TOM (Technische und organisatorische Maßnahmen)
Kurz gesagt: TOM steht für „technische und organisatorische Maßnahmen“, der Sammelbegriff der DSGVO für alles, was Ihr Unternehmen konkret tut, um personenbezogene Daten zu schützen. Technisch heißt: Firewall, Verschlüsselung, Backups. Organisatorisch heißt: Regeln, Zuständigkeiten, Schulungen. Beides zusammen, dokumentiert und gelebt, das sind Ihre TOM.
Was gehört zu den TOM?
Die DSGVO (Artikel 32) verlangt „angemessene“ Maßnahmen, angemessen zum Risiko der verarbeiteten Daten. Typische technische Maßnahmen: Zugriffskontrolle mit persönlichen Konten und Mehrfach-Anmeldung, Verschlüsselung von Datenträgern und Übertragungswegen, Firewall, Virenschutz, Backups, Protokollierung. Typische organisatorische Maßnahmen: klare Berechtigungsvergabe, Vertraulichkeitsverpflichtungen, Schulungen, Besucherregelungen, Prozesse für Datenpannen und Auftragsverarbeitungs-Verträge mit Dienstleistern.
Wichtig ist die Dokumentation: Bei einer Prüfung durch die Datenschutzbehörde oder nach einer Datenpanne müssen Sie Ihre TOM schriftlich vorlegen können. Ein Standard-Muster aus dem Internet reicht dabei nicht, die Maßnahmen müssen zu Ihrer tatsächlichen IT passen. Nichts wirkt bei einer Prüfung schlechter als ein TOM-Dokument, das Dinge behauptet, die es im Unternehmen gar nicht gibt.
Warum ist das für Ihr Unternehmen wichtig?
Jedes Unternehmen verarbeitet personenbezogene Daten, von Kundenadressen bis zu Bewerbungen, und braucht deshalb TOM. Bei Datenpannen prüft die Behörde zuerst, ob die Maßnahmen angemessen waren; davon hängen mögliche Bußgelder ab. Gute Nachricht: Wer seine IT-Sicherheit ordentlich aufgestellt hat, hat die technischen TOM praktisch schon beisammen. Wir setzen die Technik DSGVO-konform um und liefern die passende Dokumentation dazu.
Aktuelles zum Thema
Stand: Juli 2026. Diesen Abschnitt aktualisieren wir regelmäßig.
- Behörden prüfen konkreter: Die Datenschutz-Aufsichtsbehörden fragen bei Vorfällen gezielt nach Mehrfach-Anmeldung, Verschlüsselung und Backup-Konzept, Standard-Floskeln in der TOM-Doku genügen nicht mehr.
- NIS2 überschneidet sich mit den TOM: Viele NIS2-Anforderungen (Zugriffskonzepte, Verschlüsselung, Backup) decken sich mit den technischen TOM. Wer beides zusammen denkt, spart doppelte Arbeit (BSI zum NIS2-Gesetz).
- Homeoffice bleibt Prüfpunkt: Private Geräte, offene Familien-PCs und unverschlüsselte Notebooks sind die häufigsten TOM-Lücken im Mittelstand.
Verwandte Begriffe
Verschlüsselung · Zwei-Faktor-Authentifizierung · Backup · ISMS
Sind Ihre TOM Papier oder Praxis?
Wir setzen die technischen Maßnahmen um und liefern die Dokumentation, die zu Ihrer echten IT passt, DSGVO-konform und prüfungsfest. Für Unternehmen in Dresden und Sachsen.
