- Bedeutung
- Technische, operative und organisatorische Maßnahmen
- Beispiele
- Verschlüsselung, Zugriffsrechte, Schulungen
- Herkunft
- DSGVO, passt auch zu NIS2
- Verwandt
- Controls
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was sind TOMs?
TOMs – technische, operative und organisatorische Maßnahmen – fassen alle Schutzmaßnahmen einer Organisation zusammen: technische (z. B. Verschlüsselung, MFA), organisatorische (z. B. Rollen, Policies, Schulungen) und operative (z. B. Monitoring, Wartung). Sie sind die konkrete Umsetzung von Sicherheit. Der Begriff prägt vor allem das deutsche Datenschutzrecht; international und in Standards spricht man stattdessen von Controls – inhaltlich meinen beide dasselbe.
Die drei Dimensionen
- Technisch: Verschlüsselung, Firewalls, Backups, MFA, Protokollierung.
- Organisatorisch: Rollen, Richtlinien, Schulungen, Verträge mit Dienstleistern.
- Operativ: laufender Betrieb, Monitoring, Wartung, regelmäßige Tests.
Technische vs. organisatorische Maßnahmen im Vergleich
Die Trennlinie ist simpel. Technische Maßnahmen wirken über Technik, organisatorische über Regeln und Menschen. Wo eine Maßnahme allein versagt, fängt die jeweils andere Seite den Schaden ab – deshalb verlangen DSGVO Art. 32 und NIS2 Art. 21 beide Spalten, nicht nur eine.
| Technische Maßnahmen | Organisatorische Maßnahmen |
|---|---|
| Festplatten- und Transportverschlüsselung (TLS, VPN) | Berechtigungskonzept mit dokumentierten Rollen |
| Mehr-Faktor-Authentifizierung (MFA) für administrative Zugänge | Schulung und Awareness-Training der Beschäftigten |
| Firewall- und Netzsegmentierung | Auftragsverarbeitungsverträge mit Dienstleistern |
| Backups mit getesteter Wiederherstellung | Notfall- und Meldeprozess (24h / 72h / 1 Monat) |
| Protokollierung und Manipulationsschutz von Logs | Regelmäßige Überprüfung und Freigabe der Policies |
TOMs und Controls
Inhaltlich sind TOMs nahezu deckungsgleich mit den Controls aus der internationalen Standardwelt, etwa dem Anhang A der ISO 27001. „TOMs" ist lediglich der im deutschen Datenschutz übliche Sammelbegriff. Wer seine Maßnahmen einmal sauber dokumentiert, kann denselben Nachweis daher für Datenschutz und Cybersicherheit nutzen, statt zwei getrennte Kataloge zu pflegen.
TOMs bei DSGVO und NIS2
Der Begriff stammt aus Artikel 32 der DSGVO, passt aber genauso zur NIS2-Richtlinie, die seit dem 6. Dezember 2025 in Kraft ist: Beide verlangen angemessene technische und organisatorische Maßnahmen zum Schutz von Daten und Systemen. Die Höhe der Sanktion hängt von der Einstufung ab. Für wesentliche Einrichtungen drohen nach NIS2 Bußgelder von bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes, für wichtige Einrichtungen bis zu 7 Mio. Euro oder 1,4 Prozent. Wer die BSI-Erstregistrierung bis zum abgelaufenen Stichtag 6. März 2026 versäumt hat, kann die Nachregistrierung weiterhin nachholen.
Beispiel: Ein Energieversorger pflegt eine zentrale TOM-Übersicht. Beim Datenschutz dient sie als Nachweis nach Artikel 32 DSGVO; bei der NIS2-Prüfung legt er dieselbe Liste – ergänzt um die Meldekette von 24 Stunden für die Erstmeldung, 72 Stunden für die Aktualisierung und einem Monat für den Abschlussbericht – als Beleg für sein Risikomanagement vor, sodass er gegenüber der zuständigen Behörde lückenlos zeigen kann, welche Maßnahme welches konkrete Risiko adressiert. Eine Liste reicht für beides.
Was müssen Sie konkret tun?
- Bestehende Maßnahmen aus Datenschutz und IT in einer einzigen TOM-Übersicht zusammenführen.
- Jede Maßnahme einem konkreten Risiko und einem verantwortlichen Rolleninhaber zuordnen.
- Lücken zwischen technischer und organisatorischer Spalte schließen – beide Seiten gehören dokumentiert.
- Wirksamkeit der Backups, der MFA und des Meldeprozesses mindestens jährlich testen, nicht nur beschreiben.
- Falls noch nicht geschehen, die BSI-Registrierung nachholen und die TOM-Übersicht prüfbereit halten.
Weiterführende Quelle: DSGVO Artikel 32 (EUR-Lex)
Häufige Fragen
Wofür stehen TOMs?
TOMs steht für technische, operative und organisatorische Maßnahmen zum Schutz von Informationen und Systemen. Zu den technischen Maßnahmen zählen etwa Verschlüsselung, Firewalls und Mehr-Faktor-Authentifizierung (MFA), zu den organisatorischen Rollen, Richtlinien und Schulungen sowie Verträge mit Dienstleistern. Operative Maßnahmen umfassen den laufenden Betrieb, also Monitoring, Wartung und regelmäßige Tests. Zusammen bilden TOMs die konkrete Umsetzung von Sicherheit.
Wo werden TOMs gefordert?
Der Begriff TOMs stammt aus Artikel 32 der DSGVO, der technische und organisatorische Maßnahmen für den Datenschutz verlangt. Sinngemäß fordert auch die seit dem 06.12.2025 in Kraft befindliche NIS2-Richtlinie nach Artikel 21 angemessene Maßnahmen zum Schutz von Netz- und Informationssystemen. Bei Verstößen drohen Bußgelder bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes für wesentliche, 7 Mio. EUR oder 1,4 % für wichtige Einrichtungen.
Was ist der Unterschied zwischen TOMs und Controls?
Inhaltlich besteht kaum ein Unterschied zwischen TOMs und Controls: TOMs ist der im deutschen Datenschutzrecht übliche Sammelbegriff, Controls der international gebräuchliche Begriff aus Standards wie ISO 27001 und deren Anhang A. Beide bezeichnen konkrete Schutzmaßnahmen, die aus der Risikoanalyse abgeleitet werden. Wer seine Maßnahmen einmal sauber dokumentiert, kann denselben Nachweis daher für Datenschutz und Cybersicherheit nutzen.