Datenschutz nervt. Aber kein Datenschutz nervt mehr – besonders bei der nächsten Prüfung. Viele Betriebe setzen auf Standard-Kataloge für technische und organisatorische Maßnahmen (TOMs). Klingt erstmal effizient – doch reicht das wirklich? Und: Ist das überhaupt DSGVO-konform?
In diesem Artikel zeigen wir praxisnah, warum pauschale TOMs nicht ausreichen, welche Risiken damit verbunden sind und wie du die passenden Maßnahmen für deine Prozesse findest.
Was sind TOMs überhaupt?
Technische und organisatorische Maßnahmen (TOMs) sind laut DSGVO das Fundament für den Schutz personenbezogener Daten. Sie sollen sicherstellen, dass nur autorisierte Personen Zugriff haben, Daten nicht verloren gehen und alles nachvollziehbar dokumentiert wird.
Beispiele:
- Zutrittskontrollen für Serverräume
- Zugriffsrechte auf Software
- Back-up-Strategien
- Verschlüsselungstechniken
Warum ein Schutzmaßnahmen-Katalog oft nicht ausreicht
Viele Anbieter liefern pauschale TOM-Listen zum Ankreuzen mit. Das Problem: Diese Standardlösungen berücksichtigen weder dein konkretes Risiko noch deine spezifischen Prozesse.
Risiken bei Pauschal-TOMs:
- Maßnahmen passen nicht zum tatsächlichen Schutzbedarf
- Behörden erkennen die Relevanzlücke – und beanstanden
- Du riskierst Bußgelder oder im Ernstfall sogar Datenverluste
Praxisbeispiel aus dem Handwerk
Ein Fachbetrieb für Heizung & Sanitär speicherte Kundendaten inkl. Adresse, Telefonnummer und Auftragsdetails – alles über eine cloudbasierte Software. Der eingesetzte TOM-Katalog nannte „Zutrittskontrolle durch Schlüsselregelung“. Problem: Die Server standen nicht im eigenen Betrieb, sondern beim Cloud-Anbieter – Zutrittskontrolle also irrelevant.
Ergebnis bei Prüfung: TOM nicht risikogerecht – Nachbesserung und Schulung fällig.
So findest du die passenden TOMs
Statt pauschal: individuell und risikoorientiert. Die DSGVO verlangt „angemessene“ Maßnahmen – das bedeutet: abhängig vom Risiko.
Ein typisches Beispiel: Serverzugriffskontrolle.
Viele TOM-Kataloge schreiben pauschal: „Serverraum ist verschlossen und nur autorisierte Personen haben Zutritt.“ Klingt logisch – aber:
Zwei Varianten – zwei Welten:
👷 Lokaler Server im Betrieb:
Hier geht’s wirklich um den physischen Zutritt. Wer darf in den Raum, wo der Server steht? Gibt es ein Schlüsselprotokoll, Alarmanlage oder Kameraüberwachung?
☁️ Cloud-Server beim Dienstleister:
Da hast du keinen Raum, in dem du die Tür abschließen kannst. Hier zählt:
- Wie schützt der Dienstleister den Serverstandort?
- Gibt es ISO-Zertifizierungen (z. B. ISO 27001)?
- Welche Maßnahmen sind im Auftragsverarbeitungsvertrag geregelt?
- Wie wird der digitale Zugang gesichert (2-Faktor-Authentifizierung, VPN, Rechteverwaltung)?
Fazit: Wer einfach nur „Serverraum abschließbar“ ankreuzt, obwohl die Daten in der Cloud liegen, schießt sich selbst ein Eigentor. Das fällt spätestens bei einer Prüfung auf – und sorgt für unnötigen Stress.
Tools und Methoden zur TOM-Prüfung
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Die Basis für jede Risikoanalyse
- Schutzbedarfsfeststellung: Welche Daten brauchen welchen Schutz?
- TOM-Matrix: Maßnahmen bewerten und priorisieren
- Audit-Vorlagen: Regelmäßig prüfen, ob die Maßnahmen noch passen
Tipps für Handwerksbetriebe
- Beziehe deine IT-Firma oder Cloud-Dienstleister ein
- Kläre, wer im Betrieb TOMs umsetzt und dokumentiert
- Schulen statt schweigen: Alle Mitarbeitenden müssen die Maßnahmen kennen
- Nutze ein IMS (Integriertes Managementsystem), um Datenschutz, Qualität & Co. gemeinsam zu managen
Fazit
Ein Schutzmaßnahmen-Katalog klingt nach einem guten Shortcut – ist aber oft eine gefährliche Abkürzung. Wer Datenschutz ernst nimmt, setzt auf individuelle, risikobasierte TOMs, die sich an der Realität des eigenen Betriebs orientieren.
Unser Tipp: Nimm dir die Zeit für eine solide Analyse – oder hol dir Unterstützung, bevor es teuer wird.
