Geschrieben am 23.09.2025 von:
Dominik Piroth
Privacy Consultant | Datenschutzbeauftragter (TÜV)
zum Profil
Kontaktiere mich:
+49 (0) 261 – 9886236 44
E-Mail senden
Getreu dem Motto „kein Datenschutz ohne Datensicherheit“ geht es diesmal um den etwas technischer geprägten Teil des Datenschutzrechts – nämlich um die technischen und organisatorischen Maßnahmen („TOMs“).
Für das Verständnis ist es zunächst wichtig zu wissen, was man unter den TOMs versteht. Dabei handelt es sich im Großen und Ganzen um gesetzlich vorgeschriebene Maßnahmen, welche die Einhaltung des Datenschutzes gewährleisten sollen. Sie helfen dabei, unbefugten Zugriff, Verlust, Zerstörung oder Manipulation zu verhindern. Die Umsetzung von geeigneten TOMs obliegt, wie in der DS-GVO oftmals üblich, dem Verantwortlichen.
Die TOMs bestehen zum einen aus technischen Maßnahmen. Das sind ganz einfach technische Vorkehrungen, die sicherstellen, dass personenbezogene Daten geschützt verarbeitet werden. Als Beispiele können hier etwa Verschlüsselungen, regelmäßige Sicherheitsupdates oder Firewalls genannt werden.
Zum anderen gibt es dann noch die organisatorischen Maßnahmen. Das sind Prozesse, Richtlinien und Zuständigkeiten, die den sicheren Umgang mit Daten sicherstellen, wie etwa Datenschutz- und Sicherheitsaspekte, Schulungen oder Rollen- und Berechtigungskonzepte.
Die TOMs sind in Art. 32 DS-GVO geregelt. Schauen wir uns doch die einzelnen Begrifflichkeiten innerhalb dieser Vorschrift genauer an:
Pseudonymisierung und Verschlüsselung
Hierunter ist eine Verarbeitung personenbezogener Daten in einer Weise zu verstehen, die dafür sorgt, dass die Daten ohne die Hinzuziehung zusätzlicher Informationen nicht mehr den betroffenen Personen zuzuordnen sind.
Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
Unter Vertraulichkeit wird der Schutz von Daten vor unbefugtem Zugriff verstanden, sodass nur autorisierte Personen sie einsehen oder verarbeiten können. Diese Maßnahme stellt sicher, dass sensible Informationen nur für berechtigte Zwecke und Personen zugänglich sind und nicht an Unbefugte gelangen.
Unter Integrität versteht man währenddessen die Korrektheit und Vollständigkeit von Daten über ihren gesamten Lebenszyklus hinweg, also von der Erstellung bis zur Löschung. Sie gewährleistet, dass Daten vertrauenswürdig bleiben, vor Verlust oder unbefugter Veränderung geschützt sind und den regulatorischen Anforderungen, wie der DS-GVO, entsprechen.
Verfügbarkeit von Daten ist die Fähigkeit eines Systems, Daten jederzeit und ohne Unterbrechungen zugänglich zu machen und zu nutzen. Sie stellt sicher, dass Unternehmen und Nutzer auf benötigte Informationen zugreifen können, um den Geschäftsbetrieb aufrechtzuerhalten und fundierte Entscheidungen zu treffen.
Belastbarkeit von Daten bedeutet schließlich die Fähigkeit von IT-Systemen, auch unter hoher Beanspruchung, Störungen oder Fehlern, ihre Funktionen aufrechtzuerhalten und die Sicherheit personenbezogener Daten zu gewährleisten.
Wiederherstellbarkeit
Unter Wiederherstellbarkeit von Daten versteht man die Fähigkeit, verloren gegangene oder beschädigte Daten schnell und vollständig wiederherstellen zu können, oft durch das Zurückspielen von Sicherungskopien (Backups) an ihren ursprünglichen oder einen alternativen Ort. Dieser Prozess ist entscheidend, um nach einer Störung oder einem Ausfall die Verfügbarkeit von Daten wiederherzustellen, Datenverlust zu minimieren und die Geschäftskontinuität zu gewährleisten.
Überprüfung, Bewertung und Evaluierung
Hier geht es um einen methodischen Prozess, um Daten systematisch zu erfassen, zu analysieren und ihre Qualität, Relevanz und Wirksamkeit zu beurteilen. Die Überprüfung identifiziert Datenqualität und potenzielle Probleme, die Bewertung beurteilt die Daten anhand definierter Kriterien und die Evaluierung ist die umfassende Beurteilung eines Systems oder Programms, um dessen Effektivität festzustellen.
Die getroffenen Maßnahmen müssen schließlich auf ihre Angemessenheit geprüft werden (vgl. Art. 32 Abs. 1 DS-GVO). Dabei handelt es sich um eine Bewertung, ob die getroffenen Schutzmaßnahmen für die Verarbeitung personenbezogener Daten dem Risiko angemessen sind und dem aktuellen Stand der Technik entsprechen. Diese Prüfung erfolgt risikobasiert und muss die Art, den Umfang und die Zwecke der Datenverarbeitung sowie die Kosten der Umsetzung für ein angemessenes Schutzniveau berücksichtigen.
Erwähnenswert ist, dass der Verantwortliche nicht alle genannten Kriterien aus Art. 32 DS-GVO in jedem Fall umsetzen muss; es handelt sich vielmehr um Beispiele für Maßnahmen, die geeignet sind, ein angemessenes Schutzniveau zu gewährleisten.
In der Praxis ist die die Erstellung einer TOM-Beschreibung sowie die anschließende Umsetzung oft komplex und unübersichtlich. Gerne unterstützen wir dich dabei. Solltest du also Hilfe benötigen, dann schreib uns einfach ein Mail an: contact@morgenstern-privacy.com.