Unternehmen, Behörden und Dienstleister verarbeiten täglich personenbezogene Daten. Dabei verlangt die Datenschutz-Grundverordnung (DSGVO), dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff oder Manipulation zu schützen. Insbesondere Art. 32 DSGVO verpflichtet Organisationen dazu, ein angemessenes Sicherheitsniveau nach dem Stand der Technik nachweisen zu können.
In der Praxis stellt sich häufig die Frage, wie die vorhandenen Sicherheitsmaßnahmen dokumentiert und gegenüber Geschäftspartnern, Kunden oder Aufsichtsbehörden nachvollziehbar dargestellt werden können. Besonders im Zusammenhang mit einer Auftragsverarbeitung verlangen Auftraggeber regelmäßig eine Übersicht über die eingesetzten Schutzmaßnahmen. Gleichzeitig wird im Rahmen einer Datenschutzprüfung häufig überprüft, ob die vorhandenen Sicherheitsvorkehrungen den gesetzlichen Anforderungen entsprechen.
Die Vorlage „Technische und organisatorische Maßnahmen nach Art. 32 DSGVO“ unterstützt Unternehmen dabei, ihre Datenschutz- und Sicherheitsmaßnahmen strukturiert zu dokumentieren und transparent darzustellen. Sie schafft eine nachvollziehbare Grundlage für Vertragsverhältnisse, Audits, Datenschutzprüfungen und die Zusammenarbeit mit Auftraggebern.
Wofür das Dokument gedacht ist
Die Vorlage dient der Dokumentation und Beschreibung der technischen und organisatorischen Maßnahmen (TOM), die zum Schutz personenbezogener Daten eingesetzt werden.
Ziel des Dokuments ist es, die Anforderungen aus Art. 32 DSGVO nachvollziehbar umzusetzen und nach außen darzustellen. Es dokumentiert, welche organisatorischen Prozesse, technischen Sicherheitsvorkehrungen und Kontrollmechanismen innerhalb einer Organisation eingerichtet wurden, um die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen.
Darüber hinaus dient die Dokumentation als wichtiger Bestandteil von Verträgen zur Auftragsverarbeitung. Auftraggeber sind verpflichtet zu prüfen, ob ein Dienstleister ausreichende Schutzmaßnahmen implementiert hat. Die Vorlage unterstützt dabei, diese Anforderungen transparent und strukturiert nachzuweisen.
Auch im Rahmen eines Informationssicherheitsmanagement (ISMS) stellt die Dokumentation der technischen und organisatorischen Maßnahmen einen wichtigen Bestandteil dar. Sie verbindet Datenschutzanforderungen mit den allgemeinen Anforderungen an die Informationssicherheit und unterstützt Unternehmen bei der Etablierung eines ganzheitlichen Sicherheitskonzepts.
Wann wird dieses Dokument benötigt?
Die Dokumentation technischer und organisatorischer Maßnahmen wird in zahlreichen Situationen benötigt.
Ein häufiger Anwendungsfall ist die Begründung einer Auftragsverarbeitung nach Art. 28 DSGVO. Bevor personenbezogene Daten an einen Dienstleister übermittelt werden dürfen, muss der Auftraggeber prüfen, ob dieser geeignete Sicherheitsmaßnahmen getroffen hat. Die TOM-Dokumentation dient hierbei als Nachweis gegenüber dem Auftraggeber.
Ebenso wird das Dokument häufig im Rahmen einer Datenschutzprüfung eingesetzt. Datenschutzbeauftragte, Auditoren oder externe Berater analysieren anhand der dokumentierten Maßnahmen, ob die gesetzlichen Anforderungen erfüllt werden und ob bestehende Risiken angemessen berücksichtigt wurden.
Weitere typische Einsatzbereiche sind:
- Abschluss eines Auftragsverarbeitungsvertrags
- Auswahl neuer Dienstleister
- Lieferanten- und Partneraudits
- Interne Datenschutzkontrollen
- Vorbereitung auf Behördenanfragen
- Nachweis gegenüber Kunden und Geschäftspartnern
- Einführung oder Erweiterung eines Informationssicherheitsmanagement (ISMS)
- Durchführung von Risikoanalysen im Datenschutz
- Zertifizierungs- und Compliance-Projekte
Besonders Unternehmen, die sensible Daten verarbeiten, stehen regelmäßig vor der Herausforderung, ihre Sicherheitsmaßnahmen nachvollziehbar zu dokumentieren. Dazu gehören beispielsweise IT-Dienstleister, Softwareanbieter, Cloud-Anbieter, Inkassounternehmen, Personaldienstleister, Marketingagenturen oder Unternehmen aus dem Gesundheitswesen.
Auch bei Veränderungen der IT-Infrastruktur, der Einführung neuer Systeme oder der Nutzung externer Dienstleister sollte die Dokumentation überprüft und aktualisiert werden.
Was ist im Dokument enthalten?
Die Vorlage enthält eine umfassende Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO und orientiert sich an den anerkannten Schutzzielen der Informationssicherheit.
Zu den wesentlichen Bestandteilen gehören insbesondere:
Vertraulichkeit
Der Bereich Vertraulichkeit beschreibt Maßnahmen zum Schutz vor unbefugtem Zugriff auf personenbezogene Daten.
Hierzu zählen unter anderem:
- Zutrittskontrollen für Gebäude und Serverräume
- Zugangskontrollen für IT-Systeme
- Benutzer- und Rollenmanagement
- Berechtigungskonzepte
- Passwortregelungen
- VPN-Nutzung
- Verschlüsselungsmaßnahmen
- Pseudonymisierung von Daten
- Trennung von Produktiv- und Testsystemen
Integrität
Die Integrität stellt sicher, dass Daten nicht unbemerkt verändert oder manipuliert werden können.
Dokumentiert werden beispielsweise:
- Protokollierung von Änderungen
- Eingabekontrollen
- Nachvollziehbarkeit von Datenverarbeitungen
- Sichere Datenübertragungen
- Weitergabekontrollen
- Dokumentations- und Freigabeprozesse
Verfügbarkeit
Dieser Abschnitt behandelt Maßnahmen zur Sicherstellung der Betriebsfähigkeit und Datenverfügbarkeit.
Dazu gehören insbesondere:
- Backup- und Wiederherstellungsverfahren
- Notfallmanagement
- Desaster-Recovery-Konzepte
- RAID-Systeme
- Unterbrechungsfreie Stromversorgung (USV)
- Incident-Response-Management
- Schutz vor Systemausfällen
Organisationskontrolle
Zusätzlich werden organisatorische Maßnahmen beschrieben, die eine datenschutzkonforme Verarbeitung sicherstellen.
Hierunter fallen beispielsweise:
- Mitarbeiterschulungen
- Datenschutzrichtlinien
- Weisungsmanagement
- Auswahl und Kontrolle von Dienstleistern
- Risikomanagement
- Dokumentationspflichten
- Prozesse zur Auftragsverarbeitung
Ein weiterer Bestandteil kann die Dokumentation eines Informationssicherheitsmanagement (ISMS) sein, um die Verbindung zwischen Datenschutz und Informationssicherheit transparent darzustellen.
Die Vorlage eignet sich zudem als Grundlage für regelmäßige Datenschutzprüfungen und interne Audits.
Für wen ist das Dokument geeignet?
Das Dokument richtet sich an Unternehmen und Organisationen jeder Größe, die personenbezogene Daten verarbeiten oder im Auftrag anderer Unternehmen tätig werden.
Besonders geeignet ist die Vorlage für:
- Auftragsverarbeiter gemäß DSGVO
- IT-Dienstleister
- Softwareunternehmen
- SaaS-Anbieter
- Cloud-Service-Provider
- Inkassounternehmen
- Steuerberater
- Vereine und Verbände
Für Auftraggeber bietet die Dokumentation die Möglichkeit, die Eignung eines Dienstleisters im Rahmen einer Auftragsverarbeitung zu bewerten und die gesetzlichen Prüfpflichten zu erfüllen.
Für Auftragnehmer schafft die Vorlage eine strukturierte Möglichkeit, bestehende Sicherheitsmaßnahmen transparent darzustellen und gegenüber Kunden nachzuweisen.
Abgrenzung zu ähnlichen Dokumenten
Die TOM-Dokumentation sollte nicht mit einem Auftragsverarbeitungsvertrag verwechselt werden.
Während der Vertrag zur Auftragsverarbeitung die rechtlichen Rahmenbedingungen der Zusammenarbeit regelt, beschreibt die TOM-Dokumentation die konkret eingesetzten Sicherheitsmaßnahmen.
Ebenso ersetzt das Dokument keine Datenschutz-Folgenabschätzung. Eine Datenschutz-Folgenabschätzung bewertet Risiken für Betroffene, während technische und organisatorische Maßnahmen die konkreten Schutzmaßnahmen dokumentieren.
Auch ein vollständiges Informationssicherheitsmanagement (ISMS) geht deutlich über die TOM-Dokumentation hinaus. Die vorliegende Vorlage kann jedoch ein wichtiger Bestandteil eines ISMS sein und dessen Anforderungen sinnvoll ergänzen.
Häufig gestellte Fragen (FAQ) zu den Technischen und Organisatorischen Maßnahmen (TOM) nach DSGVO
Was sind technische und organisatorische Maßnahmen?
Technische und organisatorische Maßnahmen sind Sicherheitsvorkehrungen, die Unternehmen zum Schutz personenbezogener Daten einsetzen. Sie dienen der Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit.
Warum sind technische und organisatorische Maßnahmen nach Art. 32 DSGVO erforderlich?
Art. 32 DSGVO verpflichtet Unternehmen dazu, ein angemessenes Sicherheitsniveau für personenbezogene Daten sicherzustellen und die getroffenen Maßnahmen nachweisen zu können.
Wann wird eine TOM-Dokumentation benötigt?
Sie wird insbesondere bei einer Auftragsverarbeitung, einer Datenschutzprüfung, Audits oder bei der Auswahl von Dienstleistern benötigt.
Was bedeutet Auftragsverarbeitung in diesem Zusammenhang?
Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister personenbezogene Daten im Auftrag eines anderen Unternehmens. Der Auftraggeber muss prüfen, ob der Dienstleister geeignete technische und organisatorische Maßnahmen umgesetzt hat.
Ist eine TOM-Dokumentation für kleine Unternehmen erforderlich?
Ja. Die DSGVO gilt grundsätzlich unabhängig von der Unternehmensgröße. Umfang und Komplexität der Maßnahmen richten sich jedoch nach den jeweiligen Risiken.
Welche Rolle spielt ein Informationssicherheitsmanagement (ISMS)?
Ein Informationssicherheitsmanagement (ISMS) hilft Unternehmen dabei, Sicherheitsrisiken systematisch zu steuern. Die Dokumentation der technischen und organisatorischen Maßnahmen ist häufig ein zentraler Bestandteil eines solchen Systems.
Kann die Vorlage für Datenschutzprüfungen verwendet werden?
Ja. Die Vorlage eignet sich hervorragend zur Vorbereitung und Durchführung einer Datenschutzprüfung sowie als Nachweis gegenüber Auftraggebern, Datenschutzbeauftragten und Aufsichtsbehörden.




Rezensionen
Es gibt noch keine Rezensionen.