Technische und organisatorische Maßnahmen (TOMs) dokumentieren

Was TOMs sind und warum sie dokumentiert werden müssen

Technische und organisatorische Maßnahmen, kurz TOMs, sind alle Vorkehrungen, die du triffst, um personenbezogene Daten angemessen zu schützen. Technische Maßnahmen betreffen die IT-Infrastruktur und Software: Firewalls, Verschlüsselung, Zugriffskontrollen, Backups. Organisatorische Maßnahmen betreffen Prozesse, Richtlinien und das Verhalten von Menschen: Schulungen, Berechtigungskonzepte, Vier-Augen-Prinzip, Besucherregelungen.

Art. 32 DSGVO verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter, geeignete TOMs umzusetzen. Die Maßnahmen müssen dabei ein dem Risiko "angemessenes Schutzniveau" gewährleisten. Was angemessen ist, hängt ab vom Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die betroffenen Personen.

Die Dokumentation der TOMs erfüllt mehrere Funktionen gleichzeitig. Du brauchst sie als Nachweis gegenüber der Aufsichtsbehörde (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO), als Anlage zu jedem Auftragsverarbeitungsvertrag (Art. 28 Abs. 3 lit. h DSGVO), als Grundlage für dein Verarbeitungsverzeichnis (Art. 30 Abs. 1 lit. g) und als internen Leitfaden für die Umsetzung der Informationssicherheit.

Ohne eine saubere TOM-Dokumentation hängst du bei jeder Prüfung, jedem Auftragsverarbeitungsvertrag und jedem Sicherheitsvorfall in der Luft.

Die 8 TOM-Kategorien im Detail

Die 8 Kategorien, die sich als Standard für die TOM-Dokumentation etabliert haben, stammen ursprünglich aus der Anlage zu § 9 BDSG in der alten Fassung vor 2018. Obwohl das neue BDSG diese Anlage nicht mehr enthält, hat sich die Systematik in der Praxis durchgesetzt. Auch die Aufsichtsbehörden orientieren sich weiterhin an diesen Kategorien und die meisten AVV-Vorlagen verwenden sie als Gliederung.

Art. 32 DSGVO selbst nennt vier konkrete Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Die 8 klassischen Kategorien lassen sich diesen Schutzzielen zuordnen und bieten eine feinere Granularität für die praktische Dokumentation.

1. Zutrittskontrolle

Schutzziel: Vertraulichkeit

Definition: Maßnahmen, die verhindern, dass Unbefugte physischen Zutritt zu Datenverarbeitungsanlagen erhalten.

Bei der Zutrittskontrolle geht es um den physischen Schutz der Orte, an denen personenbezogene Daten verarbeitet werden. Das sind Serverräume, Büros, Archive und Rechenzentren, aber auch mobile Arbeitsplätze und Homeoffice-Umgebungen.

Konkrete Beispielmaßnahmen:

• Elektronisches Zutrittskontrollsystem mit personenbezogenen Transponder-Karten oder Chips
• Protokollierung aller Zutrittsversuche zum Serverraum (erfolgreiche und gescheiterte)
• Videoüberwachung an Eingängen und in sicherheitsrelevanten Bereichen
• Sicherheitsschlösser und Schließanlage mit dokumentierter Schlüsselvergabe
• Alarmanlage mit Aufschaltung auf eine Leitstelle
• Empfangsbereich mit Besucherregistrierung und Begleitpflicht
• Separate Sicherheitszone für den Serverraum mit eigenem Zutrittssystem
• Fenster- und Türsicherung in Erdgeschossbereichen
• Regelung für Reinigungspersonal und externe Handwerker (Zutritt nur in Begleitung oder nach Freigabe)
• Clean-Desk-Policy für Büros, in denen personenbezogene Daten offen zugänglich wären

2. Zugangskontrolle

Schutzziel: Vertraulichkeit

Definition: Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Zugangskontrolle bezieht sich auf den logischen Zugang zu IT-Systemen. Es geht darum sicherzustellen, dass nur authentifizierte und autorisierte Benutzer sich an Systemen anmelden können.

Konkrete Beispielmaßnahmen:

• Passwort-Richtlinie mit Mindestlänge (12 Zeichen), Komplexitätsanforderungen und regelmäßigem Wechsel bzw. Kompromittierungsprüfung
• Multi-Faktor-Authentifizierung (MFA) für alle externen Zugriffe und privilegierte Konten
• Automatische Bildschirmsperre nach 5 Minuten Inaktivität
• Zentrale Benutzerverwaltung über Active Directory oder vergleichbaren Verzeichnisdienst
• Sofortige Deaktivierung von Benutzerkonten bei Austritt eines Mitarbeiters
• VPN-Pflicht für Remote-Zugriffe auf das Unternehmensnetzwerk
• Festplattenverschlüsselung (BitLocker, FileVault) auf allen Endgeräten
• Mobile Device Management (MDM) für Smartphones und Tablets mit Fernlöschungsmöglichkeit
• Protokollierung fehlgeschlagener Anmeldeversuche und automatische Kontosperrung nach definierten Fehlversuchen
• Separate Admin-Konten für IT-Administratoren (kein Arbeiten mit Adminrechten im Alltag)

3. Zugriffskontrolle

Schutzziel: Vertraulichkeit

Definition: Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können.

Der Unterschied zur Zugangskontrolle: Bei der Zugangskontrolle geht es darum, ob jemand überhaupt ins System kommt. Bei der Zugriffskontrolle geht es darum, was er dort sehen und tun darf. Das Stichwort lautet "Need-to-know-Prinzip": Jeder Mitarbeiter bekommt nur Zugriff auf die Daten, die er für seine Aufgabe tatsächlich benötigt.

Konkrete Beispielmaßnahmen:

• Rollenbasiertes Berechtigungskonzept (RBAC) mit dokumentierten Rollen und zugeordneten Rechten
• Regelmäßige Überprüfung der Berechtigungen (Rezertifizierung, mindestens jährlich)
• Protokollierung von Zugriffen auf sensible Daten (Lohnabrechnung, Personaldaten, Gesundheitsdaten)
• Differenzierte Dateisystem-Berechtigungen auf Netzlaufwerken und SharePoint-Sites
• Einschränkung von Export- und Druckfunktionen für sensible Daten
• USB-Port-Kontrolle oder Deaktivierung an Arbeitsplatzrechnern
• Verschlüsselung besonders sensibler Daten auf Dateiebene
• Physische Vernichtung von Datenträgern nach Dienstende (Aktenvernichter Sicherheitsstufe P-4 oder höher, zertifizierte Datenträgervernichtung)
• Regelung zur Datenentsorgung: Papiercontainer mit Schloss, keine Entsorgung über normalen Papiermüll

4. Weitergabekontrolle

Schutzziel: Vertraulichkeit und Integrität

Definition: Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, beim Transport oder bei der Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Die Weitergabekontrolle schützt Daten auf dem Transportweg. Das betrifft sowohl die elektronische Übertragung (E-Mail, Dateitransfer, API-Aufrufe) als auch den physischen Transport von Datenträgern.

Konkrete Beispielmaßnahmen:

• TLS-Verschlüsselung für alle Webverbindungen (HTTPS) und E-Mail-Transport (STARTTLS)
• Ende-zu-Ende-Verschlüsselung für besonders vertrauliche E-Mails (S/MIME oder PGP)
• SFTP oder SCP statt unverschlüsseltem FTP für Dateiübertragungen
• VPN-Tunnel für Standortvernetzung und Remote-Zugriffe
• Verschlüsselte USB-Sticks für den physischen Datentransport (sofern USB-Nutzung erlaubt ist)
• Dokumentation aller regelmäßigen Datenweitergaben (an wen, welche Daten, auf welchem Weg)
• Sichere Löschung von Datenträgern vor Weitergabe oder Entsorgung (nach DIN 66399)
• API-Absicherung mit Authentifizierung (API-Keys, OAuth) und Transportverschlüsselung
• Verbot der Nutzung privater E-Mail-Accounts oder Cloud-Dienste für geschäftliche Daten

5. Eingabekontrolle

Schutzziel: Integrität

Definition: Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Bei der Eingabekontrolle geht es um Nachvollziehbarkeit. Du musst dokumentieren können, wer wann welche Daten verändert hat. Das ist wichtig für die Aufklärung von Datenpannen, für die Qualitätssicherung und für den Nachweis gegenüber Betroffenen und Aufsichtsbehörden.

Konkrete Beispielmaßnahmen:

• Audit-Logging in allen Anwendungen, die personenbezogene Daten verarbeiten (Wer hat wann was geändert?)
• Individuelle Benutzerkonten (keine Sammelaccounts oder geteilten Passwörter)
• Revisionssichere Protokollierung von Änderungen in der Personalverwaltung, Buchhaltung und im CRM
• Versionierung von Dokumenten mit Änderungshistorie
• Schutz der Protokolldaten gegen nachträgliche Manipulation (Write-Once-Storage oder Integritätsprüfung)
• Regelung der Aufbewahrungsdauer für Protokolldaten
• Regelmäßige Auswertung der Protokolle durch die IT-Sicherheitsverantwortlichen
• Vier-Augen-Prinzip für kritische Datenänderungen (z. B. Stammdatenänderungen in der Buchhaltung, Berechtigungsänderungen)

6. Auftragskontrolle

Schutzziel: Vertraulichkeit und Integrität

Definition: Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Die Auftragskontrolle betrifft die Zusammenarbeit mit externen Dienstleistern, die als Auftragsverarbeiter personenbezogene Daten in deinem Auftrag verarbeiten. Du bist als Verantwortlicher verpflichtet sicherzustellen, dass diese Dienstleister die Daten nur gemäß deinen Weisungen verarbeiten.

Konkrete Beispielmaßnahmen:

• Abschluss von Auftragsverarbeitungsverträgen (AVVs) nach Art. 28 DSGVO mit allen relevanten Dienstleistern
• Sorgfältige Auswahl von Auftragsverarbeitern (Prüfung der technischen und organisatorischen Maßnahmen vor Vertragsschluss)
• Dokumentation und regelmäßige Überprüfung aller Auftragsverarbeiter (Dienstleisterverzeichnis)
• Vereinbarung von Kontrollrechten im AVV (Vor-Ort-Audits, Fragebogen, Zertifikate)
• Weisungsrecht des Verantwortlichen schriftlich dokumentiert und dem Auftragsverarbeiter bekannt
• Regelung zur Einbindung von Sub-Auftragsverarbeitern (Genehmigungsvorbehalt)
• Verpflichtung des Personals beim Auftragsverarbeiter auf Vertraulichkeit
• Prüfung von Zertifizierungen und Nachweisen (ISO 27001, SOC 2, BSI C5)
• Prozess für die Rückgabe oder Löschung von Daten nach Vertragsende

7. Verfügbarkeitskontrolle

Schutzziel: Verfügbarkeit

Definition: Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Verfügbarkeitskontrolle umfasst alles, was dafür sorgt, dass Daten nicht verloren gehen und Systeme im Ernstfall wiederhergestellt werden können. Das reicht von der täglichen Datensicherung bis zum ausgearbeiteten Disaster-Recovery-Plan.

Konkrete Beispielmaßnahmen:

• Tägliche automatisierte Datensicherung (Backup) mit der 3-2-1-Regel (3 Kopien, 2 verschiedene Medien, 1 extern)
• Regelmäßige Tests der Backup-Wiederherstellung (mindestens quartalsweise)
• Unterbrechungsfreie Stromversorgung (USV) für Server und Netzwerkkomponenten
• Redundante Internetanbindung für geschäftskritische Standorte
• RAID-Systeme oder vergleichbare Speicherredundanz auf Servern
• Notfallplan und Disaster-Recovery-Prozedur mit definierten Wiederherstellungszeiten (RTO/RPO)
• Brandschutzmaßnahmen im Serverraum (Brandmeldeanlage, Löschanlage, feuerhemmende Bauweise)
• Klimaanlage und Temperaturüberwachung im Serverraum
• Georedundante Backup-Speicherung (Offsite-Backup an einem anderen Standort oder in einer anderen Verfügbarkeitszone)
• Virenschutz und Ransomware-Schutz mit aktuellen Signaturen und Verhaltensanalyse
• Patch-Management-Prozess für zeitnahe Installation von Sicherheitsupdates

8. Trennungskontrolle

Schutzziel: Integrität (Zweckbindung)

Definition: Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Die Trennungskontrolle stellt sicher, dass Daten, die für verschiedene Zwecke erhoben wurden, nicht vermischt werden. Das ist besonders relevant, wenn du Daten verschiedener Mandanten verarbeitest oder wenn du personenbezogene Daten für unterschiedliche Zwecke nutzt (z. B. Kundendaten getrennt von Mitarbeiterdaten).

Konkrete Beispielmaßnahmen:

• Logische Mandantentrennung in Multi-Mandanten-Systemen
• Separate Datenbanken oder Schemas für unterschiedliche Verarbeitungszwecke
• Getrennte Dateiablagestrukturen für Personal-, Kunden- und Lieferantendaten
• Berechtigungsbasierte Zugriffstrennung (Personalabteilung sieht keine Kundendaten und umgekehrt)
• Separate Test- und Produktivsysteme (keine echten personenbezogenen Daten in Testumgebungen oder Anonymisierung/Pseudonymisierung)
• Netzwerksegmentierung (VLANs) zur Trennung verschiedener Unternehmensbereiche
• Kennzeichnung von Datensätzen nach Verarbeitungszweck (z. B. durch Kategorisierungs-Tags oder separate Felder)

Wie detailliert musst du dokumentieren?

Die richtige Detailtiefe ist eine häufige Frage bei der TOM-Dokumentation. Zu oberflächlich, und die Aufsichtsbehörde kann die Angemessenheit nicht beurteilen. Zu detailliert, und du lieferst potenziellen Angreifern eine Blaupause deiner Sicherheitsarchitektur.

Als Faustregel gilt: Die Dokumentation muss so konkret sein, dass ein sachkundiger Dritter (Datenschutzbeauftragter, Auditor, Aufsichtsbehörde) beurteilen kann, ob die Maßnahmen dem Risiko angemessen sind. Gleichzeitig sollte sie keine detaillierten technischen Konfigurationen enthalten, die bei einem Datenleck Angreifern helfen könnten.

Zu unkonkret (nicht ausreichend):

"Es werden geeignete technische Maßnahmen zum Schutz der Daten getroffen."

Angemessene Detailtiefe:

"Der Zugang zu IT-Systemen erfordert eine persönliche Benutzerkennung mit Passwort (Mindestlänge 12 Zeichen, Komplexitätsanforderungen gemäß interner Passwort-Richtlinie). Für externe Zugriffe und privilegierte Konten ist zusätzlich eine Multi-Faktor-Authentifizierung über Microsoft Authenticator eingerichtet. Die Kontosperrung erfolgt automatisch nach 5 fehlgeschlagenen Anmeldeversuchen."

Zu detailliert (Sicherheitsrisiko):

"Die Firewall vom Typ Fortinet FortiGate 100F mit Firmware-Version 7.4.3 ist konfiguriert mit folgenden Regeln: Port 443 ist offen für Subnetz 10.0.1.0/24, Port 22 nur von IP 203.0.113.42..."

Bewährt hat sich eine Strukturierung in zwei Ebenen. Die erste Ebene ist das TOM-Übersichtsdokument, das du in AVVs und für Aufsichtsbehörden verwendest. Hier beschreibst du die Maßnahmen auf der mittleren Detailebene. Die zweite Ebene sind interne Detaildokumente (Sicherheitskonzepte, Konfigurationsdokumentation), die du nur internen Prüfern und bei Bedarf Auditoren zugänglich machst. In einem ISMS-Tool wie ISMS Lite lassen sich beide Ebenen zentral pflegen und mit den zugehörigen AVVs verknüpfen, sodass Konsistenz zwischen den Dokumenten gewährleistet bleibt.

TOMs in Auftragsverarbeitungsverträge einbinden

Art. 28 Abs. 3 lit. h DSGVO verlangt, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung stellt. In der Praxis bedeutet das: Die TOMs des Auftragsverarbeiters werden als Anlage zum AVV beigefügt.

Wenn du Verantwortlicher bist und einen AVV mit einem Dienstleister abschließt, musst du dessen TOMs prüfen und beurteilen, ob sie angemessen sind. Fordere die TOM-Dokumentation des Dienstleisters vor Vertragsschluss an und vergleiche sie mit deinen Anforderungen. Wenn der Dienstleister eine ISO-27001-Zertifizierung oder ein SOC-2-Testat vorweisen kann, ist das ein starkes Indiz für angemessene TOMs, ersetzt aber nicht die individuelle Prüfung.

Wenn du selbst als Auftragsverarbeiter tätig bist, brauchst du eine professionelle TOM-Dokumentation, die du deinen Kunden proaktiv zur Verfügung stellst. Eine gut strukturierte, aktuelle TOM-Dokumentation beschleunigt die Vertragsanbahnung erheblich und zeigt, dass du Datenschutz ernst nimmst.

Achte darauf, dass die TOMs im AVV und die tatsächlich umgesetzten Maßnahmen übereinstimmen. Wenn du im AVV eine Ende-zu-Ende-Verschlüsselung zusicherst, aber in der Praxis nur Transportverschlüsselung einsetzt, hast du ein Vertragserfüllungsproblem und potenziell einen DSGVO-Verstoß.

Stand der Technik: Was bedeutet das konkret?

Art. 32 DSGVO verweist auf den "Stand der Technik" als Maßstab für die Angemessenheit von TOMs. Dieser unbestimmte Rechtsbegriff sorgt regelmäßig für Unsicherheit. Was gestern noch Stand der Technik war, kann morgen veraltet sein.

Orientierung bieten Branchenstandards und Empfehlungen anerkannter Institutionen:

• BSI IT-Grundschutz: Das Kompendium des Bundesamts für Sicherheit in der Informationstechnik definiert Basisanforderungen, Standardanforderungen und Anforderungen für erhöhten Schutzbedarf. Es gilt als Referenz für den Stand der Technik in Deutschland.
• ISO 27001/27002: Die internationalen Standards für Informationssicherheit liefern einen umfassenden Maßnahmenkatalog, der als Best Practice gilt.
• Branchenspezifische Standards: Je nach Branche können weitere Standards relevant sein, etwa PCI DSS für Kreditkartendaten oder TISAX für die Automobilindustrie.
• Empfehlungen der Datenschutzkonferenz (DSK): Die DSK veröffentlicht regelmäßig Positionspapiere und Empfehlungen, die den Stand der Technik aus Sicht der Aufsichtsbehörden konkretisieren.

Ein paar Beispiele, die aktuell als Stand der Technik gelten:

• TLS 1.2 ist das Minimum für Transportverschlüsselung, TLS 1.3 ist bevorzugt
• MFA ist für externe Zugriffe und Administratorkonten keine Kür mehr, sondern Stand der Technik
• Passwörter unter 12 Zeichen gelten als unzureichend
• Unverschlüsselte E-Mail-Übertragung ist nicht mehr akzeptabel
• Regelmäßige Sicherheitsupdates (Patch-Management) innerhalb definierter Fristen sind Pflicht
• Backups müssen auf Wiederherstellbarkeit getestet werden

Was hingegen nicht mehr dem Stand der Technik entspricht: MD5- oder SHA-1-Hashverfahren für Passwörter, SSL 3.0 oder TLS 1.0/1.1, WEP-Verschlüsselung im WLAN, unverschlüsselte Festplatten auf mobilen Geräten, Passwort-Richtlinien mit 8 Zeichen Mindestlänge.

TOMs und Risikobewertung verknüpfen

Die DSGVO verlangt, dass TOMs dem Risiko "angemessen" sind. Das bedeutet: Du musst die Risiken kennen, bevor du die Maßnahmen festlegst. Ein reines Abhaken von Standardmaßnahmen ohne Bezug zu den tatsächlichen Risiken greift zu kurz.

Der saubere Weg sieht so aus: Zunächst identifizierst du die Verarbeitungstätigkeiten mit den höchsten Risiken (Orientierung bietet dein Verarbeitungsverzeichnis). Dann bewertest du für jede risikoreiche Verarbeitung die Eintrittswahrscheinlichkeit und die Schwere möglicher Schäden für die betroffenen Personen. Auf dieser Basis wählst du die TOMs aus, die das identifizierte Risiko auf ein akzeptables Niveau reduzieren.

Für die Lohn- und Gehaltsabrechnung mit Gesundheitsdaten und Religionszugehörigkeit brauchst du strengere Zugriffskontrollen als für die allgemeine Kundenkommunikation. Für ein Bewerbermanagement mit sensiblen Unterlagen brauchst du strengere Löschprozesse als für die Speicherung von Geschäftsadressen.

Wenn du ein ISMS betreibst, ist diese Verknüpfung zwischen Risikobewertung und Maßnahmen ohnehin ein zentraler Bestandteil. Die TOM-Dokumentation lässt sich dann direkt aus dem Risikobehandlungsplan ableiten und bleibt konsistent. Tools wie ISMS Lite bilden diese Verknüpfung zwischen Risiken und TOMs automatisch ab, sodass du bei jeder Änderung an der Risikobewertung siehst, welche Maßnahmen betroffen sind.

Regelmäßige Überprüfung und Aktualisierung

Art. 32 Abs. 1 lit. d DSGVO verlangt "ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen". Das ist keine Empfehlung, sondern eine Pflicht.

Plane die Überprüfung deiner TOMs mindestens einmal jährlich ein. Darüber hinaus solltest du die TOMs anlassbezogen überprüfen bei:

• Sicherheitsvorfällen: Nach jedem Vorfall prüfst du, ob die vorhandenen Maßnahmen ausreichend waren und welche Maßnahmen verstärkt oder ergänzt werden müssen.
• Änderungen an der IT-Infrastruktur: Neue Server, neue Cloud-Dienste, Wechsel des E-Mail-Providers, Migration in die Cloud - all das erfordert eine Aktualisierung der TOMs.
• Organisatorischen Veränderungen: Neue Standorte, Homeoffice-Regelungen, Ausgliederung von Abteilungen.
• Regulatorischen Änderungen: Neue Empfehlungen der Aufsichtsbehörden, neue Branchenstandards, Urteile des EuGH.

Dokumentiere die Überprüfung samt Ergebnis. Auch wenn sich nichts geändert hat, ist ein protokolliertes "Überprüfung durchgeführt, keine Änderungen erforderlich" wertvoll, denn es belegt, dass du dich aktiv mit der Wirksamkeit deiner Maßnahmen auseinandersetzt.

Typische Fehler bei der TOM-Dokumentation

Einige Fallstricke begegnen uns in der Praxis besonders häufig:

Allgemeinplätze statt konkreter Maßnahmen: "Es werden geeignete Maßnahmen getroffen" ist keine Dokumentation. Benenne die konkreten Maßnahmen, auch wenn du nicht jedes technische Detail offenlegen musst.

Copy-Paste-TOMs aus dem Internet: Eine TOM-Vorlage ist ein guter Startpunkt, aber du musst sie an dein Unternehmen anpassen. Wenn in deiner TOM-Dokumentation eine Videoüberwachung steht, du aber keine Kameras hast, fällt das bei der ersten Prüfung auf.

TOMs nicht aktuell halten: Die TOM-Dokumentation von 2018 beschreibt wahrscheinlich nicht mehr den heutigen Zustand deiner IT. Führe ein Änderungsprotokoll und aktualisiere die TOMs bei jeder relevanten Änderung.

Keine Differenzierung nach Schutzbedarf: Nicht alle Daten brauchen denselben Schutz. TOMs für Gesundheitsdaten müssen strenger sein als für allgemeine Geschäftskontakte. Wenn du alles über einen Kamm scherst, sind die Maßnahmen entweder zu aufwendig für unkritische Daten oder zu schwach für sensible Daten.

Diskrepanz zwischen Dokumentation und Realität: Die TOMs beschreiben den Soll-Zustand. Wenn die Maßnahmen in der Praxis nicht umgesetzt sind, nützt dir die schönste Dokumentation nichts. Im Gegenteil: Eine Dokumentation, die nicht der Realität entspricht, kann als Nachweis deiner Kenntnis herangezogen werden, dass Maßnahmen nötig gewesen wären.

Keine Verzahnung mit AVVs: Wenn deine eigene TOM-Dokumentation andere Maßnahmen beschreibt als die TOM-Anlage in deinen AVVs, hast du ein Konsistenzproblem. Stelle sicher, dass alle Versionen synchron sind.

Checkliste für deine TOM-Dokumentation

Zum Abschluss eine kompakte Checkliste, mit der du den Stand deiner TOM-Dokumentation schnell einschätzen kannst:

• Sind alle 8 TOM-Kategorien abgedeckt?
• Sind die Maßnahmen konkret genug, dass ein Auditor sie bewerten kann?
• Stimmen die dokumentierten Maßnahmen mit der tatsächlichen Umsetzung überein?
• Sind besonders schutzbedürftige Verarbeitungen (Gesundheitsdaten, Bewerberdaten) mit strengeren Maßnahmen versehen?
• Gibt es ein Änderungsprotokoll mit Versionsnummer und Datum?
• Wird die TOM-Dokumentation mindestens jährlich überprüft?
• Sind die TOMs konsistent mit den Angaben in deinen AVVs?
• Ist die Dokumentation in zwei Detailebenen aufgeteilt (Übersicht für externe, Details für interne Nutzung)?
• Gibt es einen Verweis auf die zugrundeliegende Risikobewertung?
• Sind veraltete Maßnahmen identifiziert und durch aktuelle ersetzt worden?

Weiterführende Artikel

• Verarbeitungsverzeichnis (VVA) nach Art. 30 DSGVO erstellen
• Auftragsverarbeitung: AVV prüfen und Dienstleister bewerten
• Zugangs- und Zutrittskontrollrichtlinie: Physisch und logisch
• Passwort-Richtlinie erstellen: Anforderungen, Beispiel und Durchsetzung
• Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel

Wenn du die meisten dieser Punkte mit Ja beantworten kannst, bist du auf einem guten Weg. Wenn nicht, weißt du jetzt, wo du ansetzen musst. TOMs sind kein einmaliges Projekt, sondern ein fortlaufender Prozess. Je besser du ihn in deine bestehenden Abläufe integrierst, desto weniger Aufwand verursacht er im Alltag und desto besser stehst du da, wenn die Aufsichtsbehörde anklopft.