TOMs das unterschätzte Thema

TOMs (Technische und Organisatorische Maßnahmen) sind im Kontext der DSGVO ein oft unterschätztes Thema, vor allem in Bezug auf die vollständige AVV-Kaskade (Verarbeitungskette mit mehreren Dienstleistern). Es reicht nicht, pauschale Floskeln ins Vertragswerk zu schreiben; TOMs müssen für jede Stufe und jeden eingebundenen Dienstleister präzise und individuell beschrieben werden.

Bedeutung und Anforderungen von TOMs in der AVV-Kaskade
Gesetzliche Pflicht: Art. 28 und Art. 32 DSGVO verpflichten den Auftraggeber, alle eingesetzten Dienstleister (Auftragsverarbeiter und etwaige Subunternehmer) hinsichtlich ihrer technischen und organisatorischen Maßnahmen detailliert und stufenübergreifend zu dokumentieren und zu prüfen.

Individuelle Ausgestaltung: Jede beteiligte Partei (Hauptauftragnehmer und Subdienstleister) muss ihre eigenen spezifischen TOMs ausformulieren. Es genügt nicht, vage auf „angemessene Maßnahmen“ zu verweisen.

Beschreibung statt Aufzählung: TOMs müssen für den jeweiligen Dienstleister so konkret wie möglich beschrieben werden, z.B. „Passwortschutz mit MFA“ oder „Verschlüsselung der Backup-Daten“, nicht nur „Daten werden gesichert“.

TOMs sind weniger ein lästiger Bestandteil bestehender Datenschutz- Regulierung, als eher ein wichtiges Werkzeug, um einen gut dokumentierten Überblick über die eigene Infrastruktur zu erhalten.

Mit unserem Produkt JOUO bringen wir Licht in das Dunkel deiner Infrastruktur. Im Anschluss klannst du mit unserem TOM Wizzard für alle Dienstleister eine systematische Dokumentation erstellen und revisionssicher archivieren. Ab diesem Moment kanst du mit einem Mausklick deine TOMs in regelmäßigen Abständen aktualisieren.  

Warum ist das wichtig?

Es reicht nicht, TOMs für den „Head“-Dienstleister zu dokumentieren. Auch Unterauftragsverarbeiter müssen separat beschrieben werden (Stichwort: AVV-Kaskade).

Die Maßnahmen sind nach Schutzbedarf und Verwendung der Dienstleister zu differenzieren: Ein Hoster muss andere TOMs nachweisen als ein Callcenter.

Die Dokumentation sollte laufend gepflegt werden und mindestens jährlich (besser monatl.) sowie bei Änderungen überprüft werden.  Mit JOUO erledigst du diese Aufgabe in Zukunft mit wenigen Mausklicks.

Hier noch mal eine dringende Warnung!

Wer TOMs im Rahmen einer AVV-Kaskade vernachlässigt (z.B. mit unkonkreten Textbausteinen arbeitet oder Subdienstleister ignoriert), riskiert Bußgelder und kann bei Datenschutzverstößen haftbar gemacht werden. Entscheidend ist die individuell nachvollziehbare Auflistung und Beschreibung der TOMs für jede einzelne Stelle der Verarbeitungskette, inklusive sämtlicher Dienstleister und Subdienstleister.

TOMs sind Pflichtprogramm – und einer der wichtigsten Bausteine für wirksame, DSGVO-konforme Auftragsverarbeitung.