Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind der zentrale Schutzmechanismus für personenbezogene Daten in Ihrem Unternehmen. Sie sind keine einmalige Aufgabe, sondern müssen kontinuierlich an neue technische, rechtliche und organisatorische Rahmenbedingungen angepasst werden – von Cloud-Nutzung bis KI, von Remote Work bis Lieferkettenintegration.
Nachfolgend finden Sie zehn wirksame Ansatzpunkte, wie Unternehmen ihre TOM im Jahr 2025 strukturiert und praxisnah optimieren können.
1. Rechenschaftspflicht aktiv umsetzen
Die DSGVO verlangt nicht nur wirksame Maßnahmen, sondern auch deren belegbare Umsetzung. Ein zentral gepflegtes TOM-Verzeichnis mit Zuständigkeiten, Prüfzyklen und dokumentierten Entscheidungen schafft Transparenz – intern wie extern. Die Prüfung des aktuellen Standes der Maßnahmen sowie deren Dokumentation sollte zumindest jährlich erfolgen, auch um Haftungsfolgen zu vermeiden.
2. Zugriffs- und Authentifizierungssysteme aktualisieren
Unbeschränkter Zugriff und einfache Passwörter sind nicht mehr zeitgemäß. Zwei-Faktor-Authentifizierung und rollenbasiertes Rechtemanagement gehören heute zum technischen Standard – insbesondere bei geheimhaltungsbedürftigen Unterlagen und sensiblen Anwendungen. Zugriffsrechte sollten regelmäßig überprüft und angepasst werden.
3. Backups zuverlässig planen und testen
Sichere und funktionierende Backups sind unverzichtbar. Wichtig ist nicht nur die technische Durchführung, sondern auch das Testen der Wiederherstellung. Dabei muss sichergestellt sein, dass keine bereits gelöschten Daten ungewollt wiederhergestellt werden.
4. Verschlüsselung als Standard etablieren
Ob bei der Übertragung oder bei der Speicherung: Die Verschlüsselung sensibler Daten kann erforderlich sein. Unternehmen sollten prüfen, ob eine Verschlüsselung konsequent und durchgängig umgesetzt ist – auch auf mobilen Geräten und in Cloud-Systemen. Im Jahr 2024 waren laut Bitkom rund 72 % der deutschen Unternehmen von Cyberangriffen betroffen. Dem muss durch Maßnahmen wie der Verschlüsselung entgegengewirkt werden.
5. Physische und digitale Sicherheit getrennt gewährleisten
Technische Maßnahmen wie elektronische Zugriffsbeschränkungen müssen durch physisch-organisatorische Zutrittskontrollen ergänzt werden. Das betrifft etwa Serverräume, Archivbereiche oder mobile Hardware. Beide Ebenen sollten sauber getrennt und dokumentiert sein.
6. Sicherheitskonzepte für mobiles Arbeiten
Homeoffice und mobile Endgeräte bringen neue Risiken mit sich. Ein zentrales Gerätemanagement, klar definierte Bring-Your-Own-Device-Regelungen und abgesicherte Netzwerkverbindungen sind Pflicht. Ältere Homeoffice-Lösungen sollten kritisch hinterfragt und angepasst werden, sodass die Erstellung einer entsprechenden Richtlinie meist sinnvoll ist.
7. Pseudonymisierung gezielt einsetzen
Pseudonymisierte Daten senken Risiken und können den Schutzbedarf einzelner Prozesse reduzieren – etwa bei interner Analyse oder Produktentwicklung. Die Maßnahme ist dann wirksam, wenn die Schlüsselinformationen zur De-Pseudonymisierung konsequent getrennt abgesichert werden.
8. Dienstleister vertraglich und technisch prüfen
Verträge zur Auftragsverarbeitung sind erforderlich, reichen allein jedoch nicht aus, um die Sicherheit von Daten zu gewährleisten. Unternehmen müssen aktiv kontrollieren, ob vereinbarte Maßnahmen eingehalten werden – insbesondere bei Cloud-Diensten oder internationalen Anbietern. Zertifizierungen oder Auditberichte sind dafür geeignete Instrumente.
9. TOM risikobasiert bewerten
Nicht jede Maßnahme ist in jedem Kontext erforderlich – aber jede Maßnahme muss zur Gefährdungslage passen. Unternehmen sollten ihre Schutzmaßnahmen regelmäßig anhand einer einfachen Risikoabwägung evaluieren und gegebenenfalls anpassen. Ein Audit hierzu dokumentiert Erforderlichkeit und Wahl der Maßnahmen.
10. Verantwortlichkeiten klar definieren
TOM entfalten ihre Wirkung nur, wenn Zuständigkeiten, Kommunikationswege und Eskalationsprozesse klar geregelt sind. Datenschutz, IT und Fachbereiche sollten regelmäßig zusammenarbeiten, um Maßnahmen wirksam und aktuell zu halten. Richten Sie hierfür beispielsweise wiederkehrende Meetings zur Abstimmung ein.
Fazit
Die in der DSGVO abstrakt formulierten technisch-organisatorischen Anforderungen zum Schutz personenbezogener Daten müssen durch konkrete Maßnahmen umgesetzt werden. Sie stellen ein zentrales Element moderner Unternehmensverantwortung dar. Wer diese Anforderungen systematisch plant, dokumentiert und kontinuierlich weiterentwickelt, schützt nicht nur personenbezogene Daten, sondern auch das Vertrauen in die eigene Organisation – und minimiert zugleich potenzielle Haftungsrisiken. Dies erfordert zwar ein gewisses Maß an Initiative, die jedoch mit einer verbesserten Zukunftssicherheit des Unternehmens belohnt wird.
