Technische und organisatorische Maßnahmen (TOM)

Auch: TOM · TOMs

Technische und organisatorische Maßnahmen (TOM) sind die nach Art. 32 DSGVO vorgeschriebenen Sicherheitsvorkehrungen, mit denen Verantwortliche und Auftragsverarbeiter personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Manipulation schützen müssen.

Ausführliche Erklärung

Art. 32 DSGVO verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für Betroffene geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische Maßnahmen betreffen die IT- und Infrastrukturebene, etwa Verschlüsselung und Pseudonymisierung von Daten, Zugriffskontrollen, Firewalls, Backup-Systeme und Protokollierung von Zugriffen. Organisatorische Maßnahmen regeln Abläufe und Verantwortlichkeiten, etwa Vertraulichkeitsverpflichtungen für Mitarbeiter, Schulungen, ein Berechtigungskonzept, Regelungen zum Umgang mit Datenträgern sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen.

Für Makler sind TOM in mehrfacher Hinsicht relevant: Sie verarbeiten regelmäßig sensible personenbezogene Daten von Interessenten und Eigentümern (Bonitätsauskünfte, Ausweiskopien, Einkommensnachweise, Selbstauskünfte). Angemessene TOM umfassen etwa eine verschlüsselte Übertragung und Speicherung dieser Unterlagen, ein rollenbasiertes Zugriffskonzept im CRM-System, klare Löschfristen sowie vertragliche Vereinbarungen mit externen Dienstleistern (z. B. Portalanbietern, Cloud-Diensten) im Rahmen der Auftragsverarbeitung. Die getroffenen Maßnahmen sollten dokumentiert werden, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen und im Falle einer behördlichen Prüfung oder eines Datenschutzvorfalls nachweisen zu können.

Beispiel aus der Praxis

Ein Maklerbüro speichert eingereichte Selbstauskünfte und Gehaltsnachweise von Mietinteressenten verschlüsselt auf einem Server mit rollenbasiertem Zugriff, sodass nur der zuständige Makler Einsicht hat. Zusätzlich werden Mitarbeiter jährlich zum Datenschutz geschult und alle Datenträger nach Ablauf der Aufbewahrungsfrist sicher gelöscht – damit erfüllt das Büro seine Pflichten aus Art. 32 DSGVO.

Rechtsgrundlage

  • Art. 32 DSGVO – Sicherheit der Verarbeitung; verpflichtet Verantwortliche und Auftragsverarbeiter zu angemessenen technischen und organisatorischen Maßnahmen.

Verwandte Begriffe