Comply/CheckScope prüfen

Art. 32 DSGVO · Template

Stand: Geprüft gegen Art. 32Quelle

TOM-Generator (Art. 32 DSGVO)

Strukturierte Selbstauskunft über 8 Kontroll-Kategorien mit über 50 Standard-Maßnahmen. Der Reifegrad-Score zeigt den Umsetzungsstand. Markdown-Export für AVV-Anlagen und interne Dokumentation. Keine Rechtsberatung.

Stammdaten
1. Zutrittskontrolle

Maßnahmen, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen verwehren (Serverräume, Büros, Archiv).

0 / 8 Maßnahmen aktiv

2. Zugangskontrolle

Maßnahmen, die Unbefugte an der Nutzung der Systeme hindern (Login, Authentifizierung).

0 / 8 Maßnahmen aktiv

3. Zugriffskontrolle

Rollen- und Berechtigungskonzept — wer darf was sehen, ändern, löschen?

0 / 8 Maßnahmen aktiv

4. Weitergabekontrolle

Sichere Übertragung und Transport personenbezogener Daten.

0 / 7 Maßnahmen aktiv

5. Eingabekontrolle

Protokollierung — nachvollziehbar, wer wann was eingegeben, geändert oder gelöscht hat.

0 / 6 Maßnahmen aktiv

6. Auftragskontrolle

Sicherstellung weisungsgebundener Verarbeitung durch Auftragsverarbeiter und Sub-Unternehmer.

0 / 6 Maßnahmen aktiv

7. Verfügbarkeitskontrolle

Schutz vor zufälligem Verlust — Backup, Notfallplan, Hardware-Redundanz.

0 / 8 Maßnahmen aktiv

8. Trennbarkeit

Daten mit unterschiedlichen Zwecken werden getrennt verarbeitet (Mandanten, Test/Prod).

0 / 5 Maßnahmen aktiv

Frequently Asked Questions

Was sind TOM nach Art. 32 DSGVO?
Technische und organisatorische Maßnahmen sichern die Verarbeitung personenbezogener Daten ab. Art. 32 DSGVO fordert ein dem Risiko angemessenes Schutzniveau — z. B. Verschlüsselung, Pseudonymisierung, Verfügbarkeit, Belastbarkeit, regelmäßige Überprüfung. Die klassische 8-Kategorien-Struktur stammt aus dem alten BDSG, ist aber bis heute der De-facto-Standard für AVV-Anlagen und interne TOM-Dokumente.
Brauche ich ein TOM-Dokument?
Ja. Spätestens als Anlage zu AVVs (Art. 28 DSGVO), auf Anforderung der Aufsichtsbehörde oder bei Kunden-Audits. Für Auftragsverarbeiter ist es Pflicht-Bestandteil der Selbstauskunft. Für Verantwortliche ist es Nachweis nach Art. 32 — bei Audits, DSFA und nach Datenschutzverletzungen.
Was ist der Reifegrad-Score?
Der Score zeigt den Anteil umgesetzter Standard-Maßnahmen über alle 8 Kategorien an. 80–100 % = hoch (typisch ISO-27001-zertifiziert), 50–79 % = mittel (solider Mittelstand), 25–49 % = niedrig (Lücken), unter 25 % = unzureichend. Der Score ist eine Orientierung, keine Rechtsaussage — Aufsichtsbehörden bewerten risikobasiert.
Wie oft muss ich die TOM aktualisieren?
Mindestens jährlich, sowie bei wesentlichen Änderungen (neuer Standort, neue IT-Infrastruktur, neuer großer Auftragsverarbeiter, nach Vorfällen). Das Datum "Stand" oben im Dokument ist wichtig — veraltete TOM (älter als 2 Jahre) wirken bei Audits negativ.
Reicht der Reifegrad-Score von 100 % für DSGVO-Konformität?
Nein. Der Score deckt 50+ Standard-Maßnahmen ab — Ihr individuelles Risiko (Datenkategorien, Verarbeitungs-Skala, Drittland-Übermittlungen, betroffene Personen) kann zusätzliche Maßnahmen erfordern. Der Score ist Startpunkt, keine Endkontrolle.
Ersetzt dieses Tool eine ISO-27001-Zertifizierung?
Nein. ISO 27001 / TISAX / C5 sind Audit-basierte Zertifizierungen mit externer Prüfung. Das TOM-Dokument ist die interne Selbstauskunft — beides sind unterschiedliche Ebenen. Bei großen Kunden-Anforderungen kommen Sie um eine externe Zertifizierung nicht herum.