Technische und organisatorische Maßnahmen – kurz TOMs – gehören zu den meistzitierten Begriffen im Datenschutz. Gleichzeitig sind sie eines der am häufigsten missverstandenen Elemente regulatorischer Dokumentation. In vielen Unternehmen existiert eine TOM-Datei, die entweder aus juristischen Textbausteinen besteht oder aus technischen Details, die kaum jemand außerhalb der IT wirklich versteht.
Beides führt am Ziel vorbei.
TOMs sollen weder beeindrucken noch abschrecken. Sie sollen nachvollziehbar erklären, wie ein Unternehmen personenbezogene Daten schützt – praktisch, strukturiert und realitätsnah. Gerade im Kontext moderner KI-Systeme, Cloud-Plattformen und automatisierter Prozesse ist Verständlichkeit kein Nebenaspekt, sondern Voraussetzung für wirksame Governance.
Zwischen Copy-Paste und Technikjargon
In der Praxis lassen sich zwei Extreme beobachten. Auf der einen Seite stehen generische Vorlagen mit Formulierungen wie „angemessene Sicherheitsmaßnahmen gemäß Stand der Technik“. Formal korrekt, inhaltlich unkonkret. Auf der anderen Seite finden sich technisch hochkomplexe Beschreibungen von Firewall-Architekturen oder Verschlüsselungsprotokollen, die zwar detailliert, aber kaum einordnungsfähig sind.
Verständlich formulierte TOMs bewegen sich zwischen diesen Polen.
Sie beantworten nicht die Frage, wie ein Algorithmus intern funktioniert, sondern wie Risiken kontrolliert werden. Sie erklären nicht jede Konfigurationsdatei, sondern beschreiben Schutzmechanismen nachvollziehbar.
Was TOMs tatsächlich leisten sollen
Technische und organisatorische Maßnahmen sind kein Selbstzweck. Sie dokumentieren, wie Vertraulichkeit, Integrität und Verfügbarkeit von Daten gewährleistet werden. Gleichzeitig zeigen sie, wie unbefugter Zugriff, Datenverlust oder Manipulation verhindert werden.
Gerade bei KI-Systemen wird deutlich, dass Schutzmaßnahmen nicht nur IT-Fragen sind. Ein KI-Assistent im Kundenservice benötigt Zugriffskontrollen, aber auch klare Rollenverteilungen und Monitoring-Prozesse. Ein Analyse-Tool braucht Verschlüsselung, aber ebenso klare Regelungen zur Datenspeicherung und Löschung.
TOMs verbinden Technik und Organisation.
Technische Maßnahmen verständlich beschreiben
Technische Maßnahmen umfassen typischerweise:
- Zugriffsbeschränkungen und Authentifizierungsverfahren
- Verschlüsselung bei Speicherung und Übertragung
- Protokollierung und Monitoring
- Backup- und Wiederherstellungsstrategien
- Netzwerksicherheit
Verständlich formuliert bedeutet das nicht, kryptographische Standards im Detail zu erläutern, sondern klar darzustellen, welche Schutzmechanismen existieren und welchem Zweck sie dienen.
Ein Beispiel:
Statt „AES-256-Verschlüsselung implementiert“ kann ergänzt werden, dass Daten sowohl im Ruhezustand als auch bei der Übertragung verschlüsselt werden, um unbefugten Zugriff zu verhindern.
Die Maßnahme wird dadurch einordnungsfähig.
Organisatorische Maßnahmen konkretisieren
Organisatorische Maßnahmen werden häufig unterschätzt. Dabei entscheiden sie oft über die tatsächliche Wirksamkeit technischer Lösungen.
Dazu gehören:
- Rollen- und Berechtigungskonzepte
- Schulungen für Mitarbeiter
- Dokumentierte Freigabeprozesse
- Löschkonzepte
- Incident-Response-Pläne
Gerade im Kontext von KI und Multi-Agenten-Systemen ist es entscheidend zu definieren, wer Entscheidungen überwacht, wer Modelle freigibt und wer bei Fehlfunktionen eingreift.
Verständliche TOMs beschreiben diese Abläufe klar und ohne juristische Überformulierung.
KI-spezifische Ergänzungen
Mit dem zunehmenden Einsatz von KI-Systemen entstehen zusätzliche Anforderungen. Dazu zählen etwa:
- Dokumentation von Trainings- und Testdatenquellen
- Überwachung von Modellverhalten
- Protokollierung automatisierter Entscheidungen
- Mechanismen zur menschlichen Überprüfung
Diese Aspekte sollten nicht isoliert, sondern als Teil der bestehenden TOM-Struktur beschrieben werden. KI-Compliance bedeutet nicht, ein neues Kapitel zu erfinden, sondern bestehende Sicherheitsmechanismen um KI-spezifische Perspektiven zu erweitern.
Vom Dokument zur Realität
Ein häufiger Fehler besteht darin, TOMs einmalig zu erstellen und anschließend unverändert zu lassen. Doch IT-Landschaften verändern sich. Neue Tools kommen hinzu, alte werden ersetzt, Integrationen werden erweitert.
Technische und organisatorische Maßnahmen müssen daher regelmäßig überprüft und bei Bedarf angepasst werden. Versionierung und Änderungsprotokolle helfen, diese Dynamik nachvollziehbar zu machen.
Gerade hier wird deutlich, dass TOMs kein statisches Dokument sind, sondern Teil eines kontinuierlichen Compliance-Prozesses.
Verständlichkeit schafft Vertrauen
TOMs richten sich nicht ausschließlich an Aufsichtsbehörden. Sie sind auch ein internes Steuerungsinstrument und ein Signal an Geschäftspartner und Kunden.
Ein klar formuliertes Maßnahmenkonzept zeigt, dass Datenschutz und KI-Governance nicht nur formale Pflicht, sondern gelebte Praxis sind.
Unverständliche oder generische Beschreibungen hingegen wirken wie Formalismus.
Strukturierte Unterstützung statt Textbausteine
Viele Unternehmen greifen auf Vorlagen zurück, die jedoch selten exakt zur eigenen IT-Architektur passen. Ein strukturierter Ansatz beginnt daher mit einer Analyse des realen Software-Stacks.
Ein KI-gestützter Compliance-Generator wie Fendriova kann aus den eingesetzten Systemen typische Schutzmaßnahmen ableiten und verständlich formulierte Entwürfe bereitstellen. Dadurch entsteht kein abstrakter Standardtext, sondern eine kontextbezogene Beschreibung der tatsächlichen Sicherheitsarchitektur.
So werden TOMs nicht nur formal korrekt, sondern funktional nachvollziehbar.
Fazit
Technische und organisatorische Maßnahmen sind das Rückgrat jeder Datenschutz- und KI-Compliance-Struktur. Ihre Wirkung hängt jedoch nicht von juristischer Komplexität ab, sondern von Klarheit.
Verständlich formulierte TOMs:
- beschreiben reale Schutzmechanismen
- verbinden Technik und Organisation
- berücksichtigen KI-spezifische Aspekte
- werden regelmäßig aktualisiert
Wer diesen Ansatz verfolgt, schafft Transparenz, reduziert Missverständnisse und etabliert eine belastbare Grundlage für nachhaltige digitale Prozesse.
