TOM (Technische und organisatorische Maßnahmen)
Die TOM beschreiben die technischen und organisatorischen Schutz-Vorkehrungen, mit denen ein Unternehmen personenbezogene Daten sichert – nach Artikel 32 DSGVO eine verbindliche Pflicht-Dokumentation für jedes verantwortliche Unternehmen.
TOM-Dokumentationen sind nicht nur Datenschutz-Pflicht, sondern in der Praxis Voraussetzung für jede AVV-Beziehung mit Geschäfts-Kunden. Ohne aktuelle TOM-Übersicht kommt im B2B-Bereich kaum noch ein größerer Vertrag zustande.
In einfachen Worten
Die DSGVO verlangt nicht nur, dass personenbezogene Daten geschützt sind – sie verlangt nach Artikel 32 ausdrücklich den Nachweis, mit welchen Maßnahmen der Schutz erreicht wird. Die TOM-Dokumentation beschreibt in einem strukturierten Dokument, welche Passwort-Anforderungen gelten, wer Zugang zu welchen Datenbereichen hat, wie Backups organisiert sind, wie ein Datenschutz-Vorfall behandelt wird und wie Mitarbeitende geschult werden. Es ist kein technisches Detail-Dokument für die IT-Abteilung, sondern eine Übersicht für Datenschutz-Beauftragte, Aufsichts-Behörden und Geschäfts-Kunden. Üblicherweise gegliedert in die acht klassischen TOM-Kategorien: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungs-Kontrolle.
Wozu brauche ich das?
Pflicht ab dem ersten Beschäftigten, sobald personenbezogene Daten verarbeitet werden. Auch bei jedem Auftragsverarbeitungsvertrag (AVV) verlangt der Auftraggeber typischerweise eine TOM-Übersicht – ohne sie wird kein Vertrag geschlossen. Im Prüf-Fall einer Aufsichts-Behörde ist die TOM-Dokumentation eines der ersten Dokumente, die angefordert werden. In zertifizierungs-nahen Umfeldern (ISO 27001, BSI-Grundschutz) bildet sie die Grundlage für weitergehende Sicherheits-Nachweise.
Beispiel aus der Praxis
Eine typische Lage in mittelständischen Software- und Beratungs-Firmen: Alle Schutz-Maßnahmen sind technisch umgesetzt – aber nichts ist dokumentiert. Sobald ein Groß-Kunde im Rahmen eines AVV-Abschlusses eine TOM-Übersicht anfordert, muss das gesamte Dokument unter Zeitdruck erstellt werden, häufig mit externer Beratungs-Unterstützung. Der Vertrags-Abschluss verzögert sich oder scheitert kurzfristig am fehlenden Dokument. Mit einer von Anfang an gepflegten TOM-Dokumentation wäre die jährliche Aktualisierung eine Frage weniger Stunden gewesen – und der Vertrag hätte nicht in letzter Minute am formalen Nachweis gehangen.
Wirtschaftlicher Nutzen
Eine professionell erstellte TOM-Dokumentation ist mit überschaubarem Aufwand erstellt und mit überschaubarem Aufwand jährlich aktualisiert. Sie ist Voraussetzung für jeden Auftragsverarbeitungs-Vertrag mit Geschäfts-Kunden, für die Vorbereitung einer ISO-27001-Zertifizierung und für die wirksame Verteidigung gegen Bußgelder im Prüf-Fall. Ohne aktuelle TOM-Dokumentation verliert das Unternehmen nicht nur Aufträge im B2B-Bereich, sondern auch jeden Argumentations-Spielraum bei einer Datenschutz-Prüfung – die Investition rechnet sich praktisch immer spätestens beim ersten größeren Vertrags-Abschluss.
Typische Fehler
- TOM einmal erstellt und nie wieder aktualisiert – nach wenigen Jahren spiegelt das Dokument den tatsächlichen Stand nicht mehr wider.
- TOM aus einer Online-Vorlage kopiert, ohne den Inhalt mit der tatsächlichen technischen und organisatorischen Realität abzugleichen – im Prüf-Fall sofort als unhaltbar erkennbar.
- Keine Verknüpfung mit konkreten Werkzeugen – die Aufsichts-Behörde fragt nach Details: Welche Passwort-Software, welches Backup-System, welcher Virenschutz?
- TOM existiert, ist aber niemandem im Unternehmen bekannt – im Vorfall greifen die dokumentierten Verfahren nicht, weil sie operativ nicht verankert sind.
- Bei Werkzeug-Wechseln oder Standort-Veränderungen die TOM nicht zeitnah angepasst – die Lücke zwischen Realität und Dokumentation wird zum Risiko.
Worauf achten?
- Jährliche Aktualisierung verbindlich im Kalender hinterlegen – mit klarer Verantwortlichkeit im Unternehmen.
- TOM mit dem Verarbeitungs-Verzeichnis nach Artikel 30 DSGVO abgleichen – beide Dokumente müssen zueinander passen.
- Konkrete Werkzeuge nennen: welche Passwort-Verwaltung, welches Backup-System, welcher Virenschutz, welche Transport-Verschlüsselung (SSL/TLS), welches Mehr-Faktor-Verfahren.
- Mitarbeitenden-Schulungen dokumentieren – Teilnehmer-Listen, Schulungs-Inhalte und Termine archivieren.
- Bei Werkzeug-Wechseln, Personal-Wechseln oder organisatorischen Veränderungen die TOM zeitnah anpassen, nicht erst zur nächsten Audit-Welle.
Häufig gestellte Fragen
Was sind TOM?
Technische und organisatorische Maßnahmen – die Schutz-Vorkehrungen, mit denen ein Unternehmen personenbezogene Daten sichert. Die Dokumentation ist nach Artikel 32 DSGVO Pflicht für jedes verantwortliche Unternehmen, das personenbezogene Daten verarbeitet.
Wann ist eine TOM-Dokumentation Pflicht?
Sobald ein Unternehmen personenbezogene Daten verarbeitet – das ist praktisch ab dem ersten Beschäftigten der Fall. Zusätzlich verlangt sie jeder Geschäfts-Kunde im Rahmen eines Auftragsverarbeitungs-Vertrags und jede Aufsichts-Behörde im Prüf-Fall.
Welche Kategorien gehören in eine TOM?
Üblicherweise die acht klassischen TOM-Kategorien: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungs-Kontrolle. Jede Kategorie wird mit konkreten Maßnahmen und eingesetzten Werkzeugen beschrieben.
Wie oft muss die TOM aktualisiert werden?
Mindestens jährlich und bei jeder wesentlichen Veränderung – neuer Werkzeug-Einsatz, Standort-Wechsel, organisatorische Veränderungen, neuer Datenschutz-Vorfall. Eine TOM, die nicht mehr den tatsächlichen Stand abbildet, ist im Prüf-Fall wertlos.
Wer erstellt die TOM?
Inhaltlich verantwortet sie der oder die Datenschutz-Beauftragte gemeinsam mit der Geschäftsleitung. Die technischen Bausteine (Zugriffs-Regelungen, Backup-Strategie, Verschlüsselungs-Konzept, eingesetzte Werkzeuge) werden in der Regel von der umsetzenden IT- oder Web-Agentur dokumentiert und an die TOM zugeliefert.