TOM nach Art. 32 DSGVO: Die 5 häufigsten Fehler in der Praxis

Kurz zur Erinnerung: Was sind TOM überhaupt?

Technische und Organisatorische Maßnahmen — kurz TOM — sind das Herzstück von Art. 32 DSGVO. Sie beschreiben wie eine Organisation die Sicherheit der Verarbeitung per­so­nen­be­zo­gener Daten gewähr­leistet. Verschlüsselung, Zugangskontrollen, Backups auf der tech­ni­schen Seite — Richtlinien, Schulungen, Zuständigkeiten auf der orga­ni­sa­to­ri­schen Seite.

Klingt einfach. Ist es in der Praxis leider oft nicht.

Fehler 1: Die Copy-Paste-Liste

Der Klassiker. Irgendwo im Internet gibt es Muster-TOM-Listen — und viele Organisationen kopieren sie, haken alles ab und nennen das fertig. Das Problem: Eine gene­rische Liste beschreibt nicht die tat­säch­lichen Maßnahmen Deiner Organisation. Im Audit oder nach einem Datenschutzvorfall fällt das sofort auf.

Die Lösung: TOM müssen die tat­sächlich umge­setzten Maßnahmen Deiner Organisation beschreiben — indi­vi­duell, nach­voll­ziehbar und aktuell.

Fehler 2: Das vergessene “O”

Technische Maßnahmen werden meist noch halbwegs doku­men­tiert — Firewalls, Verschlüsselung, Backups. Aber die orga­ni­sa­to­ri­schen Maßnahmen? Oft Fehlanzeige. Dabei sind Zuständigkeiten, Schulungsnachweise, Richtlinien und Prozesse genauso Teil der TOM wie die Technik.

Die Lösung: TOM kon­se­quent in beide Dimensionen denken. Technik UND Organisation — nicht Technik statt Organisation.

Fehler 3: Keine Angemessenheitsprüfung

Art. 32 DSGVO fordert nicht maximale Sicherheit — sondern ange­messene Sicherheit. Das klingt nach Spielraum, ist aber eine echte Anforderung: Du musst nach­weisen können, warum Deine Maßnahmen für den jewei­ligen Schutzbedarf ange­messen sind. Ohne diese Begründung sind auch gut gemeinte TOM angreifbar.

Die Lösung: Schutzbedarf ermitteln, Maßnahmen ableiten, Angemessenheit begründen und doku­men­tieren. Nicht umgekehrt.

Fehler 4: TOM als einmaliges Projekt

DSGVO-Einführung 2018, TOM einmal erstellt, seitdem nicht mehr ange­fasst. Das ist leider in vielen Organisationen Realität. Dabei ver­ändern sich Systeme, Prozesse und Bedrohungslagen ständig — und TOM müssen mithalten.

Die Lösung: TOM als lebendes Dokument behandeln. Regelmäßige Überprüfung, min­destens einmal jährlich oder bei wesent­lichen Änderungen.

Fehler 5: TOM in Auftragsverarbeitungsverträgen nicht geprüft

Wer Dienstleister ein­setzt, die per­so­nen­be­zogene Daten ver­ar­beiten, braucht einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO — und der enthält immer auch TOM-Angaben des Dienstleisters. Viele Verantwortliche unter­schreiben diese AVVs ohne die TOM-Angaben inhaltlich zu prüfen. Im Audit eine schwache Stelle. Erst recht im Fall einer Datenschutzverletzung. BÄÄÄMMMM.

Die Lösung: TOM in AVVs nicht als Formalität behandeln, sondern inhaltlich bewerten — sind die Maßnahmen des Dienstleisters tat­sächlich ange­messen für die Art der Verarbeitung?

TOM wirklich verstehen, statt nur dokumentieren

Wer TOM nicht nur abhaken, sondern wirklich ver­stehen, prüfen und audit-sicher doku­men­tieren will, ist in unserem TOM-Webinar genau richtig. Ein Tag, pra­xisnah, für DSB, ISB, IT-Leiter und Auditoren.