TOM nach Art. 32 DSGVO: Technische und organisatorische Maßnahmen erklärt

Art. 32 DSGVO verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter, “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten zu treffen. Was “geeignet” bedeutet, hängt vom Risiko, dem Stand der Technik und den Implementierungskosten ab. Klar ist aber: Ohne dokumentierte TOM ist keine DSGVO-Compliance möglich. TOM bilden die Grundlage für den Nachweis, dass du deine Daten angemessen schützt — und sie sind obligatorischer Bestandteil jedes Auftragsverarbeitungsvertrags (AVV) nach Art. 28 DSGVO.

Dieser Artikel erklärt die vier Schutzziele, listet konkrete technische und organisatorische Maßnahmen auf, zeigt eine Muster-Gliederung für die TOM-Dokumentation und beschreibt, welche TOM speziell für Websites relevant sind.

Die vier Schutzziele nach Art. 32 Abs. 1 DSGVO

Art. 32 Abs. 1 DSGVO nennt vier Schutzziele, die durch TOM gewährleistet werden müssen:

Schutzziel	Bedeutung	Beispiel
Vertraulichkeit	Nur Befugte haben Zugang zu personenbezogenen Daten	Zugriffssteuerung, Verschlüsselung
Integrität	Daten sind korrekt und unverändert	Checksummen, Versionierung, Protokollierung
Verfügbarkeit	Daten und Systeme sind bei Bedarf zugänglich	Backups, Redundanz, USV, Disaster Recovery
Belastbarkeit	Systeme funktionieren auch unter Last oder Angriff zuverlässig	DDoS-Schutz, Skalierung, Lastverteilung

Zusätzlich verlangt Art. 32 Abs. 1 lit. d ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM. TOM sind kein einmaliges Projekt, sondern ein kontinuierlicher Prozess.

Technische Maßnahmen im Detail

Zutrittskontrolle

Maßnahmen, die verhindern, dass Unbefugte physischen Zugang zu Datenverarbeitungsanlagen erhalten:

Zutrittskontrollsysteme (Chipkarten, biometrisch, Schlüsselregelung)
Sicherheitsbereiche für Serverräume und Netzwerkverteiler
Besucherregelung mit Anmeldung und Begleitung
Alarmanlagen und Videoüberwachung (Achtung: eigene DSGVO-Anforderungen)
Automatische Türschließer, Sicherheitsschlösser

Zugangskontrolle

Maßnahmen, die verhindern, dass Datenverarbeitungssysteme unbefugt genutzt werden:

Starke Passwortrichtlinie: Mindestens 12 Zeichen, Komplexitätsanforderungen
Multi-Faktor-Authentifizierung (MFA): TOTP, Hardware-Tokens (FIDO2/WebAuthn)
Automatische Bildschirmsperre nach Inaktivität (max. 5 Minuten)
Zentrale Benutzerverwaltung (Active Directory, LDAP, SSO)
Protokollierung fehlgeschlagener Anmeldeversuche (Brute-Force-Erkennung)

# Beispiel: Passwortrichtlinie in einer Security Policy
Mindestlaenge: 12 Zeichen
Komplexitaet: Gross-/Kleinbuchstaben + Zahlen + Sonderzeichen
Maximales Alter: 365 Tage (NIST empfiehlt: kein Ablauf bei starken Passwoertern)
Kontosperrung: Nach 5 fehlgeschlagenen Versuchen fuer 30 Minuten
MFA: Pflicht fuer alle Admin-Zugaenge und Remote-Zugriffe

Zugriffskontrolle (Berechtigungskonzept)

Maßnahmen, die sicherstellen, dass Berechtigte nur auf die Daten zugreifen können, die sie benötigen:

Rollenbasierte Zugriffskontrolle (RBAC): Rechte über Rollen, nicht pro Person
Principle of Least Privilege: Nur die minimal notwendigen Rechte vergeben
Regelmäßige Rechte-Reviews: Quartalweise prüfen, ob Berechtigungen noch aktuell sind
Entzug bei Austritt: Sofortige Deaktivierung bei Kündigung oder Aufgabenwechsel

Rolle	Zugriff auf	Typische Rechte
Administrator	Alle Systeme	Vollzugriff, Benutzerverwaltung
Sachbearbeiter	Kundendaten, Aufträge	Lesen, Schreiben, kein Löschen
Buchhaltung	Rechnungen, Zahlungsdaten	Lesen, Schreiben
Externer Dienstleister	Nur vertraglich definierter Bereich	Eingeschränkt per AVV

Verschlüsselung

Art. 32 Abs. 1 lit. a DSGVO nennt Verschlüsselung ausdrücklich als Beispiel für eine geeignete Maßnahme:

Verschlüsselung in Transit:

TLS 1.2 oder höher für alle Verbindungen (HTTPS, SMTPS, IMAPS)
HSTS-Header (HTTP Strict Transport Security) mit max-age=31536000; includeSubDomains
Kein TLS 1.0/1.1 — seit 2020 von Browsern als unsicher eingestuft

Verschlüsselung at Rest:

Festplattenverschlüsselung: LUKS (Linux), BitLocker (Windows), FileVault (macOS)
Datenbankverschlüsselung: Transparent Data Encryption (TDE) oder Spalten-Verschlüsselung
Backup-Verschlüsselung: Alle Backups müssen verschlüsselt gespeichert werden

Schlüsselmanagement:

Schlüssel getrennt von Daten aufbewahren
Regelmäßige Schlüsselrotation
Zugriff auf Schlüssel auf Minimum beschränken

Pseudonymisierung

Art. 32 nennt Pseudonymisierung als weitere Maßnahme. Dabei werden identifizierende Merkmale durch Pseudonyme ersetzt, sodass ein Personenbezug nur mit zusätzlichen Informationen herstellbar ist:

Tokenisierung: Kundennummern statt Klarnamen in Analysedatenbanken
Hashing: E-Mail-Adressen gehasht speichern (wo möglich)
Trennung: Zuordnungstabelle getrennt und gesichert aufbewahren

Backups und Wiederherstellung

3-2-1-Regel: 3 Kopien, auf 2 verschiedenen Medien, 1 davon off-site
Regelmäßige Tests: Restore-Tests mindestens quartalsweise durchführen
Verschlüsselte Backups: Keine unverschlüsselten Backups auf externen Medien
Automatisierung: Manuell erstellte Backups werden vergessen — cron-Jobs oder Backup-Software nutzen

# Beispiel: Automatisiertes PostgreSQL-Backup mit Verschluesselung
#!/bin/bash
BACKUP_DIR="/var/backups/postgresql"
DB_NAME="app_database"
DATE=$(date +%Y%m%d_%H%M%S)

pg_dump -U db_user $DB_NAME | gzip | \
  gpg --symmetric --cipher-algo AES256 --batch --passphrase-file /root/.backup-key \
  > "$BACKUP_DIR/${DB_NAME}_${DATE}.sql.gz.gpg"

# Alte Backups loeschen (14 Tage Rotation)
find $BACKUP_DIR -name "*.gpg" -mtime +14 -delete

Firewall und Netzwerksicherheit

Firewall: Eingehender und ausgehender Traffic filtern — nur notwendige Ports öffnen
Netzwerksegmentierung: Datenbank-Server nicht direkt aus dem Internet erreichbar
VPN: Für Remote-Zugriff auf interne Systeme
Intrusion Detection / Prevention System (IDS/IPS): Anomalien erkennen

Organisatorische Maßnahmen im Detail

Mitarbeiterschulungen

Onboarding: Datenschutzschulung bei Einstellung (vor dem ersten Datenzugriff)
Jährliche Auffrischung: Pflichtschulung zum Datenschutz und zur IT-Sicherheit
Phishing-Awareness: Simulierte Phishing-Mails, Schulung zur Erkennung
Dokumentation: Teilnahme an Schulungen schriftlich festhalten (Nachweis für Aufsichtsbehörde)

Berechtigungskonzept

Ein schriftliches Berechtigungskonzept dokumentiert:

Welche Rollen es gibt und welche Rechte jede Rolle hat
Wer Berechtigungen vergibt und entzieht
Wie der Prozess bei Eintritt, Wechsel und Austritt aussieht
Wann und wie Berechtigungen überprüft werden

Clean-Desk-Policy

Arbeitsplatz beim Verlassen aufräumen: Keine Unterlagen mit personenbezogenen Daten offen liegen lassen
Drucker: Ausdrucke sofort abholen — Vertrauliches nur am eigenen Drucker oder mit PIN-Druck
Schredder: Mindestens Sicherheitsstufe P-4 nach DIN 66399 für Dokumente mit personenbezogenen Daten
Sperrbildschirm: Windows + L bzw. Ctrl + Cmd + Q zur Gewohnheit machen

Datenschutzvorfall-Management

Meldekette definieren: Wer wird zuerst informiert? (Datenschutzbeauftragter, IT-Leitung, Geschäftsführung)
72-Stunden-Frist: Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO
Vorfall-Dokumentation: Jeder Vorfall muss intern dokumentiert werden (Art. 33 Abs. 5)
Lessons Learned: Nach jedem Vorfall Maßnahmen zur Verhinderung künftiger Vorfälle ableiten

TOM dokumentieren: Muster-Gliederung

Die TOM-Dokumentation ist keine freiwillige Best Practice, sondern eine Nachweispflicht (Art. 5 Abs. 2 DSGVO — Rechenschaftspflicht). Folgende Gliederung deckt alle relevanten Bereiche ab:

Nr.	Bereich	Inhalte
1	Zutrittskontrolle	Physische Sicherheit, Serverraum, Besucherregelung
2	Zugangskontrolle	Authentifizierung (Passwort, MFA), Protokollierung
3	Zugriffskontrolle	Berechtigungskonzept, Admin-Zugriffe, Rechte-Reviews
4	Weitergabekontrolle	Verschlüsselung in Transit und at Rest, Übertragungswege
5	Eingabekontrolle	Änderungsprotokollierung, revisionssichere Dokumentation
6	Auftragskontrolle	AVV-Management, Weisungsgebundenheit, Subunternehmer
7	Verfügbarkeitskontrolle	Backup-Strategie, Disaster Recovery, USV und Redundanz
8	Trennungsgebot	Mandantentrennung, zweckgebundene Verarbeitung
9	Regelmäßige Überprüfung	Audit-Zyklen, Penetrationstests, Schulungsnachweise

TOM für Websites

Websites verarbeiten personenbezogene Daten (mindestens IP-Adressen). Folgende TOM sind für Website-Betreiber relevant:

Pflicht-Maßnahmen

Maßnahme	Schutzziel	Prüfbar?
SSL/TLS-Verschlüsselung (HTTPS)	Vertraulichkeit	Ja — Compliso Scanner
HSTS-Header	Vertraulichkeit	Ja — Scanner
X-Content-Type-Options: nosniff	Integrität	Ja — Scanner
X-Frame-Options: DENY/SAMEORIGIN	Integrität	Ja — Scanner
Content-Security-Policy (CSP)	Integrität, Vertraulichkeit	Ja — Scanner
Referrer-Policy: strict-origin-when-cross-origin	Vertraulichkeit	Ja — Scanner
Permissions-Policy	Vertraulichkeit	Ja — Scanner
Regelmäßige Software-Updates	Verfügbarkeit, Integrität	Manuell
Zugriffsschutz für Admin-Bereiche	Vertraulichkeit	Manuell
Server-Logfiles mit Löschkonzept	Vertraulichkeit	Manuell

Empfohlene Security-Header-Konfiguration

# nginx Konfiguration
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "SAMEORIGIN" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self';" always;

Ein rechtskonformer Cookie-Banner mit Script-Blocking ist nicht nur eine rechtliche Pflicht, sondern auch eine technische Maßnahme zum Schutz der Vertraulichkeit: Er verhindert, dass Nutzerdaten ohne Einwilligung an Dritte übermittelt werden. Der Compliso Cookie-Banner blockiert Tracking-Scripts technisch vor dem Consent und erfüllt damit beide Anforderungen gleichzeitig.

TOM als Anlage zum AVV und regelmäßige Überprüfung

Nach Art. 28 Abs. 3 lit. c DSGVO muss der Auftragsverarbeiter “alle gemäß Artikel 32 erforderlichen Maßnahmen” ergreifen. In der Praxis werden die TOM als Anlage zum AVV beigefügt. Als Verantwortlicher musst du die TOM des Auftragsverarbeiters vor Vertragsschluss prüfen und bewerten, ob sie für die Art der verarbeiteten Daten angemessen sind.

Art. 32 Abs. 1 lit. d DSGVO verlangt zusätzlich ein “Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit” der TOM. Konkret bedeutet das:

Quartalweise: Rechte-Reviews, Backup-Restore-Tests
Halbjährlich: Schwachstellen-Scans, Phishing-Tests
Jährlich: Vollständiges Datenschutz-Audit, TOM-Dokumentation aktualisieren
Anlassbezogen: Nach Datenschutzvorfällen, Systemwechseln, organisatorischen Änderungen

Praxis-Checkliste: TOM umsetzen und dokumentieren

Website-TOM automatisch prüfen

Die technischen Maßnahmen deiner Website — SSL-Konfiguration, Security-Headers, Verschlüsselung, Third-Party-Verbindungen — lassen sich automatisiert prüfen. Der Compliso Scanner testet alle 30 sicherheitsrelevanten Kriterien und zeigt dir genau, welche technischen Maßnahmen fehlen oder falsch konfiguriert sind.

Scanne deine Website jetzt kostenlos und erhalte einen detaillierten Bericht über den Status deiner technischen Schutzmaßnahmen. Die Ergebnisse kannst du direkt als Grundlage für deine TOM-Dokumentation verwenden.