Technisch-organisatorische Maßnahmen (TOMs)

Annex-Theorie: Rechtsgrundlage für TOM-bedingte Verarbeitungen

TOM-bedingte Verarbeitungen wie etwa die Speicherung von Log-Dateien zur Sicherstellung der Revisibilität benötigen ihrerseits eine Rechtsgrundlage – Art. 32 DSGVO genügt dafür nicht. Nach der Aufsichtspraxis des Landesbeauftragten für den Datenschutz Sachsen-Anhalt (Stellungnahme gegenüber den Datenschutzbeauftragten der Hochschulen, Erfahrungsaustausch 2024) trägt die Rechtsgrundlage der Hauptverarbeitung im Regelfall auch die zu deren Sicherung erforderlichen Annex-Verarbeitungen.

Wörtlich: „Wenn die Hochschule im Rahmen der Aufgabenerfüllung nach dieser Vorschrift personenbezogene Daten verarbeitet, dürfte dies m. E. auch für die Daten gelten, die notwendig aufgrund der Vorgaben von Art. 32 DS-GVO zu Sicherungsmaßnahmen für die Verarbeitungen anfallen, wie z. B. Log-Dateien für das Sicherheitsziel der Revisibilität."

Praxiskonsequenz: Verarbeitet eine Hochschule personenbezogene Daten auf Grundlage von § 119 Abs. 1 HSG LSA – etwa für Zulassung, Immatrikulation, Rückmeldung oder Teilnahme an Lehrveranstaltungen und Prüfungen – deckt diese Norm im Regelfall auch die Log-Dateien ab, die zur Wahrung der Sicherheitsziele aus Art. 32 DSGVO erforderlich sind. Bestehen im Einzelfall Zweifel an der Tragfähigkeit, ist auf § 4 DSAG LSA als landesrechtliche Generalklausel zurückzugreifen.

DSB-Schnellcheck beim System-Onboarding (10 Fragen)

Datenschutzbeauftragte müssen IT-Systeme nicht administrieren, aber datenschutzrechtlich einordnen. Die folgenden zehn Leitfragen strukturieren den Erstkontakt mit einer neuen Verarbeitung oder einem neuen System und decken die häufigsten Risikofelder ab. Sie sind komplementär zur Anbieter-Prüfung (siehe Sektion 7) und zum Schutzbedarfs-Wizard:

1. Wo entstehen die Daten? Erhebungsweg (Webformular, Schnittstelle, Massenimport, Sensorik), Erhebungskontext (freiwillig, Beschäftigungsverhältnis, Antragsverfahren).
2. Wo werden sie gespeichert? Physischer Speicherort, Cloud-Region, Backup- und Archivsysteme, Spiegelungen.
3. Wer hat Zugriff – fachlich und administrativ? Anzahl der Administratoren, gemeinsame Accounts, Rollen- und Berechtigungskonzept, Rezertifizierung.
4. Gibt es externe Dienstleister? Auftragsverarbeitungsvertrag, Unterauftragnehmer, Drittlandtransfer, Fernzugriff für Support.
5. Wie sind Berechtigungen geregelt? Least Privilege, Need-to-know, Funktionstrennung (Separation of Duties), Offboarding bei Stellenwechsel.
6. Gibt es Protokollierung? Umfang (Logins, Admin-Aktionen, Datenexporte, Zugriffe auf besondere Datenkategorien), Aufbewahrung, Manipulationsschutz, Zweckbindung der Logs.
7. Gibt es ein Löschkonzept? Aufbewahrungsfristen je Datenart, Startzeitpunkte, technische Umsetzung, Behandlung von Backups und Archivkopien (vgl. Themenseite Datenvernichtung).
8. Gibt es Backups? 3-2-1-Regel, Wiederherstellungstests, Ransomware-resistente Sicherungen, Verschlüsselung der Backup-Medien.
9. Wie erfolgt die Datenübertragung? Schnittstellen, automatische Weiterleitungen, Verschlüsselung in Transit, Empfängerverzeichnis, Drittlandtransfer.
10. Wer trägt technisch Verantwortung? Systemverantwortlicher, Fachverantwortlicher, IT-Sicherheitsbeauftragter, Auftragsverarbeiter; klare RACI-Zuordnung im Verfahrensverzeichnis.

Die zehn Fragen sind keine erschöpfende Prüfung, sondern ein Anker für das Erstgespräch zwischen Datenschutzbeauftragten, IT-Administration und Fachverantwortlichen. Sie sind so gewählt, dass auch Personen ohne tiefes IT-Wissen die richtigen Anschlussfragen stellen können – „Verständnis schlägt Detailwissen" (B. Fuhlert, privacyXperts, 16. April 2026). Art. 5 Abs. 2, Art. 25, Art. 32 DSGVO; methodisch angelehnt an: B. Fuhlert (privacyXperts), Webinar „Technik verstehen, Datenschutz bewerten", 16.04.2026

1 · Datenminimierung

• Nur die für den Verarbeitungszweck erforderlichen Daten werden erhoben und verarbeitet (Art. 5 Abs. 1 lit. c DSGVO).
• Pseudonymisierung wird eingesetzt, wo der Zweck es erlaubt (Art. 32 Abs. 1 lit. a DSGVO).
• Anonymisierung erfolgt, sobald der Personenbezug nicht mehr erforderlich ist.
• Löschfristen sind definiert, dokumentiert und technisch umgesetzt (Art. 17 DSGVO).
• Zugriffsrechte sind nach dem Prinzip der minimalen Rechte (least privilege) zugewiesen.
• Datenerhebung erfolgt grundsätzlich bei der betroffenen Person (Art. 13, 14 DSGVO).

2 · Verfügbarkeit

• Dokumentiertes Backup-Konzept nach der 3-2-1-Regel: drei Datenspeicherungen, zwei verschiedene Backup-Medien, davon eines an einem externen Standort.
• Wiederherstellungsverfahren werden regelmäßig getestet; RTO und RPO sind dokumentiert.
• Mindestens ein Backup-System ist durch Schadcode nicht verschlüsselbar (Pull-Verfahren, Air-Gap-Trennung oder Immutable Backup) – Schutz vor Ransomware.
• Redundante Hardware- und Netzinfrastruktur (Strom, Klima, Netz); USV gegen kurzfristige Stromausfälle.
• Notfall- und Wiederanlaufplan (BCM nach BSI-Standard 200-4) etabliert und bekannt; Notfallplan inklusive Umgang mit Verschlüsselungstrojanern liegt auch in Papierform vor.
• Schutz vor Schadsoftware, DDoS und physischen Risiken wie Feuer, Wasser, Diebstahl.
• Wartungsfenster und Patch-Management definiert und dokumentiert.

3 · Integrität

• Schreib- und Änderungsprozesse sind protokolliert (Audit-Trails).
• Hash- oder Signaturverfahren sichern kritische Datenbestände ab.
• Plausibilitätsprüfungen fangen Tipp- und Manipulationsfehler ab.
• Versionsverwaltung schützt vor unbeabsichtigtem Überschreiben.
• Übertragene Daten werden auf Vollständigkeit und Unversehrtheit geprüft.
• Change-Management ist dokumentiert.

4 · Vertraulichkeit

• Verschlüsselung at-rest (z. B. AES-256 mit GCM oder CBC) auf Speichersystemen.
• Verschlüsselung in-transit (TLS 1.3, aktuelle Cipher-Suites nach BSI TR-02102).
• Verschlüsselung in-use (Data in Use): Schutz personenbezogener Daten während der aktiven Verarbeitung im Arbeitsspeicher durch Confidential-Computing-Technologien (Intel SGX, Intel TDX, AMD SEV-SNP, ARM CCA) bzw. anbieterseitige Trusted Execution Environments (Azure Confidential Computing, AWS Nitro Enclaves, Google Confidential VMs). Praxisrelevant insbesondere bei der Auslagerung sensibler Verarbeitungen in die Cloud (Forschungsdaten nach Art. 9 DSGVO, KI-Inferenz auf Personalakten, Drittlandtransfers mit Anbieter-Zugriff). Confidential Computing kann je nach Architektur als ergänzende technische Schutzmaßnahme zur Risikominderung in Cloud- und Drittlandkonstellationen in Betracht kommen, insbesondere gegen privilegierte Insider-Zugriffe beim Cloud-Anbieter; ob dies im Einzelfall ein hinreichendes zusätzliches Schutzniveau vermittelt, ist gesondert zu prüfen. Die Prüfung der Rechtsgrundlage und der Drittlandsabsicherung wird durch Confidential Computing nicht ersetzt.
• Asymmetrische Verschlüsselung nach Stand der Technik (z. B. RSA-2048 Bit oder höher, EC-256 Bit oder höher).
• Passwortspeicherung niemals im Klartext; Verwendung etablierter, für Passwortspeicherung geeigneter Verfahren mit Salt (z. B. bcrypt, scrypt, PBKDF2 oder Argon2id). Allgemeine kryptographische Primitive (SHA-256, HMAC-SHA-256) sind für die Passwortspeicherung nicht ohne Weiteres geeignet, weil sie nicht auf die hohe Berechnungskosten ausgelegt sind, die ein Brute-Force-Angriff auf gehashte Passwörter erfordert.
• Passwortrichtlinie mit klaren Mindestanforderungen (z. B. mind. 10 Zeichen komplex oder mind. 16 Zeichen einfacher); automatische Sperrung nach mehreren Fehlversuchen; keine Speicherung im Browser ohne Master-Passwort.
• Rollen- und Rechtekonzept (RBAC/ABAC) mit regelmäßiger Rezertifizierung; least privilege auch bei Administrationsrollen.
• Mehr-Faktor-Authentifizierung für privilegierte Zugänge; getrennte Administrations- und Nutzerkennungen für IT-Personal (Details s. Sonderkapitel 4b).
• Verpflichtung auf Vertraulichkeit aller verarbeitenden Personen (Art. 28 Abs. 3 lit. b DSGVO).
• Physische Zutrittskontrolle zu Serverräumen (Protokollierung, Besucherregelung); klare Sicherheitszonen.
• Sichere Löschung von Datenträgern nach BSI-Vorgabe (vgl. Themenseite Datenvernichtung).
• Clean-Desk- und Screen-Lock-Regelungen etabliert.

4b · Authentifizierung und Identitätsmanagement (Sonderkapitel zur Vertraulichkeit)

Die schlichte Aussage „MFA ist aktiv" sagt nichts über das tatsächliche Sicherheitsniveau aus. Zwischen einem SMS-Einmalcode und einem FIDO2-Sicherheitsschlüssel liegen erhebliche Unterschiede in der Robustheit gegen reale Angriffe (Adversary-in-the-Middle, SIM-Swapping, MFA-Fatigue, Session-Token-Diebstahl). Art. 32 Abs. 1 DSGVO fordert den Stand der Technik – dieser ist bei der Authentifizierung dynamisch zu interpretieren.

• Phishing-resistente Verfahren bevorzugen: FIDO2/WebAuthn-Sicherheitsschlüssel und Passkeys binden die kryptografische Signatur an die Domain und schützen damit auch gegen Echtzeit-Phishing über Reverse-Proxys (z. B. Evilginx, Modlishka).
• Schwächere Verfahren risikoadäquat einsetzen: SMS-OTP, E-Mail-OTP und „Passwort + Sicherheitsfrage" sind für privilegierte Zugänge risikobehaftet und bedürfen einer besonders sorgfältigen Begründung, wenn sie weiterhin eingesetzt werden; SMS-OTP ist durch SIM-Swapping kompromittierbar, E-Mail-Codes verlagern die Authentifizierung nur auf das E-Mail-Postfach. „Passwort + Sicherheitsfrage" ist im technischen Sinne keine Zwei-Faktor-Authentifizierung, weil beide Komponenten dem Faktor Wissen zuzuordnen sind.
• Push-Bestätigungen mit Number-Matching oder kontextabhängige Prompts einsetzen, um MFA-Fatigue (Prompt-Bombing) zu verhindern.
• Bedingter / adaptiver Zugriff (Conditional Access): Risikosignale wie unbekanntes Gerät, ungewöhnlicher Standort oder „unmögliche Reise" auslösen zusätzliche Authentifizierung oder Blockade.
• Sitzung und Token absichern: kurze Session-Lifetimes, Re-Authentifizierung bei sensitiven Aktionen, Token-Binding bzw. DPoP (Demonstrating Proof-of-Possession) koppelt Tokens an Gerät und TLS-Schlüssel; Continuous Access Evaluation (CAE) invalidiert Sitzungen bei Risikoänderungen sofort.
• Schutz vor Infostealern auf Endgeräten: Endpoint Detection & Response (EDR), gehärtete Browser, hardware-gebundene Schlüssel; gestohlene Cookies bzw. OAuth-Refresh-Tokens umgehen jede MFA.
• Wiederherstellung absichern: Recovery-Prozesse („Passwort vergessen", Geräteverlust) müssen so stark sein wie der primäre Faktor; mindestens zwei registrierte starke Faktoren je Nutzerkonto (z. B. zwei FIDO2-Keys); Backup-Codes physisch oder im Passwortmanager mit eigenem zweiten Faktor; kein Self-Service-Reset privilegierter Konten allein per SMS oder E-Mail.
• Notfall-Administratorkonten („Break-Glass"): dokumentiert, offline aufbewahrt, mit Vier-Augen-Prinzip versehen und auditiert; nicht in das reguläre SSO eingebunden.
• OAuth-Consent-Management: App-Consent-Policies für Microsoft Entra / Google Workspace, administrative Freigabe für sensible Berechtigungen; regelmäßiges Review erteilter Drittanwendungs-Zugriffe.
• Regulatorische Verankerung: Art. 32 Abs. 1 DSGVO (Stand der Technik), Art. 21 NIS-2-RL (angemessene Risikomanagementmaßnahmen, im Anwendungsbereich regelmäßig einschließlich MFA), BSI IT-Grundschutz-Bausteine ORP.4 (Identitäts- und Berechtigungsmanagement) und APP.1.4 (Mobile Anwendungen); der Stand der Technik und aktuelle Angriffsmuster sprechen für privilegierte Zugänge regelmäßig für phishing-resistente Verfahren wie FIDO2 oder gerätegebundene Passkeys. Eine pauschale Verrechtlichung („einziger zulässiger Mindeststandard") ist damit nicht verbunden; die Auswahl bleibt risikoadäquat zu begründen.

4a · Mobile Datenspeicher (Sonderkapitel zur Vertraulichkeit)

• Starke Verschlüsselung mobiler Endgeräte (Festplattenverschlüsselung, Container-Lösungen).
• Mobile-Device-Management (MDM) zur Verwaltung von Smartphones und Tablets, einschließlich Remote-Wipe.
• USB-Sticks und externe Datenträger nur nach Whitelisting; Auto-Start externer Medien deaktiviert.
• Klare Regelungen zur Privatnutzung dienstlicher Geräte (Empfehlung: keine Privatnutzung).
• Verlustmeldeprozess bei mobilen Endgeräten ist kommuniziert und übungserprobt.
• Keine unverschlüsselte Übertragung personenbezogener Daten per E-Mail oder Cloud-Plattform; bei hohem Risiko zusätzlich Inhaltsverschlüsselung.

5 · Transparenz

• Vollständiges Verarbeitungsverzeichnis (Art. 30 DSGVO) wird geführt.
• Datenschutzhinweise nach Art. 13, 14 DSGVO sind aktuell und verfügbar.
• Protokollierungskonzept (Was, wie lange, durch wen zugänglich?) ist dokumentiert.
• Konfigurationsdokumentation der eingesetzten Systeme ist aktuell.
• Änderungen an Verarbeitungsprozessen werden dokumentiert und kommuniziert.
• Ansprechpartner für Betroffenenrechte sind klar benannt.

6 · Intervenierbarkeit

• Technische Umsetzung des Auskunftsrechts (Art. 15 DSGVO).
• Löschung (Art. 17 DSGVO) kontextabhängig auslösbar.
• Berichtigung (Art. 16 DSGVO) möglich, inklusive historisierter Korrektur.
• Einschränkung der Verarbeitung (Art. 18 DSGVO) technisch umsetzbar.
• Einwilligungen protokollierbar und jederzeit widerrufbar (Art. 7 Abs. 3 DSGVO).
• Eskalationswege und Krisenprozesse bei Datenpannen sind definiert (Art. 33, 34 DSGVO).

7 · Nichtverkettung

• Daten aus unterschiedlichen Verarbeitungszwecken werden technisch getrennt.
• Mandantentrennung in gemeinsam genutzten Systemen ist umgesetzt.
• Keine Zusammenführung mit Daten anderer Verantwortlicher ohne Rechtsgrundlage.
• Verknüpfungs-Identifikatoren sind kontextspezifisch (keine Universal-IDs).
• Forschungsdaten werden strukturell getrennt verarbeitet.
• Verschiedene Identitäten (z. B. beruflich/privat) werden nicht vermischt.

Empfehlung: BayLDA-Checkliste „Good Practice bei TOMs"

Das Bayerische Landesamt für Datenschutzaufsicht hat eine achtseitige Checkliste mit rund 200 Einzelmaßnahmen veröffentlicht, gegliedert in 18 Praxisbereiche (Management und Organisation, physische Sicherheit, Awareness, Authentifizierung, Rollen-/Rechtekonzept, Endgeräte, mobile Datenspeicher, Serversysteme, Webanwendungen, Netzwerk, Archivierung, Wartung durch Dienstleister, Protokollierung, Business Continuity, Kryptografie, Datentransfer, Software-Entwicklung, Auftragsverarbeiter). Die Liste richtet sich primär an KMU, lässt sich aber für öffentliche Hochschulen sehr gut adaptieren – sie ergänzt das SDM um konkrete Detailmaßnahmen mit klaren Algorithmen-Empfehlungen (AES-256-GCM, RSA-2048, bcrypt etc.) und Backup-Verfahren (3-2-1-Regel).

Direktlink: BayLDA – Good Practice bei technischen und organisatorischen Maßnahmen (PDF) · Übersicht aller BayLDA-Checklisten: lda.bayern.de/de/checklisten.html

Hinweis zur Anwendbarkeit: Die Checkliste ist eine Empfehlung gelebter Good Practice, kein abschließender Pflichtenkatalog. Die Auswahl der Maßnahmen ist risikoorientiert und im konkreten Verarbeitungskontext zu treffen (siehe Abschnitt „Maßstab: Was ist ‚angemessen'?"). Stand der Veröffentlichung: 13. Oktober 2020 – die Inhalte sind weitgehend zeitlos, BSI- und ISO-Verweise sollten gegen die jeweils aktuelle Fassung geprüft werden.

Kernfragen an Auftragsverarbeiter

• Welche Datenkategorien werden verarbeitet, in welcher Menge, über welchen Zeitraum?
• Wo (Land, Rechenzentrum, Cloud-Region) werden die Daten gespeichert?
• Welche Unterauftragsverarbeiter sind eingebunden?
• Welche Verschlüsselung kommt at-rest und in-transit zum Einsatz?
• Wie ist die Zugriffskontrolle umgesetzt (RBAC, MFA, Protokollierung)?
• Welche Ereignisse werden wie lange protokolliert?
• Wie sind Backup und Wiederherstellung geregelt (RTO/RPO, Tests)?
• Gibt es ein dokumentiertes Datenpannen-Meldemanagement?
• Welche Zertifizierungen liegen vor (ISO 27001, BSI C5, SOC 2, TISAX)?
• Wie wird der Verantwortliche bei Betroffenenrechten unterstützt?
• Welche Löschroutinen gelten bei Vertragsende?
• Wie ist die Trennung von Eigen- und Kundendaten geregelt?
• Welche Awareness-Maßnahmen und Schulungen existieren?
• Welche faktischen Zugriffsmöglichkeiten ausländischer Behörden bestehen (TIA)?
• Wann und mit welchem Ergebnis wurde die letzte externe Sicherheitsprüfung durchgeführt?