zur Blogübersicht

Die zentrale Rolle technisch-organisatorischer Maßnahmen (TOM) in Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DSGVO

März 18, 2025

Für Unternehmen, die personenbezogene Daten an externe Dienstleister outsourcen, sind technisch-organisatorische Maßnahmen (TOM) ein entscheidender Pfeiler der Compliance.

Art. 28 DSGVO verpflichtet Auftraggeber und -nehmer dazu, in der Auftragsverarbeitungsvereinbarung (AVV) verbindlich festzulegen, wie Daten geschützt werden. TOMs sind hierbei kein optionaler Zusatz, sondern eine gesetzliche Mindestanforderung, um Haftungsrisiken zu minimieren und das Vertrauen in die Datenverarbeitungskette zu stärken.

Rechtliche Grundlagen und Mindestanforderungen

Gemäß Art. 32 DSGVO müssen TOMs stets dem Stand der Technik, dem Risikoniveau der Verarbeitung und den Implementierungskosten angemessen sein.

Artikel 28 DSGVO verpflichtet Verantwortliche dazu, nur solche Auftragsverarbeiter auszuwählen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, sodass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.

Konkret umfassen die Mindestanforderungen:

Pseudonymisierung und Verschlüsselung von Daten

Durch diese Techniken wird sichergestellt, dass Daten ohne zusätzliche Informationen nicht einer spezifischen Person zugeordnet werden können.

Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme

Dies beinhaltet den Schutz vor unbefugtem Zugriff sowie die Sicherstellung der Datenintegrität und -verfügbarkeit, sowie Verfahren zur schnellen Wiederherstellung von Daten nach Zwischenfällen (Backupsysteme).

Regelmäßige Überprüfung der Wirksamkeit der Schutzmaßnahmen

Durch kontinuierliche Kontrollen wird die Effektivität der implementierten Sicherheitsmaßnahmen sichergestellt.

Diese Punkte müssen in der AVV nicht nur benannt, sondern detailliert beschrieben werden!

Ein häufiger Fehler ist die Verwendung unkonkreter Formulierungen wie „angemessene Sicherheit“. Stattdessen sind spezifische Maßnahmen wie beispielsweise Zwei-Faktor-Authentifizierung, Rechtekonzepte oder verschlüsselte Backups zu dokumentieren.

Warum TOMs die Zuverlässigkeit des Auftragnehmers definieren

Unternehmen, die ihre TOMs lückenlos dokumentieren, demonstrieren direkt in Ihrer Außendarstellung, dass das Thema Datenschutz im Unternehmen einen hohen Stellenwert hat und nicht als „notwendiges Übel“ behandelt wird.

„Unzureichende TOMs sind ein deutliches Alarmsignal für Auftraggeber.“

Der Schutz personenbezogener Daten ist nicht nur eine gesetzliche Pflicht, sondern auch ein Qualitätsmerkmal Ihres Unternehmens. Durch die Implementierung angemessener technischer und organisatorischer Maßnahmen in Ihren Auftragsverarbeitungsvereinbarungen sichern Sie das Vertrauen Ihrer Kunden und Partner und minimieren gleichzeitig rechtliche Risiken.

Die ausführliche und korrekte Dokumentation der TOMs ist Ihr Nachweis der professionellen Umsetzung der datenschutzrechtlichen Vorgaben was Ihnen bei Ausschreibungen und größeren Auftraggebern nicht nur einen Vorsprung vor der Konkurrenz verschafft, sondern mittlerweile als obligatorisch vorausgesetzt wird.

Risiken bei unzureichenden TOM

Unzureichende oder fehlende technische und organisatorische Maßnahmen können schwerwiegende Konsequenzen haben. Zum einen steigt das Risiko von Datenschutzverletzungen, die zu erheblichen Bußgeldern führen können.

In der Praxis hat sich gezeigt, dass bei einem Datenschutzvorfall grundsätzlich als erstes die vollständige TOM-Dokumentation durch die ermittelnde Datenschutzaufsichtsbehörde angefordert wird.

Hierbei haben Sie im Schadensfall nur noch sehr kurze Reaktionszeiten, da die Dokumentationen erfahrungsgemäß sofort und ohne schuldhafte Verzögerung vorgelegt werden müssen, was ein „schnelles Nacharbeiten“ und „geradeziehen“ von unzureichenden (oder gar nicht vorhandenen) Dokumentationen unmöglich macht.

Unzureichende oder fehlerhafte TOMs führen dann in der Folge direkt zur maximalen Ausschöpfung der gesetzlich möglichen Bußgelder, im Umkehrschluss können professionelle Dokumentationen Sie im Rahmen des Ermessensspielraums sogar gänzlich von einem Bußgeld bewahren, da der unternehmensinterne Stellenwert des Themas Datenschutz für die Aufsichtsbehörden ein ausschlaggebender Faktor ist.

„Ihre Zuverlässigkeit als Auftragnehmer kann in Frage gestellt werden.“

Fehlende oder unzureichende TOM lassen Zweifel an der Kompetenz und Seriosität des Dienstleisters aufkommen, was das Vertrauen und die Geschäftsbeziehung nachhaltig beeinträchtigen kann und im Zweifelsfall wird sich Ihr Auftraggeber sogar für einen anderen Dienstleister entscheiden.

Gleiches gilt, wenn Sie einen Dienstleister als Auftragnehmer beschäftigen (möchten), wenn ihr potenzieller Geschäftspartner nicht in der Lage die vom Gesetzgeber geforderten datenschutzrechtlichen Anforderungen umzusetzen und in den TOM-Dokumentationen nachzuweisen: Finger weg von solchen Auftragnehmern!!

Im Zweifelsfall haften Sie für das Verschulden Ihres Dienstleisters, da Sie dessen Eignung bereits vor Vertragsabschluss hätten prüfen müssen!

Unsere Erfahrung zeigt, dass Unternehmen oft nicht wissen, welche vertraglichen Regelungen notwendig sind, um Datenschutzkonformität sicherzustellen, was zu nicht unerheblichen, privatrechtlichen Haftungsansprüchen für die Geschäftsführungsebene führen kann.

Weiterführende Informationen zur Haftung von Geschäftsführern finden Sie hier:

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Kritische Aspekte in der Praxis

Ein häufig unterschätztes Risiko liegt in der Kontrolle von Unterauftragnehmern. Auch diese müssen nachweisbar TOMs umsetzen – ein Punkt, den viele AVVs unzureichend regeln. Zudem verlangt die DSGVO, dass TOMs dynamisch an neue Risiken angepasst werden. Ein einmal erstelltes Konzept genügt nicht; regelmäßige Audits und Updates sind Pflicht.

Weiterführende Informationen zu Unterauftragnehmern und wie Sie sich schützen können finden Sie hier:

Die Bedeutung von Unterauftragnehmern in der Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO (AVV)

Wie wir Sie als Kanzlei unterstützen

Unsere langjährige Expertise im Datenschutzrecht ermöglicht es uns, maßgeschneiderte Lösungen für Ihre AVVs zu entwickeln.

Wir unterstützen Sie bei:

Beratung bei der Erstellung und Prüfung von Auftragsverarbeitungsvereinbarungen:
Wir entwerfen maßgeschneiderte AVVs, die den spezifischen Anforderungen Ihres Unternehmens entsprechen und alle rechtlichen Vorgaben erfüllen.

Prüfung bestehender Verträge:
Wir analysieren Ihre aktuellen Verträge und AVVs und identifizieren mögliche Schwachstellen oder Lücken im Hinblick auf die DSGVO-Konformität.

Überprüfung und Bewertung der implementierten technischen und organisatorischen Maßnahmen:
Unsere Experten analysieren und dokumentieren Ihre bestehenden Sicherheitsmaßnahmen, erstellen für Sie Ihre TOM-Dokumentationen und geben praxisnahe Empfehlungen zur Optimierung.

Schulung und Sensibilisierung Ihrer Mitarbeiter:
Durch gezielte Schulungen und Sensibilisierungsmaßnahmen erhöhen wir das Bewusstsein für Datenschutzthemen und minimieren so das Risiko von Verstößen.

Übernahme des gesamten Dienstleisterprozesses:
Wir kontaktieren für Sie alle Ihre Dienstleister, Auftragnehmer und deren Unterauftragnehmer. Wir erstellen, prüfen und verhandeln für Sie alle notwendigen Dokumentationen und Verträge und legen Ihnen diese am Ende des Prozesses, inklusive juristischer Prüfnachweise- und Protokolle, unterschriftenfertig vor. Eine vollständige Haftungsübernahme ist hierbei für uns als Anwälte selbstverständlich.

Auditierung und Prüfung Ihrer Auftragnehmer:
Der Gesetzgeber verpflichtet Sie zur eingehenden Prüfung Ihrer externen Dienstleister bereits vor Vertragsabschluss und bei Kernprozessen, sowie Prozessen, bei welchen ein erhöhtes Risiko besteht, ist eine regelmäßige Prüfung / Auditierung der Dokumentierten TOM-Maßnahmen vorgeschrieben. Wir behalten für Sie die Fristen im Auge und führen für Sie die Audits und Überprüfungen durch.

Begleitung bei Audits und Prüfungen:
Wir unterstützen Sie bei behördlichen Prüfungen und internen Audits, um Risiken zu minimieren.

Der Abschluss einer AVV ist somit nicht nur eine gesetzliche Verpflichtung, sondern auch ein wichtiger Bestandteil eines sicheren Datenschutzmanagements. Unternehmen, die Auftragsverarbeitungsverträge abschließen müssen, sollten sich bewusst sein, dass fehlerhafte oder fehlende AVVs erhebliche Risiken für den Geschäftsbetrieb und für die Geschäftsführungsebene mit sich bringen. Eine sorgfältige Prüfung und individuelle Vertragsgestaltung sind unerlässlich, um rechtliche Sicherheit zu gewährleisten.

Wir als erfahrene Anwaltskanzlei unterstützen Unternehmen umfassend bei der Umsetzung der DSGVO-Anforderungen und sorgen für rechtssichere TOMs und AVVs.

Kontaktieren Sie uns für eine unverbindliche Erstberatung und stellen Sie sicher, dass Ihre Datenschutzmaßnahmen den gesetzlichen Vorgaben entsprechen.

Datenschutz ist nicht nur eine gesetzliche Verpflichtung, sondern auch ein entscheidender Wettbewerbsvorteil.

„Konzentrieren Sie sich auf Ihr Geschäft, wir halten Ihnen den Rücken frei!“

FAQs

Was sind technisch-organisatorische Maßnahmen (TOM)?

TOM sind Sicherheitsstrategien, die sowohl technische als auch organisatorische Aspekte umfassen, um den Schutz personenbezogener Daten sicherzustellen. Dazu gehören beispielsweise Datenverschlüsselung, Zugriffskontrollen und regelmäßige Sicherheitsüberprüfungen.

Warum sind TOM in einer Auftragsverarbeitungsvereinbarung wichtig?

Sie gewährleisten, dass der Auftragsverarbeiter die gesetzlichen Anforderungen der DSGVO erfüllt und die Rechte der betroffenen Personen schützt. Ohne angemessene TOM steigt das Risiko von Datenschutzverletzungen und damit verbundenen Sanktionen.

Welche Konsequenzen drohen bei unzureichenden TOM?

Neben hohen Bußgeldern können auch Schadensersatzansprüche von betroffenen Personen geltend gemacht werden. Zudem leidet das Vertrauen in das Unternehmen, was langfristig zu wirtschaftlichen Einbußen führen kann.

Müssen TOMs auch für Cloud-Dienste gelten?

Ja. Cloud-Anbieter gelten als Auftragsverarbeiter und benötigen eine AVV mit TOM-Nachweis – unabhängig von ihrer geografischen Lage.

Wie oft müssen TOMs überprüft werden?

Mindestens jährlich oder bei wesentlichen Änderungen der Verarbeitungstätigkeiten.

Kann eine unzureichende TOM-Dokumentation zur einseitigen Kündigung der AVV führen?

Ja. Art. 28 Abs. 3 DSGVO erlaubt die Kündigung, wenn der Auftragnehmer seine Pflichten nachweislich verletzt.

Wie können wir Sie als Anwaltskanzlei unterstützen?

Wir bieten umfassende Beratung zur Erstellung und Implementierung von AVV und TOM, prüfen bestehende Vereinbarungen und Maßnahmen auf ihre Wirksamkeit und schulen Ihre Mitarbeiter im Umgang mit Datenschutzthemen.

Praxis-Checkliste: Ist eine AVV erforderlich?

Werden personenbezogene Daten an einen externen Dienstleister übermittelt?
Hat der Dienstleister Zugriff auf personenbezogene Daten, auch wenn er diese nicht aktiv verarbeitet?
Erfolgt die Verarbeitung der Daten weisungsgebunden?
Sind sensible Daten wie Gesundheits- oder Finanzinformationen betroffen?

Wenn eine oder mehrere dieser Fragen mit „Ja“ beantwortet werden, ist der Abschluss einer AVV zwingend erforderlich. Besonders kritisch ist der Abschluss einer AVV, wenn sensible personenbezogene Daten, wie Gesundheitsdaten oder Finanzinformationen, verarbeitet werden.

Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO: Warum sie unverzichtbar ist

Unabhängig und zusätzlich zum AVV-Abschluss ist die Verpflichtung Ihrer Mitarbeiter „zur Einhaltung datenschutzrechtlicher Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)“ (sog. Verpflichtung auf das Datengeheimnis) notwendig.

Eine aktuelle, kostenlose Vorlage hierzu finden Sie in unserem Downloadbereich unter https://wetzel.berlin/downloads/.

Auch interessant zum Thema:

Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO (AVV): So reagieren Sie richtig auf eine Anfrage

Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers

Die Bedeutung von Unterauftragnehmern in der Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO (AVV)

Rechtssichere Nutzungsbedingungen, Datenschutzrichtlinien und IT-Verträge: So sichern Sie Ihr Unternehmen ab

Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen

Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte

Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können

Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse

Bürokratische Vorgaben, Datenschutz und Compliance als lästige Herausforderung – Wie Unternehmen durch praxisnahe Lösungen direkt entlastet werden können

Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen

Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten

Aktuelle Beiträge

Der neue TikTok Shop startet: Was du als Influencer:in rechtlich beachten musst

Der TikTok Shop hat seine digitalen Pforten in Deutschland geöffnet und eröffnet auch dir als Content Creator:in völlig neue Möglichkeiten zur Monetarisierung deiner Reichweite. Diese E-Commerce-Erweiterung der beliebten Social-Media-Plattform bringt jedoch nicht nur...

Marketing und Mitgliedergewinnung in CSC-Anbauvereinigungen: Wie umgehen mit dem Werbeverbot?

Die Cannabis-Legalisierung in Deutschland bringt für Cannabis Social Clubs (CSCs) erhebliche rechtliche Herausforderungen mit sich, insbesondere im Bereich der Mitgliedergewinnung und des Marketings. Das in § 6 Konsumcannabisgesetz (KCanG) verankerte Werbeverbot...

Der TikTok Shop startet: Was musst du rechtlich beachten?

Der TikTok Shop ist da – und mit ihm eine spannende neue Möglichkeit für Influencer:innen und Content-Creator, ihre Reichweite direkt in Umsatz zu verwandeln. Über TikTok können Nutzer:innen in Deutschland jetzt unmittelbar in Videos und Livestreams Produkte kaufen,...

Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern

Als Geschäftsführer einer GmbH tragen Sie eine besondere Verantwortung – nicht nur für den wirtschaftlichen Erfolg Ihres Unternehmens, sondern auch für die rechtskonforme Führung aller Geschäfte. Was viele Geschäftsführer von GmbHs unterschätzen: „Im Falle von...

Influencer Marketing: Werbekennzeichnung und Schleichwerbung vermeiden

Als Influencer:in erreichst du täglich Hunderte oder sogar Millionen Menschen. Unternehmen arbeiten gern mit dir zusammen, um ihre Produkte authentisch zu präsentieren. Doch aufgepasst: Das Internet ist kein rechtsfreier Raum – gerade beim Influencer Marketing gibt es...

IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt

Als Entscheider in einem Unternehmen stehen Sie täglich vor der Herausforderung, technologische Innovationen mit rechtlichen Rahmenbedingungen in Einklang zu bringen. Ob Softwarelizenzen, Cloud-Dienste oder der Betrieb eines Online-Shops – die digitale Transformation...

CSC-Anbauvereinigung – Warum es sinnvoll für jeden Verein ist, einen eigenen Anwalt zu haben

Der Weg vom Konzept eines Cannabis Social Clubs (CSC) bis zur erfolgreichen Erlangung einer Anbaugenehmigung ist mit zahlreichen rechtlichen Hürden gepflastert. Als eine der führenden Kanzleien in diesem speziellen Rechtsgebiet haben wir bereits viele...

Meldestelle gemäß Hinweisgeberschutzgesetz (HinSchG) in Vereinen: Vertrauen schaffen, Risiken vermeiden

Das Hinweisgeberschutzgesetz (HinSchG) ist seit dem 2. Juli 2023 in Kraft und betrifft nicht nur Unternehmen, sondern auch Vereine, insbesondere dann, wenn sie eine gewisse Anzahl an Mitarbeitenden beschäftigen oder in sensiblen Bereichen tätig sind. Die Einführung...

Datenschutz: Warum er auch in Gemeinden, Behörden und öffentlichen Einrichtungen unverzichtbar ist

Datenschutz ist in der heutigen digitalen Welt von entscheidender Bedeutung, insbesondere in Gemeinden, Behörden und öffentlichen Einrichtungen wie z.B. Schulen. Hier werden täglich sensible personenbezogene Daten verarbeitet, die einem besonderen Schutz unterliegen....

Sicherheit für Influencer:innen: Künstlername eintragen lassen und als Marke schützen

Als Influencer:in ist dein Name dein Markenzeichen und dein Business! Doch was passiert, wenn jemand anderes ihn verwendet? Ohne rechtlichen Schutz könnte dein Name von Dritten genutzt oder sogar als Marke eingetragen werden – was bedeutet, dass du möglicherweise...