SiDIT Logo
    Zurück zum Blog
    Aktuelles2. Februar 2021

    TOM sicher genug? So gestalten Sie technische und organisatorische Maßnahmen datenschutzkonform

    TOM sicher genug? So gestalten Sie technische und organisatorische Maßnahmen datenschutzkonform

    Wann sind die TOM sicher genug?

    Die technischen und organisatorischen Maßnahmen (TOM) sind ein wesentlicher Baustein der Datensicherheit und des Datenschutzes. Wenn es darum geht, Ihre Kundendaten, Mitarbeiterdaten oder Geschäftsgeheimnisse zu schützen, kommen Sie an sicher ausgestalteten TOM nicht vorbei. Dies betrifft auch die Arbeit im Home-Office.

    • Technische Maßnahmen sind physisch umsetzbar, wie beispielsweise die Installation einer Alarmanlage oder die Verschlüsselung von Smartphones.
    • Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen der Verarbeitung in Form von Regeln, Vorgaben und Handlungsanweisungen für Mitarbeiter, wie beispielsweise ein lebendiges Berechtigungskonzept.

    Ausgestaltung der TOM hängt vom jeweiligen Schutzbedürfnis ab

    Um herauszufinden, welche TOM Ihr Unternehmen tatsächlich benötigt, müssen Sie sich im Vorfeld einige Fragen stellen:

    • Welche Daten werden verarbeitet?
    • Was tun wir mit den Daten?
    • Zu welchen Zwecken werden die Daten verarbeitet?
    • Wo werden die Daten gespeichert?
    • Wie hoch ist das Risiko für die Betroffenen, wenn etwas mit den Daten passiert?

    Nachdem Sie diese Punkte geklärt haben, sollten Sie im ersten Schritt die aktuell bestehenden TOM in einer Übersicht auflisten, um einen Überblick über das gegenwärtige Schutzniveau zu erhalten. Mit dieser vollständigen Liste können Sie dann gemeinsam mit Ihrem IT-Fachmann nach Lücken und potenziellen Gefahren in Ihren TOM suchen. Hierbei müssen die TOM die vier Sicherheitsziele „Vertraulichkeit“, „Integrität“ sowie „Verfügbarkeit & Belastbarkeit“ und „regelmäßige Überprüfung, Bewertung, Evaluation“ erfüllen.

    TOM ableiten: Den Ernstfall durchspielen

    Eine Möglichkeit, um herauszufinden, welche TOM für Ihr Unternehmen notwendig sind, ist es, sich ein „Worst-Case-Szenario“ vorzustellen. Dies könnte zum Beispiel ein Hackerangriff auf Ihre IT-Infrastruktur und Ihre eigenen Server sein. Von diesem Szenario ausgehend sollten Sie dann schrittweise die notwendigen Maßnahmen zur Verhinderung eines Datenabflusses entwickeln.

    Hierbei sollten Sie mit dem Zutritt auf Ihr Firmengelände und in Ihr Firmengebäude beginnen:

    • Gibt es unterschiedliche Schlüssel für verschiedene Berechtigungen?
    • Wird die Schlüsselausgabe in einem Schlüsselbuch dokumentiert?

    Im zweiten Schritt müssen Sie die Sicherheitsmaßnahmen definieren, mit denen ein Zugang zu Ihren IT-Systemen ausgeschlossen werden kann. Dies umfasst zum Beispiel Ihre Server und Dienstlaptops sowie den Umgang mit Passwörtern. Auch die Trennung verschiedener Datensätze, wie Kundendatenbank und Werbedatenbank, ist sinnvoll. Je nach Sensibilität der Daten ist auch eine Pseudonymisierung von Daten erforderlich.

    Prüfen Sie weiterhin, wie sicher die Weitergabe Ihrer Daten per E-Mail, Kurierfahrten oder Post ist. Außerdem sollten Ihre TOM sicherstellen, dass Sie stets vollen Zugriff auf Ihre Daten haben. Dies garantieren Sie unter anderem mit einem funktionierenden Backup- und Recovery-Konzept oder einer ununterbrochenen Stromversorgung. Entscheidend hierbei ist natürlich, dass alle zuständigen Mitarbeiter die Geschäftsprozesse kennen und wissen, was im Ernstfall zu tun ist. Zudem sollten Sie als Verantwortlicher die Datensicherheit bei Ihren Auftragsverarbeitern mit Abschluss des AV-Vertrages und später mit Kontrollen überprüfen.

    TOM gelten auch im Home- und Mobile-Office

    Auch im Home-Office müssen die Mitarbeiter bestimmte TOM einhalten, um das Risiko für einen Datenschutzvorfall zu minimieren. Es muss beispielsweise verhindert werden, dass Mitbewohner oder andere Personen unerlaubten Einblick in die Daten erhalten.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Wird Google reCAPTCHA jetzt DSGVO konform?
    Aktuelles21. Apr. 2026

    Wird Google reCAPTCHA jetzt DSGVO konform?

    Seit 2. April 2026 ist Google bei reCAPTCHA Auftragsverarbeiter. Was das für DSGVO, Einwilligung und US-Transfer nun konkret bedeutet.

    Weiterlesen
    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO
    Aktuelles31. März 2026

    Auftragsverarbeitung beendet: Was nun? Die sichere Löschung von Daten nach Art. 28 DSGVO

    Nach Ende der Auftragsverarbeitung müssen Daten gelöscht oder zurückgegeben werden. Was Art. 28 DSGVO und das BGH-Urteil vom 11.11.2025 von Verantwortlichen fordern.

    Weiterlesen
    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht
    Aktuelles24. März 2026

    WhatsApp im Unternehmen: Wann Ihnen ein Bußgeld droht

    Aktueller Fall aus NRW zeigt: WhatsApp im Unternehmen kann teuer werden. Was Sie über Risiken, Bußgelder und datenschutzkonforme Alternativen wissen müssen.

    Weiterlesen