TOM-Vorlage: Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Technische und organisatorische Maßnahmen (TOM) sind nach Art. 32 DSGVO Pflicht und werden häufig als Anlage zu einem Auftragsverarbeitungsvertrag verlangt. Diese kostenlose Vorlage ist nach den Schutzzielen der DSGVO gegliedert und enthält Beispielmaßnahmen zum Abhaken und Ergänzen.
Worum geht es?
TOM beschreiben, mit welchen konkreten Maßnahmen ein Unternehmen ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherstellt. Sie sind ein zentraler Nachweis der DSGVO und Voraussetzung jeder Auftragsverarbeitung.
Die Vorlage ist nach den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit sowie den Verfahren zur regelmäßigen Überprüfung strukturiert, also genau nach der Logik des Art. 32 DSGVO.
Zu jedem Bereich (Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle) finden Sie Beispielmaßnahmen mit Ankreuzfeldern und Platz für eigene Beschreibungen.
Was die Vorlage enthält
Vertraulichkeit
Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle und Pseudonymisierung
Integrität
Weitergabe- und Eingabekontrolle
Verfügbarkeit & Belastbarkeit
Backup, Schutz vor Schadsoftware, Wiederherstellbarkeit
Überprüfung & Bewertung
Datenschutz-Management, Auftragskontrolle, Incident-Response
Ausfüllhilfen
Beispielmaßnahmen zum Abhaken plus Felder für eigene Maßnahmen
Die Vorlage eignet sich als eigenständiges TOM-Dokument und als Anlage zu einem Auftragsverarbeitungsvertrag. Beschreiben Sie je Punkt Ihre tatsächlich umgesetzten Maßnahmen.
Häufige Fehler beim Ausfüllen
Beispiele ungeprüft übernommen
TOM müssen die real umgesetzten Maßnahmen beschreiben, nicht eine generische Wunschliste.
Nie aktualisiert
Ändert sich die IT, müssen die TOM angepasst werden. Veraltete TOM sind im Audit wertlos.
Verfügbarkeit vergessen
TOM sind nicht nur Zugriffsschutz: Backup, Wiederherstellung und Belastbarkeit gehören dazu.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
In CompliantDesk pflegen Sie TOM nicht als loses Dokument: Sie ergeben sich aus Ihren umgesetzten Controls und lassen sich je Lieferant und Verarbeitung verknüpft und aktuell nachweisen.
Häufig gestellte Fragen
Wofür brauche ich TOM?
TOM sind nach Art. 32 DSGVO Pflicht und werden zudem fast immer als Anlage zu einem Auftragsverarbeitungsvertrag (AVV) verlangt.
Wie ausführlich müssen TOM sein?
So konkret, dass nachvollziehbar ist, wie Sie die Daten tatsächlich schützen. Pauschale Aussagen genügen nicht.
Wie hängen TOM mit ISO 27001 zusammen?
Die TOM decken sich weitgehend mit den Controls der ISO 27001. Ein bestehendes ISMS liefert die Inhalte für Ihre TOM.
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.