Technische und organisatorische Maßnahmen (TOM) bezeichnen nach Artikel 32 DSGVO die Schutzvorkehrungen, die ein Verantwortlicher oder Auftragsverarbeiter zum Schutz personenbezogener Daten umsetzt. Ziel ist es, ein dem Risiko angemessenes Schutzniveau zu gewährleisten – insbesondere im Hinblick auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Für Leistungserbringer in der Sozialwirtschaft ist die Umsetzung von TOM ein zentrales Element, um die besonderen Schutzbedarfe sensibler Daten – etwa aus der Jugendhilfe, Eingliederungshilfe oder Pflege – rechtssicher zu adressieren.

Technische Maßnahmen umfassen unter anderem Zugriffs-, Zutritts- und Zugriffskontrollen, Verschlüsselung, Pseudonymisierung, Firewalls oder Back-up-Systeme. Organisatorische Maßnahmen betreffen dagegen Regelungen, Prozesse und Verantwortlichkeiten – wie etwa Datenschutzschulungen, Berechtigungskonzepte, Regelungen zum mobilen Arbeiten oder Verfahren zum Umgang mit Datenschutzvorfällen.

Die Auswahl geeigneter Maßnahmen richtet sich nach dem Schutzbedarf der verarbeiteten Daten, dem Stand der Technik, den Implementierungskosten sowie dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Dabei gilt: Nicht jede Maßnahme ist überall erforderlich, aber alle Maßnahmen müssen in einem angemessenen Verhältnis zum Risiko stehen und wirksam sein. Eine rein formale TOM-Liste ohne Umsetzung genügt den Anforderungen der DSGVO nicht.

In der Praxis werden die TOM häufig im Rahmen von AV-Verträgen oder Verfahrensverzeichnissen dokumentiert. Die IJOS Datenschutzmanagement-Software (DSM) bietet die Möglichkeit, Maßnahmen einrichtungs- oder bereichsbezogen zu erfassen, regelmäßig zu überprüfen und in Risikoanalysen einzubeziehen. Damit wird deutlich, welche Maßnahmen tatsächlich in der Organisation implementiert sind – und wo gegebenenfalls noch Handlungsbedarf besteht.