TOMs - Objekte vs. Maßnahmen

Abgrenzung von TOM-Objekten und Maßnahmen

Wie lässt sich in der Praxis klar unterscheiden, was als TOM-Objekt (z. B. Assets, Systeme, Prozesse, Datenbestände), also als schutzbedürftige Einheit im Rahmen der Verarbeitung personenbezogener Daten, zu verstehen ist, und was als technische oder organisatorische Maßnahme einzustufen ist, die wiederum dazu dient, ein solches Objekt abzusichern?

Beispielhaft:

• Ein Drucker ist ein TOM-Objekt, da auf ihm personenbezogene Daten verarbeitet und somit geschützt werden müssen.

• Ein Aktenvernichter ist hingegen keine eigenständige schutzbedürftige Einheit, sondern eine technische Maßnahme, die dem Schutz von Papierdokumenten (Objekt) dient.

Die Kernfrage lautet also:
👉 „Wann handelt es sich bei einem Element um ein zu schützendes Objekt, und wann ist es lediglich eine Maßnahme, die zum Schutz eines Objekts eingesetzt wird?“

Sehr guter Punkt 👍 – das ist tatsächlich die typische Stolperfalle, wenn man TOM strukturiert. Ich brech’s dir mal auf:

1. TOM-Objekt (oder Asset)

Das ist das Ding, das geschützt werden soll oder der Ort/Prozess, auf den sich Schutzmaßnahmen beziehen.
Beispiele:

• Gebäude / Gelände

• IT-Systeme (Server, PC, Datenbank, Cloud-Dienst)

• Peripherie (Drucker, Scanner)

• Prozesse (Bewerbungsprozess, Incident Management)

• Datenbestände (Kundendaten, Personalakten)

👉 Das ist quasi die „Schutzfläche“.

2. Maßnahme

Das ist das, was du einsetzt, um das Objekt zu schützen.
Maßnahmen sind zweigeteilt:

• Technische Maßnahmen → Mittel/Technik, Tools, Geräte, Software

• Organisatorische Maßnahmen → Regeln, Prozesse, Policies, Menschen

Beispiele:

• Für Bürogebäude (Objekt) → Aktenvernichter (technische Maßnahme), Clean-Desk-Policy (organisatorisch).

• Für Server (Objekt) → Festplattenverschlüsselung (technisch), Zugriffsrechte-Review (organisatorisch).

• Für Kundendatenbank (Objekt) → Audit-Logs (technisch), Vier-Augen-Prinzip bei Änderungen (organisatorisch).

👉 Maßnahmen sind also Kontrollinstrumente, Objekte sind Schutzgüter.

3. Warum ein Aktenvernichter Maßnahme, aber ein Drucker Objekt ist

• Drucker = Gerät, auf dem personenbezogene Daten verarbeitet/ausgegeben werden → Schutzobjekt (Risiko: Ausdruck sensibler Daten).

• Aktenvernichter = Gerät, das du bewusst als Kontrollmaßnahme einsetzt (Risiko: Papierdaten könnten sonst ungeschützt weggeworfen werden).

Das ist die feine Logik:

• Objekte = „Träger von Daten / Prozesse“ (brauchen Schutz).

• Maßnahmen = „Mechanismen, um Objekte zu schützen“ (werden eingesetzt).