TOM (Technische und organisatorische Maßnahmen)

« Zurück zum IT-Lexikon

Kurz gesagt: TOM steht für „technische und organisatorische Maßnahmen“, der Sammelbegriff der DSGVO für alles, was Ihr Unternehmen konkret tut, um personenbezogene Daten zu schützen. Technisch heißt: Firewall, Verschlüsselung, Backups. Organisatorisch heißt: Regeln, Zuständigkeiten, Schulungen. Beides zusammen, dokumentiert und gelebt, das sind Ihre TOM.

DSGVO Art. 32: „angemessene technische und organisatorische Maßnahmen“Technisch (das „T“)Firewall und NetzwerkschutzVerschlüsselung von Daten und GerätenBackups und ZugriffskontrolleUpdates und ProtokollierungOrganisatorisch (das „O“)Richtlinien und ZuständigkeitenSchulungen der MitarbeitendenBerechtigungs- und SchlüsselvergabeVerträge mit Dienstleistern (AVV)
TOM nach DSGVO: technische und organisatorische Maßnahmen greifen ineinander.

Was gehört zu den TOM?

Die DSGVO (Artikel 32) verlangt „angemessene“ Maßnahmen, angemessen zum Risiko der verarbeiteten Daten. Typische technische Maßnahmen: Zugriffskontrolle mit persönlichen Konten und Mehrfach-Anmeldung, Verschlüsselung von Datenträgern und Übertragungswegen, Firewall, Virenschutz, Backups, Protokollierung. Typische organisatorische Maßnahmen: klare Berechtigungsvergabe, Vertraulichkeitsverpflichtungen, Schulungen, Besucherregelungen, Prozesse für Datenpannen und Auftragsverarbeitungs-Verträge mit Dienstleistern.

Wichtig ist die Dokumentation: Bei einer Prüfung durch die Datenschutzbehörde oder nach einer Datenpanne müssen Sie Ihre TOM schriftlich vorlegen können. Ein Standard-Muster aus dem Internet reicht dabei nicht, die Maßnahmen müssen zu Ihrer tatsächlichen IT passen. Nichts wirkt bei einer Prüfung schlechter als ein TOM-Dokument, das Dinge behauptet, die es im Unternehmen gar nicht gibt.

Warum ist das für Ihr Unternehmen wichtig?

Jedes Unternehmen verarbeitet personenbezogene Daten, von Kundenadressen bis zu Bewerbungen, und braucht deshalb TOM. Bei Datenpannen prüft die Behörde zuerst, ob die Maßnahmen angemessen waren; davon hängen mögliche Bußgelder ab. Gute Nachricht: Wer seine IT-Sicherheit ordentlich aufgestellt hat, hat die technischen TOM praktisch schon beisammen. Wir setzen die Technik DSGVO-konform um und liefern die passende Dokumentation dazu.

Aktuelles zum Thema

Stand: Juli 2026. Diesen Abschnitt aktualisieren wir regelmäßig.

  • Behörden prüfen konkreter: Die Datenschutz-Aufsichtsbehörden fragen bei Vorfällen gezielt nach Mehrfach-Anmeldung, Verschlüsselung und Backup-Konzept, Standard-Floskeln in der TOM-Doku genügen nicht mehr.
  • NIS2 überschneidet sich mit den TOM: Viele NIS2-Anforderungen (Zugriffskonzepte, Verschlüsselung, Backup) decken sich mit den technischen TOM. Wer beides zusammen denkt, spart doppelte Arbeit (BSI zum NIS2-Gesetz).
  • Homeoffice bleibt Prüfpunkt: Private Geräte, offene Familien-PCs und unverschlüsselte Notebooks sind die häufigsten TOM-Lücken im Mittelstand.

Verwandte Begriffe

Verschlüsselung  ·  Zwei-Faktor-Authentifizierung  ·  Backup  ·  ISMS

Tilmann, IT-Experte bei oneserv

Sind Ihre TOM Papier oder Praxis?

Wir setzen die technischen Maßnahmen um und liefern die Dokumentation, die zu Ihrer echten IT passt, DSGVO-konform und prüfungsfest. Für Unternehmen in Dresden und Sachsen.

« Zurück zum IT-Lexikon