Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Auftragsverarbeitung · Dokumentation · DSGVO Art. 28, 32

TOM-Anlage zum AVV — was konkret drinstehen muss

Die technischen und organisatorischen Maßnahmen (TOMs) sind nach Art. 28 Abs. 3 lit. c verpflichtender Bestandteil jedes AVV. In der Praxis sind sie der Teil, der am häufigsten als Floskel-Sammlung daherkommt — und damit weder vertraglich verbindlich noch im Auditing belastbar ist.

Struktur nach Art. 32

Die TOM-Anlage gliedert sich entlang der Schutzziele:

1. Vertraulichkeit

  • Zutrittskontrolle: physischer Zugang zu Räumen (Schließanlage, Alarm, Besucherregistrierung).
  • Zugangskontrolle: Anmeldung an Systemen (Passwort-Policy, MFA, Session-Timeout).
  • Zugriffskontrolle: Berechtigungskonzept innerhalb des Systems (Rollen, Need-to-Know, regelmäßige Prüfung).
  • Trennungskontrolle: Mandanten-/Zweckseparation (logisch oder physisch).
  • Pseudonymisierung und Verschlüsselung wo angemessen.

2. Integrität

  • Weitergabekontrolle: TLS, signierte E-Mails, sichere Datenträgervernichtung.
  • Eingabekontrolle: Protokollierung wer wann was geändert hat (Audit-Log).

3. Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: USV, Redundanz, Backup-Konzept mit Restore-Tests.
  • Auftragskontrolle: Auftragsverarbeiter ihrerseits sind kontrolliert.
  • Recoverability: Wiederherstellung getestet, RTO/RPO definiert.

4. Bewertung und Evaluierung

  • Datenschutz-Management: Verantwortlichkeiten, regelmäßige Reviews.
  • Incident-Response: Meldewege, Eskalation.
  • Datenschutz-Folgenabschätzung für riskante Verarbeitungen.

Konkret statt floskelhaft

FloskelBelastbar
„modernste Verschlüsselung”„Server-Storage AES-256, TLS 1.3 für alle externen Verbindungen, kein Fallback unter TLS 1.2”
„regelmäßige Backups”„Tägliches Backup um 02:00 UTC mit 30 Tagen Aufbewahrung, monatlicher Restore-Test, dokumentiert im Wiki”
„starke Passwörter erforderlich”„Mind. 12 Zeichen, MFA per TOTP für alle Admin-Accounts, Passwort-Reset-Zwang nach 12 Monaten”
„Berechtigungen werden geprüft”„Quartalsweise Review aller Admin-Berechtigungen durch CTO, dokumentiert per Ticket im internen System”

Anlagen-Versionierung

  • Versionsstand pro TOM-Anlage (z.B. „TOM-Anlage Version 2.3, Stand 2026-04-15”).
  • Änderungsverfolgung — was hat sich gegenüber der Vorversion geändert.
  • Verweis im AVV-Haupttext auf konkrete Version, nicht auf eine „jeweils aktuelle URL”.

Häufige Fehler

  • TOM-Anlage als URL, deren Inhalt der Auftragsverarbeiter jederzeit ändern kann — vertraglich nicht durchsetzbar.
  • Copy-Paste eines Hyperscaler-TOMs als eigenes TOM, ohne den eigenen Stand zu reflektieren.
  • Keine Trennung: TOM für den Hauptbetrieb vermischt mit TOM für ausgegliederte Bereiche.
  • TOMs ohne Belege — im Audit muss zu jeder behaupteten Maßnahme ein Nachweis vorgelegt werden können.

Wenn wir DSB sind

Wir prüfen TOM-Anlagen sowohl als Auftraggeber (was ist der Dienstleister bereit, vertraglich zu geben?) als auch als Auftragnehmer (was kann der Mandant gegenüber seinen Kunden vertraglich zusichern?) — beide Perspektiven kommen vor.

Quelle: FS/CS GmbH