Art. 32 DSGVO · Template

Stand: Geprüft gegen Art. 32Quelle

TOM-Generator (Art. 32 DSGVO)

Strukturierte Selbstauskunft über 8 Kontroll-Kategorien mit über 50 Standard-Maßnahmen. Der Reifegrad-Score zeigt den Umsetzungsstand. Markdown-Export für AVV-Anlagen und interne Dokumentation. Keine Rechtsberatung.

Stammdaten
1. Zutrittskontrolle

Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Serverräume, Büros, Archiv).

0 / 8 Maßnahmen aktiv

2. Zugangskontrolle

Maßnahmen, die Unbefugte an der Nutzung der Systeme hindern (Login, Authentifizierung).

0 / 8 Maßnahmen aktiv

3. Zugriffskontrolle

Rollen- und Berechtigungskonzept — wer darf was sehen, ändern, löschen?

0 / 8 Maßnahmen aktiv

4. Weitergabekontrolle

Sichere Übertragung und Transport personenbezogener Daten.

0 / 7 Maßnahmen aktiv

5. Eingabekontrolle

Protokollierung — nachvollziehbar, wer wann was eingegeben, geändert oder gelöscht hat.

0 / 6 Maßnahmen aktiv

6. Auftragskontrolle

Sicherstellung weisungsgebundener Verarbeitung durch Auftragsverarbeiter und Sub-Unternehmer.

0 / 6 Maßnahmen aktiv

7. Verfügbarkeitskontrolle

Schutz vor zufälligem Verlust — Backup, Notfallplan, Hardware-Redundanz.

0 / 8 Maßnahmen aktiv

8. Trennbarkeit

Daten mit unterschiedlichen Zwecken werden getrennt verarbeitet (Mandanten, Test/Prod).

0 / 5 Maßnahmen aktiv

Häufige Fragen

Was sind TOM nach Art. 32 DSGVO?
Technische und organisatorische Maßnahmen sichern die Verarbeitung personenbezogener Daten ab. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau — z. B. Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit, regelmäßige Überprüfung. Die klassische 8-Kategorien-Struktur stammt aus dem alten BDSG, ist aber bis heute der De-facto-Standard für AVV-Anlagen und interne TOM-Dokumente.
Brauche ich ein TOM-Dokument?
Ja. Spätestens als Anlage zu AVVs (Art. 28 DSGVO), auf Anforderung der Aufsichtsbehörde oder bei Kunden-Audits. Für Auftragsverarbeiter ist es Pflicht-Bestandteil der Selbstauskunft. Für Verantwortliche ist es Nachweis nach Art. 32 — bei Audits, DSFA und nach Datenschutzverletzungen.
Was ist der Reifegrad-Score?
Der Score zeigt den Anteil umgesetzter Standard-Maßnahmen über alle 8 Kategorien an. 80–100 % = hoch (typisch ISO-27001-zertifiziert), 50–79 % = mittel (solider Mittelstand), 25–49 % = niedrig (Lücken), unter 25 % = unzureichend. Der Score ist eine Orientierung, keine Rechtsaussage — Aufsichtsbehörden bewerten risikobasiert.
Wie oft muss ich die TOM aktualisieren?
Mindestens jährlich, sowie bei wesentlichen Änderungen (neuer Standort, neue IT-Infrastruktur, neuer großer Auftragsverarbeiter, nach Vorfällen). Das Datum "Stand" oben im Dokument ist wichtig — veraltete TOM (älter als 2 Jahre) wirken bei Audits negativ.
Reicht der Reifegrad-Score von 100 % für DSGVO-Konformität?
Nein. Der Score deckt 50+ Standard-Maßnahmen ab — Ihr individuelles Risiko (Datenkategorien, Verarbeitungs-Skala, Drittland-Übermittlungen, betroffene Personen) kann zusätzliche Maßnahmen erfordern. Der Score ist Startpunkt, keine Endkontrolle.
Ersetzt dieses Tool eine ISO-27001-Zertifizierung?
Nein. ISO 27001 / TISAX / C5 sind Audit-basierte Zertifizierungen mit externer Prüfung. Das TOM-Dokument ist die interne Selbstauskunft — beides sind unterschiedliche Ebenen. Bei großen Kunden-Anforderungen kommen Sie um eine externe Zertifizierung nicht herum.