifer aus

Bluetooth-Sicherheit symbolisiert durch das Bluetooth-Symbol
Bild: Eugene Delamure / Hemera / Thinkstock
Sicherheitstipps
Bluetooth-Sicherheit: So sperren Sie Angreifer aus

Früher galt Bluetooth als Kabelersatz und als Kurzstrecken-Funk. Die neuen Versionen ermöglichen jedoch auch Verbindungen über größere Distanzen. Die Folge: Sie brauchen mehr Sicherheits-Maßnahmen. Das gilt besonders im Internet of Things (IoT).

Praxisbericht
20. Januar 2025
1 von 9
1 von 9

Die Datenschutz-Grundverordnung (DSGVO) fordert, nicht nur die personenbezogenen Daten an sich zu schützen, sondern auch die Dateien, Datenbanken, Datenträger, IT-Systeme und -Komponenten, in denen sie gespeichert oder verarbeitet werden (technische Maßnahmen). Zudem sind organisatorische Maßnahmen zum Schutz der Daten zu treffen (z.B. Arbeitsanweisungen).

Es genügt, solche TOM zu treffen, deren Aufwand in einem angemessenen Verhältnis zum Nutzen stehen. Es ist nicht notwendig, „mit Kanonen auf Spatzen zu schießen“. Was das konkret im Einzelfall bedeutet, kann jedoch auslegungsbedürftig sein.

TOM-Maßnahmen zur Datensicherheit

Die DSGVO fordert, dass Verantwortliche personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen schützen müssen (Art. 32 DSGVO). Dabei müssen sie nicht jede Maßnahme, die denkbar ist, auch umsetzen – sondern nur solche, die angemessen sind.

Angemessenheit der TOM bestimmen

Um die Angemessenheit von technisch-organisatorischen Maßnahmen zu bestimmen, gilt es, laut Gesetz folgende Kriterien zu berücksichtigen:

Folgende Ziele sollen die technischen und organisatorischen Maßnahmen unter anderem erreichen:

    • Zutrittskontrolle
    • Zugangskontrolle
    • Zugriffskontrolle
    • Trennungskontrolle
    • Weitergabekontrolle
    • Eingabekontrolle
    • Verfügbarkeitskontrolle
    • Auftragskontrolle
  • eine rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten nach einem Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der getroffenen Maßnahmen. Dazu wird mindestens eine IT-Risiko-/Schwachstellenanalyse erforderlich sein. Durch ein Kontrollverfahren müssen Verantwortliche zudem die TOM in regelmäßigen Abständen überprüfen und verbessern.

Verhaltensregeln helfen

Der Datenverarbeiter muss nachweisen, dass er die Datensicherheit gemäß Art. 32 DSGVO gewährleistet (Rechenschaftspflicht). Zu seiner eigenen Erleichterung darf er dabei auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder auf genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO zurückgreifen (Art. 32 Abs. 3 DSGVO).

Das erleichtert auch die Rechenschaft gegenüber Dritten.

Verarbeitung nur aufgrund von Weisungen

Die Mitarbeitenden, die personenbezogene Daten verarbeiten, müssen den Anweisungen des Verantwortlichen folgen. Der Verantwortliche muss dies seinerseits durch geeignete Maßnahmen sicherstellen (Art. 32 Abs. 4 DSGVO). Dabei kann er die Mitarbeiter als organisatorische Maßnahme auf die Vertraulichkeit bzw. das Datengeheimnis verpflichten.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.