TOM-Vorlage nach Art. 32 DSGVO: Struktur, Pflichtfelder, Audit-Tauglichkeit

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Eine TOM-Vorlage ist die Form, in der dieser Nachweis geführt wird. Sie ist kein Selbstzweck, sondern die zentrale Anlage zu Auftragsverarbeitungsverträgen nach Art. 28 Abs. 3 DSGVO und das erste Dokument, das eine Aufsichtsbehörde bei einer Datenpanne anfordert.

In der Praxis scheitern TOM-Listen selten am Inhalt. Sie scheitern an fehlender Risikobezugnahme, veralteten Versionsständen und an Pauschalformulierungen, die der Schutzklassendifferenzierung nach Art. 32 Abs. 1 lit. b DSGVO nicht standhalten. Dieser Beitrag beschreibt den prüfbaren Aufbau einer TOM-Vorlage, die Pflichtfelder, die typischen Lücken in Audits und die Übergaberegeln gegenüber Auftragsverarbeitern. Maßgeblich ist nicht die Länge des Dokuments, sondern die Nachvollziehbarkeit jeder einzelnen Maßnahme.

Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau und nennt vier Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Eine TOM-Vorlage muss zeigen, dass jede getroffene Maßnahme einem dieser Schutzziele zugeordnet ist und dass die Auswahl auf einer Risikobewertung beruht. Die Aufsichtsbehörden des Bundes und der Länder erwarten zudem den Bezug zu Art. 25 DSGVO, also zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Die TOM-Liste ist gleichzeitig Anlage zum Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 lit. c DSGVO. Auftragsverarbeiter müssen ihre Maßnahmen so dokumentieren, dass der Verantwortliche sie eigenständig prüfen kann. Pauschalformulierungen wie 'Stand der Technik wird eingehalten' genügen nicht. Erforderlich ist eine konkrete, kontrollierbare Beschreibung. Ein externer Datenschutzbeauftragter prüft im ersten Schritt regelmäßig genau diese Anlage, weil sie die Brücke zwischen Vertrag und gelebter Praxis bildet.

Aus aufsichtsbehördlicher Sicht ist die TOM-Vorlage damit weniger eine Checkliste als ein Steuerungsdokument. Sie macht Risiken, Entscheidungen und Verantwortlichkeiten sichtbar. Wer diese Dokumentation ernst nimmt, erfüllt zugleich die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Eine prüfbare TOM-Vorlage enthält pro Maßnahme mindestens zehn Felder. Erstens die laufende Nummer zur eindeutigen Referenzierung. Zweitens das Schutzziel nach Art. 32 Abs. 1 DSGVO. Drittens die Kategorie, etwa Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle. Diese acht Kontrollarten ergeben sich aus der bisherigen Anlage zu § 9 BDSG-alt und werden von Aufsichtsbehörden weiterhin als Strukturraster akzeptiert.

Viertens die konkrete Maßnahme als Klartext. Fünftens der Verantwortliche mit Rolle, nicht nur Abteilung. Sechstens das eingesetzte System oder Verfahren. Siebtens die Wirksamkeitskontrolle, also wie und durch wen die Maßnahme geprüft wird. Achtens das Prüfintervall in Monaten. Neuntens das Datum der letzten Prüfung. Zehntens die Versionsnummer der Maßnahme selbst.

Diese zehn Felder erlauben einer Aufsichtsbehörde, in unter zwei Minuten festzustellen, ob die TOM-Liste gelebt wird oder nur formal existiert. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Eine sinnvolle Ergänzung ist ein Feld für den Bezug zur Verarbeitungstätigkeit nach Art. 30 DSGVO, damit bei einer Änderung im Verzeichnis sofort sichtbar wird, welche Maßnahmen betroffen sind.

Ohne dokumentierte Risikobewertung ist eine TOM-Vorlage formal unvollständig. Art. 32 Abs. 1 DSGVO verlangt die Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Praktisch bedeutet das eine zweistufige Logik. Auf der ersten Stufe wird je Verarbeitungstätigkeit eine Schutzbedarfsfeststellung durchgeführt, üblicherweise in den Stufen normal, hoch und sehr hoch. Auf der zweiten Stufe werden Maßnahmen abgeleitet, die zum jeweiligen Schutzbedarf passen. Ein Loginsystem mit Passwort plus zweitem Faktor genügt bei normalem Schutzbedarf. Bei besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO sind weitergehende Maßnahmen wie hardwaregebundene Token oder rollenbasierte Berechtigungstrennung erforderlich.

Die Dokumentation der Risikobewertung kann als eigenes Feld in die TOM-Liste integriert oder als separates Schutzbedarfsregister geführt werden. Wichtig ist die Verlinkung. Eine TOM-Liste, die nicht zur Risikobewertung passt, weckt im Audit den Verdacht der Schein-Compliance. Frist läuft ab Kenntnis, auch bei Maßnahmenanpassungen nach erkannten Risikoänderungen.

Zutrittskontrolle umfasst alle Maßnahmen, die den physischen Zugang zu Datenverarbeitungsanlagen verhindern. Dazu zählen Schließanlagen, Besucherprotokoll, Videoüberwachung und Serverraumzutritt mit Vier-Augen-Prinzip. Zugangskontrolle regelt den logischen Zugang zu Systemen, also Authentifizierung, Mehrfaktorverfahren und Sperrmechanismen. Zugriffskontrolle bestimmt, welche Rollen welche Daten lesen, schreiben oder löschen dürfen.

Weitergabekontrolle dokumentiert, wie personenbezogene Daten beim Transport oder bei der Übermittlung geschützt werden, etwa durch Transportverschlüsselung nach TLS 1.2 oder höher. Eingabekontrolle ermöglicht die nachträgliche Feststellung, wer wann welche Daten eingegeben, geändert oder entfernt hat. Auftragskontrolle stellt sicher, dass Auftragsverarbeiter nur weisungsgemäß tätig werden, einschließlich Subunternehmerregelung.

Verfügbarkeitskontrolle schützt gegen zufällige Zerstörung oder Verlust, etwa durch Backup-Strategie mit 3-2-1-Regel und dokumentierter Wiederherstellungszeit. Trennungskontrolle stellt sicher, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, getrennt verarbeitet werden, mandantenfähig oder durch logische Trennung. Diese acht Kategorien strukturieren die TOM-Liste und vermeiden Überschneidungen. Jede konkrete Maßnahme wird genau einer Kategorie zugeordnet, was die Prüfung im Audit erleichtert und Doppelungen verhindert.

Art. 32 Abs. 1 lit. d DSGVO verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit. Dieser Punkt wird in der Praxis am häufigsten übersehen. Eine Maßnahme ohne dokumentierte Wirksamkeitskontrolle ist im Audit gleichbedeutend mit einer fehlenden Maßnahme. Prüfer fragen nicht, ob ein Backup existiert, sondern wann der letzte Restore-Test durchgeführt wurde und welches Ergebnis er hatte.

Die Wirksamkeitskontrolle wird je Maßnahme festgelegt. Bei Zutrittskontrolle reicht in vielen Fällen ein jährlicher Stichprobentest der Schließanlage und ein dokumentierter Auswertungslauf des Zutrittsprotokolls. Bei Zugriffskontrolle ist ein quartalsweiser Berechtigungs-Review erforderlich, der Abgleich der vergebenen Rollen mit den tatsächlichen Aufgaben. Bei Backup-Verfahren ist ein halbjährlicher Wiederherstellungstest Mindeststandard, dokumentiert mit Datum, Verantwortlichem und Ergebnis.

Die Ergebnisse dieser Kontrollen werden in einem Wirksamkeitsregister geführt, das mit der TOM-Liste verknüpft ist. Bei einer Datenpanne nach Art. 33 DSGVO entscheidet dieses Register über die Bewertung der Aufsichtsbehörde. Der Prüfer ruft an, der Nachweis liegt bereit. Die FAQ-Sammlung zu Compliance-Nachweisen zeigt typische Belegformen und Protokollstrukturen für die Wirksamkeitskontrolle.

Eine TOM-Vorlage ohne Versionierung verliert ihren Beweiswert. Bei einer Datenpanne fragt die Aufsichtsbehörde nicht nach der aktuellen TOM-Liste, sondern nach der Fassung, die zum Zeitpunkt des Vorfalls galt. Die Versionierung muss daher jede Maßnahmenänderung mit Datum, Autor und Begründung dokumentieren. Üblich sind dezimale Versionsnummern, wobei eine Erhöhung der Hauptversion eine grundlegende Änderung kennzeichnet, eine Erhöhung der Unterversion eine Detailanpassung.

Die Aufbewahrungsfrist orientiert sich an der allgemeinen Verjährungsfrist nach § 195 BGB von drei Jahren, im Kontext steuerrelevanter Daten an § 147 AO mit zehn Jahren. Sicher ist eine Aufbewahrung von zehn Jahren für die TOM-Liste selbst und für die zugehörigen Wirksamkeitsnachweise. Die Aufbewahrung in einem revisionssicheren System ist nicht zwingend, erleichtert aber den Nachweis der Unveränderbarkeit.

Änderungsanlässe sind klar definiert. Eine neue Verarbeitungstätigkeit, ein neuer Auftragsverarbeiter, eine Änderung der Rechtsgrundlage, ein erkannter Sicherheitsvorfall oder ein Hinweis aus einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Jeder dieser Anlässe löst eine Prüfung der TOM-Liste aus. Die Dokumentation der Prüfung selbst, auch wenn sie zu keiner Änderung führt, ist Teil des Rechenschaftsnachweises.

Art. 28 Abs. 3 DSGVO verpflichtet Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der vertraglichen Pflichten zur Verfügung zu stellen. Die TOM-Liste ist hierfür das primäre Werkzeug. Auftragsverarbeiter müssen ihre Maßnahmen so detailliert beschreiben, dass der Verantwortliche eigenständig prüfen kann. Pauschale Verweise auf Zertifikate genügen nicht, sie ersetzen keine konkrete Beschreibung.

Auf Seiten des Verantwortlichen besteht die Pflicht, die TOM-Liste des Auftragsverarbeiters initial und in regelmäßigen Abständen zu prüfen. Üblich ist eine jährliche Prüfung, bei kritischen Verarbeitungen halbjährlich. Die Prüfung selbst muss dokumentiert werden, mindestens mit Datum, prüfender Person und Ergebnis. Auffälligkeiten lösen Nachfragen, Auditrechte nach Art. 28 Abs. 3 lit. h DSGVO oder gegebenenfalls einen Lieferantenwechsel aus.

Bei mehrstufigen Verarbeitungsketten mit Subunternehmern wird die TOM-Liste komplexer. Jeder Subunternehmer benötigt eine eigene TOM-Liste, die der Hauptauftragsverarbeiter dem Verantwortlichen vorlegt. Die Verantwortung für die Risikobewertung verbleibt beim Verantwortlichen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Diese Logik gilt analog für jede TOM-Anlage zu einem Auftragsverarbeitungsvertrag.

Die häufigste Lücke ist eine TOM-Liste, deren letzte Aktualisierung mehr als zwölf Monate zurückliegt. Aufsichtsbehörden werten das als Indiz für fehlende Pflege. Die zweithäufigste Lücke ist die Verwendung einer Vorlage aus dem Internet ohne unternehmensspezifische Anpassung. Solche Vorlagen enthalten Maßnahmen, die im konkreten Unternehmen nicht existieren, und umgekehrt fehlen relevante Maßnahmen. Im Audit ist diese Diskrepanz innerhalb weniger Minuten sichtbar.

Dritte Lücke: fehlende Wirksamkeitskontrolle. Maßnahmen sind aufgelistet, aber niemand prüft sie. Vierte Lücke: Berechtigungen, die seit Jahren nicht überprüft wurden, mit ausgeschiedenen Mitarbeitern, die formal noch Zugriff hätten. Fünfte Lücke: Backup-Strategien ohne dokumentierten Wiederherstellungstest. Sechste Lücke: Auftragsverarbeitungsverträge ohne aktuelle TOM-Anlage des Dienstleisters.

Siebte Lücke: keine Trennung zwischen Produktions- und Testumgebung mit echten personenbezogenen Daten in Testdatenbanken. Achte Lücke: fehlende Verschlüsselung mobiler Geräte. Neunte Lücke: keine geregelte Vorgehensweise bei Mitarbeiteraustritt mit Übergabe der Berechtigungen. Zehnte Lücke: fehlende Verknüpfung zur Datenschutz-Folgenabschätzung bei Verarbeitungen mit hohem Risiko. Jede dieser Lücken ist in einer gepflegten TOM-Vorlage strukturell adressierbar, wenn die zehn Pflichtfelder konsequent ausgefüllt werden.

Eine TOM-Liste ist nur so gut wie das System, in dem sie geführt wird. Excel-basierte Vorlagen funktionieren bei kleinen Verantwortlichen mit überschaubarer Verarbeitungslandschaft. Sobald mehrere Standorte, mehrere Auftragsverarbeiter und mehrere Schutzbedarfsstufen ins Spiel kommen, stößt die Tabellenform an Grenzen. Versionierung, Berechtigungen und Verknüpfung zum Verarbeitungsverzeichnis nach Art. 30 DSGVO werden zur Tagesaufgabe.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Im Workspace führen Sie die TOM-Liste mit den zehn Pflichtfeldern, verknüpfen sie mit dem Verarbeitungsverzeichnis und steuern Wirksamkeitskontrollen über fällige Aufgaben. 37 einsatzbereite Audit-Vorlagen decken Berechtigungs-Review, Backup-Test, Auftragsverarbeiter-Audit und Schutzbedarfsfeststellung ab. Die Datenhaltung erfolgt in EU-Datenresidenz, das ISMS ist nach ISO/IEC 27001:2022 zertifiziert. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Im zweiten Modell wird die Bestellurkunde innerhalb von zwei Werktagen ausgestellt, der externe Datenschutzbeauftragte übernimmt die Pflege der TOM-Liste, die Wirksamkeitskontrollen und die jährliche Anpassung.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten einen Strukturvorschlag für Ihre TOM-Vorlage und eine Einschätzung, welches Modell zu Ihrer Verarbeitungslandschaft passt.