Viele Unternehmen wissen, dass sie nach der DSGVO geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umsetzen müssen. Spätestens wenn ein Kunde, Geschäftspartner, Auditor oder eine Aufsichtsbehörde konkrete Nachweise verlangt, zeigt sich jedoch ein häufiges Problem: Die vorhandenen Sicherheitsmaßnahmen sind zwar umgesetzt, aber nicht strukturiert dokumentiert.
Insbesondere bei einer Auftragsverarbeitung, im Rahmen von Ausschreibungen oder während einer Datenschutzprüfung werden Unternehmen regelmäßig aufgefordert, ihre technischen und organisatorischen Maßnahmen nachvollziehbar darzustellen. Ohne eine professionelle Dokumentation entsteht schnell erheblicher Aufwand, da Informationen aus unterschiedlichen Bereichen der IT, des Datenschutzes und der Organisation zusammengetragen werden müssen.
Mit dieser Vorlage für Technische und organisatorische Maßnahmen (TOM) erhalten Unternehmen ein umfassendes Datenschutzkonzept, das die Anforderungen der DSGVO und insbesondere des Art. 32 DSGVO systematisch dokumentiert. Die Vorlage unterstützt dabei, bestehende Sicherheitsmaßnahmen transparent darzustellen, Verantwortlichkeiten festzuhalten und die Einhaltung datenschutzrechtlicher Vorgaben gegenüber Kunden, Geschäftspartnern und Behörden nachzuweisen.
Ob als Anlage zu einem Vertrag zur Auftragsverarbeitung, als Bestandteil eines Informationssicherheitsmanagements (ISMS) oder zur internen Dokumentation von Datenschutzprozessen – die TOM-Dokumentation schafft Klarheit über die vorhandenen Schutzmaßnahmen und erleichtert den Nachweis eines angemessenen Datenschutzniveaus.
Wofür das Dokument gedacht ist
Die Vorlage dient der systematischen Dokumentation aller technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten innerhalb eines Unternehmens eingesetzt werden.
Ziel des Dokuments ist es, die Anforderungen der DSGVO transparent abzubilden und den Nachweis zu erbringen, dass personenbezogene Daten entsprechend den gesetzlichen Vorgaben verarbeitet werden. Die TOM-Dokumentation beschreibt sämtliche Schutzmaßnahmen zur Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der eingesetzten Systeme und Prozesse.
Darüber hinaus fungiert das Dokument als wichtiger Bestandteil eines umfassenden Datenschutzkonzepts. Es schafft Transparenz gegenüber Kunden, Geschäftspartnern, Datenschutzbeauftragten und Aufsichtsbehörden und dient gleichzeitig als interne Grundlage für die kontinuierliche Verbesserung der Datenschutz- und Sicherheitsstandards.
Besonders im Rahmen einer Auftragsverarbeitung ist die Vorlage von großer Bedeutung. Auftraggeber sind verpflichtet zu prüfen, ob ihre Dienstleister angemessene technische und organisatorische Maßnahmen implementiert haben. Die TOM-Dokumentation liefert hierfür die erforderlichen Informationen in strukturierter Form.
Wann wird dieses Dokument benötigt?
Technische und organisatorische Maßnahmen werden in zahlreichen datenschutzrechtlichen und organisatorischen Situationen benötigt.
Ein besonders häufiger Anwendungsfall ist der Abschluss eines Vertrages zur Auftragsverarbeitung. Unternehmen, die personenbezogene Daten durch externe Dienstleister verarbeiten lassen, müssen sicherstellen, dass diese die Anforderungen der DSGVO erfüllen. Die TOM-Dokumentation dient dabei als Nachweis der vorhandenen Sicherheitsmaßnahmen.
Auch im Rahmen einer Datenschutzprüfung wird das Dokument regelmäßig angefordert. Datenschutzbeauftragte, Auditoren oder externe Berater prüfen anhand der beschriebenen Maßnahmen, ob die Anforderungen an den Datenschutz tatsächlich umgesetzt wurden.
Weitere typische Einsatzbereiche sind:
- Vorbereitung auf behördliche Prüfungen
- Einführung neuer IT-Systeme
- Umsetzung eines Datenschutzkonzepts
- Dokumentation von Sicherheitsmaßnahmen für Zertifizierungen
- Risikobewertungen im Datenschutz
- Compliance- und Governance-Projekte
Auch Unternehmen, die ein Informationssicherheitsmanagementsystem etablieren oder weiterentwickeln möchten, nutzen die TOM-Dokumentation als wesentlichen Bestandteil ihrer Sicherheitsorganisation.
Gerade bei der Verarbeitung sensibler Daten, etwa im Gesundheitswesen, bei Finanzdienstleistungen, im Personalwesen oder bei IT-Dienstleistern, gehört die Dokumentation technischer und organisatorischer Maßnahmen mittlerweile zum Standard.
Was ist im Dokument enthalten?
Die Vorlage enthält eine umfassende Darstellung der technischen und organisatorischen Maßnahmen gemäß DSGVO und orientiert sich an den anerkannten Schutzzielen der Informationssicherheit.
Zutrittskontrolle
Die TOM beschreibt Maßnahmen zum Schutz von Gebäuden, Büroräumen und Serverräumen gegen unbefugten Zutritt.
Typische Inhalte sind:
- Schließsysteme
- Schlüsselmanagement
- Besucherregelungen
- Empfangs- und Kontrollprozesse
Zugangskontrolle
Dieser Bereich dokumentiert den Schutz von IT-Systemen vor unbefugter Nutzung.
Enthalten sind beispielsweise:
- Passwortvorgaben
- Authentifizierungsverfahren
- Benutzerverwaltung
- Virenschutzlösungen
- Regelungen für mobiles Arbeiten
Zugriffskontrolle
Die Zugriffskontrolle stellt sicher, dass Mitarbeiter ausschließlich auf die Daten zugreifen können, die sie tatsächlich benötigen.
Beschrieben werden unter anderem:
- Rollen- und Berechtigungskonzepte
- Rechtevergabeverfahren
- Administrationskonzepte
- Protokollierung von Zugriffen
Trennungskontrolle
Die TOM dokumentiert Maßnahmen zur Trennung von Datenbeständen für unterschiedliche Verarbeitungszwecke.
Dazu gehören:
- Zweckgebundene Datenhaltung
- Mandantentrennung
- Rechtekonzepte
- Trennung von Produktiv- und Testsystemen
Verschlüsselung
Ein weiterer zentraler Bestandteil des Datenschutzkonzepts sind Maßnahmen zur Verschlüsselung personenbezogener Daten.
Typische Regelungen betreffen:
- Festplattenverschlüsselung
- VPN-Verbindungen
- Dateiverschlüsselung
- E-Mail-Verschlüsselung
- HTTPS-Kommunikation
Integrität und Weitergabekontrolle
Zur Sicherstellung der Datenintegrität werden Maßnahmen beschrieben, die unbefugte Veränderungen verhindern und Übertragungen absichern.
Dazu zählen:
- Sichere Datenübertragungen
- Authentifizierungsverfahren
- Dokumentierte Datenträgerverwaltung
- Datenschutzgerechte Vernichtung von Datenträgern
Verfügbarkeit und Belastbarkeit
Die Vorlage enthält außerdem umfangreiche Regelungen zur Sicherstellung der Betriebsfähigkeit.
Hierzu gehören:
- Backup-Konzepte
- Notfallplanung
- Desaster-Recovery-Prozesse
- USV-Systeme
- Redundante Datensicherung
- Virenschutz- und Firewall-Konzepte
Organisationskontrolle
Ergänzend werden organisatorische Schutzmaßnahmen dokumentiert.
Dazu zählen insbesondere:
- Datenschutzrichtlinien
- Mitarbeiterschulungen
- Sicherheitsleitlinien
- Prozesse zur Auftragsverarbeitung
Die Vorlage bildet damit ein vollständiges Datenschutzkonzept ab und dokumentiert sämtliche wesentlichen TOMs, die Unternehmen nach Art. 32 DSGVO berücksichtigen sollten.
Für welche Unternehmen ist das Dokument geeignet?
Die Vorlage eignet sich für Unternehmen jeder Größe, die personenbezogene Daten verarbeiten oder als Auftragsverarbeiter tätig sind.
Besonders geeignet ist das Dokument für:
- IT-Dienstleister
- Softwareunternehmen
- Cloud-Anbieter
- Steuerberater
- Inkassounternehmen
Für Verantwortliche bietet die Dokumentation einen strukturierten Nachweis über die Einhaltung der DSGVO. Für Auftragsverarbeiter schafft sie die notwendige Transparenz gegenüber Auftraggebern und Geschäftspartnern.
Abgrenzung zu ähnlichen Dokumenten
Die vorliegende TOM-Vorlage dient ausschließlich der strukturierten Dokumentation bestehender technischer und organisatorischer Schutzmaßnahmen im Unternehmen. Sie richtet sich an Organisationen, die ihre Datenschutz- und Sicherheitsvorkehrungen nachvollziehbar dokumentieren und gegenüber Kunden, Geschäftspartnern, Aufsichtsbehörden oder Auditoren nachweisen möchten.
Nicht Gegenstand dieses Dokuments sind vertragliche Regelungen mit externen Dienstleistern. Werden personenbezogene Daten durch externe Anbieter verarbeitet, ist zusätzlich ein Vertrag zur Auftragsverarbeitung erforderlich. Die TOM-Dokumentation ergänzt solche Verträge, indem sie die konkret umgesetzten Sicherheitsmaßnahmen beschreibt.
Ebenso verfolgt dieses Dokument einen anderen Zweck als ein Datenschutz-Audit oder eine Datenschutzberatung. Während dort bestehende Prozesse analysiert und bewertet werden, stellt die TOM-Dokumentation die tatsächlich eingeführten Schutzmaßnahmen strukturiert dar und schafft Transparenz über das vorhandene Sicherheitsniveau.
Häufig gestellte Fragen (FAQ) zu Technischen und Organisatorischen Maßnahmen (TOM)
Was bedeutet TOM im Datenschutz?
TOM steht für „Technische und organisatorische Maßnahmen“. Darunter versteht man alle Sicherheitsvorkehrungen, die Unternehmen zum Schutz personenbezogener Daten einsetzen.
Sind technische und organisatorische Maßnahmen gesetzlich vorgeschrieben?
Ja. Die DSGVO verpflichtet Unternehmen in Art. 32 DSGVO dazu, angemessene technische und organisatorische Maßnahmen umzusetzen.
Wer benötigt eine TOM-Dokumentation?
Jedes Unternehmen, das personenbezogene Daten verarbeitet oder im Rahmen einer Auftragsverarbeitung tätig wird, sollte seine TOMs dokumentieren.
Was gehört zu einem Datenschutzkonzept?
Ein Datenschutzkonzept umfasst unter anderem Richtlinien, Prozesse, Verantwortlichkeiten sowie technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten.
Wie oft sollten TOMs aktualisiert werden?
Technische und organisatorische Maßnahmen sollten regelmäßig überprüft und bei Änderungen der IT-Infrastruktur, neuer Risiken oder geänderter rechtlicher Anforderungen aktualisiert werden.
Welche Rolle spielen TOMs bei einer Auftragsverarbeitung?
Auftraggeber müssen prüfen, ob ein Dienstleister ausreichende Sicherheitsmaßnahmen umgesetzt hat. Die TOM-Dokumentation dient dabei als zentraler Nachweis.
Können TOMs bei einer Datenschutzprüfung verlangt werden?
Ja. Im Rahmen einer Datenschutzprüfung oder eines Audits werden technische und organisatorische Maßnahmen regelmäßig kontrolliert und bewertet.
Rezensionen
Es gibt noch keine Rezensionen.