Technische und organisatorische Maßnahmen, kurz TOM, sind das Rückgrat eines funktionierenden Datenschutzes – unabhängig von der Größe der Einrichtung. Auch kleine Träger in der Sozialwirtschaft unterliegen vollumfänglich den Anforderungen der DSGVO und müssen dafür sorgen, dass alle personenbezogenen Daten, die sie verarbeiten, gegen Verlust, unbefugten Zugriff, Veränderung und Offenlegung geschützt sind. Dabei macht die DSGVO keine Ausnahme für kleine Organisationen. Sie verlangt lediglich, dass sich Umfang und Tiefe der Maßnahmen am Risiko für die betroffenen Personen orientieren. Das bedeutet: Je sensibler die Daten, desto höher die Anforderungen – auch bei einem kleinen Träger mit wenigen Mitarbeitenden.

In der Praxis sehen sich kleinere Träger oft mit der Herausforderung konfrontiert, dass sie nicht über spezialisierte IT-Abteilungen, Datenschutzexpert*innen oder große Budgets verfügen. Trotzdem müssen sie geeignete Maßnahmen treffen, die dem Stand der Technik entsprechen. Dazu gehören grundlegende Anforderungen wie sichere Passwörter, aktuelle Virenschutzprogramme, verschlüsselte Endgeräte, regelmäßige Backups und der kontrollierte Zugriff auf personenbezogene Daten. Auch organisatorisch müssen Regelungen getroffen werden – etwa in Form von Verfahrensanweisungen, Schulungen, Löschkonzepten, Verantwortlichkeitsregelungen oder klaren Prozessen bei Datenschutzvorfällen. Wer keine IT-Sicherheitsstrategie verfolgt, keine Übersicht über seine Datenflüsse hat oder keine Zugriffsregelung implementiert, verletzt die DSGVO – selbst wenn nur wenige Daten verarbeitet werden.

Kleine Träger müssen sich daher auf das Wesentliche konzentrieren und die Maßnahmen dokumentieren, die sie tatsächlich umsetzen. Es ist besser, wenige Maßnahmen gut zu organisieren, als aufwendige Konzepte nur auf dem Papier zu haben. Besonders wichtig ist es, die typischen Schwachstellen zu erkennen: unverschlüsselte E-Mails, geteilte Benutzerkonten, fehlende Regelungen bei der Nutzung privater Geräte, offene Schränke mit Akten oder ungesicherte mobile Speicher. Auch der Einsatz von kostenlosen Online-Diensten ohne geprüfte Auftragsverarbeitung ist ein häufiges Risiko. Die meisten Datenschutzverstöße in kleinen Einrichtungen geschehen nicht aus böser Absicht, sondern aus Unkenntnis und fehlender Struktur. Genau hier setzt die Pflicht zur Umsetzung technischer und organisatorischer Maßnahmen an: Sie fordert ein Mindestmaß an Struktur, Sorgfalt und Kontrolle – unabhängig von der Größe der Organisation.

Die IJOS Datenschutzmanagement-Software (DSM) unterstützt insbesondere kleine Träger dabei, TOMs systematisch zu erfassen, umzusetzen und fortlaufend zu überprüfen. Die Software bietet praxisorientierte Vorlagen, Risikoeinschätzungen und eine strukturierte Übersicht aller Maßnahmen, die dokumentiert und bei Bedarf nachgewiesen werden können. Auch die Einbindung von Verantwortlichen, die Verknüpfung mit Verarbeitungstätigkeiten und die Planung von Schulungen werden unterstützt. Die Whistleblower-Plattform der IJOS GmbH bietet zudem kleinen Trägern die Möglichkeit, intern Missstände zu melden – etwa wenn technische Schutzmaßnahmen umgangen oder organisatorische Regelungen ignoriert werden.

Technische und organisatorische Maßnahmen sind nicht nur für große Träger ein Thema. Sie betreffen jede Einrichtung, die personenbezogene Daten verarbeitet – also auch kleine und mittlere Organisationen mit geringem Personalbestand oder wenigen Klient*innen. Wer Verantwortung übernimmt, muss für Datenschutz sorgen – pragmatisch, nachvollziehbar und verbindlich. Die Größe der Einrichtung entbindet nicht von der Pflicht zur Sicherheit, sondern erfordert umso mehr Klarheit und Struktur. Wer TOMs ernst nimmt, zeigt, dass Datenschutz auch im Kleinen zählt.