Muster für technische und organisatorische Maßnahmen (TOM) zur Datensicherheit nach Art. 32 DSGVO

Muster

Zusammenfassung

Ein Beispiel für technische und organisatorische Maßnahmen zur Datensicherheit (TOM) nach Art. 32 DSGVO.

Genau genommen seid ihr vollkommen frei darin, die Struktur der Dokumentation eurer TOM zu gestalten und die jeweiligen Maßnahmen zu dokumentieren. Während wir hier in Deutschland ein relativ einheitliches Modell haben, wie TOM aussehen, sieht das in anderen Staaten der Europäischen Union (EU) durchaus anders aus. Dort sind diese Dokumente manchmal schlanker oder haben einen anderen Aufbau. Und das ist auch alles okay.

Für Unternehmen in Deutschland oder Unternehmen mit Auftraggeber aus Deutschland macht es aber Sinn, den „herkömmlichen Aufbau“ der TOM zu verwenden. Der basiert sozusagen auf einem „tradierten“ Modell. Wir haben in Deutschland nämlich vor der DSGVO sog. „8 Gebote“ der Datensicherheit gehabt. Diese waren in der Anlage zu § 9 Satz 1 BDSG a.F. geregelt. Diese 8 Gebote wurden dann im Zuge der Umstellung auf die DSGVO einfach übernommen und nur anders „sortiert“. Sie wurden einfach auf die verschiedenen Schutzziele der Datensicherheit der DSGVO passend zugeordnet.

Du findest hier ein Muster, wie so ein Dokument aussehen kann.

Version

Version 1.1 – 30.10.2025

Markdown-Version

Die Markdown-Version kannst du hier herunterladen.

Anwendungshinweise

Das Muster enthält ein Beispiel, an dem du dich orientieren kannst. Es ist stets an die individuellen Gegebenheiten anzupassen.

Änderungen

10.10.2024: Korrektur Rechtschreibfehler
30.10.2025: Änderungen in der Gliederung, Wechsel von DIN 66399 auf ISO/IEC 21964; Kleinere Grammatik-Fehler korrigiert

Nutzungsrechte

Für die Verwendung des Musters gelten diese Regeln zur Nutzung: https://www.datenschutz-guru.de/nutzungsrechte-muster/

===== Muster =====

Technische und organisatorische Maßnahmen zur Datensicherheit

Bei der Mustermensch GmbH sind nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO getroffen worden:

1. Vertraulichkeit

Zutrittskontrolle

Die Büroräume der Mustermensch GmbH befinden sich in einem Bürohaus in Musterstadt.

Die Zugänge zum Bürohaus und auch zu den Büroräumen der Mustermensch GmbH sind Tag und Nacht verschlossen. Zugang zu dem Bürohaus haben nur der Vermieter und die Mieter der Büroräume. Es kommt ein elektronisches Schließsystem zum Einsatz, das vom Vermieter verwaltet wird. Jeder Mieter des Bürohauses hat jedoch die Möglichkeit, die jeweils ausgehändigten Transponder-Schlüssel selbst zu verwalten und elektronische Zutrittsrechte zu erteilen und zu entziehen. Dies wird von der Personalabteilung der Mustermensch GmbH verwaltet.

Die Schlüsselvergabe und das Schlüsselmanagement erfolgen nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt.

Zutrittsberechtigungen werden einem Beschäftigten erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung entsprechend angefordert wurde. Bei der Vergabe von Berechtigungen wird dem Grundsatz der Erforderlichkeit Rechnung getragen.

Besucher erhalten erst nach Türöffnung durch den Empfang oder einen sonstigen Beschäftigten Zutritt zu dem Bürohaus und dann zu den Büroräumen. Der Empfang kann die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet.

Jeder Besuch einer Person wird in einem Besucherbuch protokolliert. Der Besucher wird dann von der Empfangsperson zu seinem jeweiligen Ansprechpartner begleitet.

Besucher dürfen sich nicht ohne Begleitung in den Büroräumen frei bewegen.

Die Eingänge und Fenster des Bürohauses und auch der Büroräume der Mustermensch GmbH sind mit einer Alarmanlage gesichert. Diese kann manuell aktiviert und deaktiviert werden. Unabhängig davon wird die Alarmanlage täglich jedoch stets um 21 Uhr automatisch aktiviert.

Zugangskontrolle

Für die Zugangskontrolle sind nachfolgende Maßnahmen von der Mustermensch GmbH getroffen worden:

Um Zugang zu IT-Systemen zu erhalten, müssen Nutzer über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen von Administratoren vergeben. Dies jedoch nur, wenn dies von dem jeweiligen Vorgesetzten beantragt wurde. Der Antrag kann auch über die Personalabteilung gestellt werden.

Der Benutzer erhält dann einen Benutzernamen und ein Initialpasswort, das bei erster Anmeldung geändert werden muss. Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 12 Zeichen, wobei das Passwort aus Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Für Administrationszugänge sind Mindestpasswortlängen von 16 Zeichen vorgesehen, wobei auch diese Passwörter komplex zu wählen sind.

Ein Passwortwechsel ist grundsätzlich nicht vorgesehen. Wenn Systeme oder Applikationen einen Passwortwechsel vorsehen, ist dies nur in begründeten Fällen zulässig.

Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 10 Passwörter nicht noch einmal verwendet werden können.

Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des jeweiligen Benutzer-Accounts.

Remote-Zugriffe auf IT-Systeme der Mustermensch GmbH erfolgen stets über verschlüsselte Verbindungen.

Auf den Servern der Mustermensch GmbH ist ein Intrusion-Prevention-System im Einsatz. Alle Server- und Client-Systeme verfügen über Virenschutzsoftware, bei der eine tagesaktuelle Versorgung mit Signaturupdates gewährleistet ist.

Alle Server sind durch Firewalls geschützt, die stets gewartet und mit Updates und Patches versorgt werden.

Der Zugriff von Servern und Clients auf das Internet und der Zugriff auf diese Systeme über das Internet sind ebenfalls durch Firewalls gesichert. So ist auch gewährleistet, dass nur die für die jeweilige Kommunikation erforderlichen Ports nutzbar sind. Alle anderen Ports sind entsprechend gesperrt.

Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.

Passwörter werden grundsätzlich verschlüsselt gespeichert.

Zugriffskontrolle

Berechtigungen für IT-Systeme und Applikationen der Mustermensch GmbH werden ausschließlich von Administratoren eingerichtet.

Berechtigungen werden grundsätzlich nach dem Need-to-Know-Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Applikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwicklung tätig sind.

Voraussetzung ist eine entsprechende Anforderung der Berechtigung für einen Mitarbeiter durch einen Vorgesetzten. Der Antrag kann auch bei der Personalabteilung gestellt werden.

Es gibt ein rollenbasiertes Berechtigungskonzept mit der Möglichkeit der differenzierten Vergabe von Zugriffsberechtigungen, das sicherstellt, dass Beschäftigte abhängig von ihrem jeweiligen Aufgabengebiet und ggf. projektbasiert Zugriffsrechte auf Applikationen und Daten erhalten.

Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach ISO/IEC 21964 gewährleistet.

Alle Mitarbeiter bei Mustermensch GmbH sind angewiesen, Informationen mit personenbezogenen Daten und/oder Informationen über Projekte in die hierfür ausgewiesenen Vernichtungsbehältnisse einzuwerfen, wenn diese nicht mehr benötigt werden bzw. die Löschung angewiesen wurde.

Beschäftigten ist es grundsätzlich untersagt, nicht genehmigte Software auf den IT-Systemen zu installieren.

Alle Server- und Client-Systeme werden regelmäßig mit Sicherheits-Updates aktualisiert.

Trennung

Alle von Mustermensch GmbH für Kunden eingesetzten IT-Systeme sind mandantenfähig. Die Trennung von Daten von verschiedenen Kunden ist stets gewährleistet.

Pseudonymisierung & Verschlüsselung

Ein administrativer Zugriff auf Serversysteme erfolgt grundsätzlich über verschlüsselte Verbindungen.

Darüber hinaus werden Daten auf Server- und Clientsystemen auf verschlüsselten Datenträgern gespeichert. Es befinden sich entsprechende Festplattenverschlüsselungssysteme im Einsatz.

2. Integrität

Eingabekontrolle

Die Eingabe, Änderung und Löschung von personenbezogenen Daten, die von der Mustermensch GmbH im Auftrag verarbeitet werden, wird grundsätzlich protokolliert.

Mitarbeiter sind verpflichtet, stets mit ihren eigenen Accounts zu arbeiten. Benutzer-Accounts dürfen nicht mit anderen Personen geteilt bzw. gemeinsam genutzt werden.

Weitergabekontrolle

Eine Weitergabe von personenbezogenen Daten, die im Auftrag von Kunden der Mustermensch GmbH erfolgt, darf jeweils nur in dem Umfang, erfolgen, wie dies mit dem Kunden abgestimmt ist oder soweit dies zur Erbringung der vertraglichen Leistungen für den Kunden erforderlich ist.

Alle Mitarbeiter, die in einem Kundenprojekt arbeiten, werden im Hinblick auf die zulässige Nutzung von Daten und die Modalitäten einer Weitergabe von Daten instruiert.

Soweit möglich werden Daten nur verschlüsselt an Empfänger übertragen.

Die Nutzung von privaten Datenträgern ist den Beschäftigten bei Mustermensch GmbH im Zusammenhang mit Kundenprojekten untersagt.

Mitarbeiter bei der Mustermensch GmbH werden regelmäßig zu Datenschutzthemen geschult. Alle Mitarbeiter sind zu einem vertraulichen Umgang mit personenbezogenen Daten verpflichtet worden.

3. Verfügbarkeit und Belastbarkeit

Daten auf Serversystemen der Mustermensch GmbH werden mindestens täglich inkrementell und wöchentlich „voll“ gesichert. Die Sicherungsmedien werden verschlüsselt an einen physisch getrennten Ort verbracht.

Das Einspielen von Backups wird regelmäßig getestet.

Die IT-Systeme verfügen über eine unterbrechungsfreie Stromversorgung. Im Serverraum befinden sich eine Brandmeldeanlage und eine CO2-Löschanlage. Alle Serversysteme unterliegen einem Monitoring, das im Falle von Störungen unverzüglich Meldungen an einen Administrator auslöst.

Es gibt bei der Mustermensch GmbH einen Notfallplan, der auch einen Wiederanlaufplan beinhaltet.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Bei der Mustermensch GmbH ist ein Datenschutzmanagement implementiert. Es gibt eine Leitlinie zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.

Es ist ein Datenschutzteam (DST) eingerichtet, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.

Die Richtlinien werden regelmäßig im Hinblick auf ihre Wirksamkeit evaluiert und angepasst.

Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Mitarbeitern erkannt und unverzüglich dem DST gemeldet werden. Dieses wird den Vorfall sofort untersuchen. Soweit Daten betroffen sind, die im Auftrag von Kunden verarbeitet werden, wird dafür Sorge getragen, dass diese unverzüglich über Art und Umfang des Vorfalls informiert werden.

Bei der Verarbeitung von Daten für eigene Zwecke wird im Falle des Vorliegens der Voraussetzungen des Art. 33 DSGVO eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Kenntnis von dem Vorfall erfolgen.

5. Auftragskontrolle

Die Verarbeitung der Daten erfolgt ausschließlich in der Europäischen Union.

Bei der Mustermensch GmbH ist ein betrieblicher Datenschutzbeauftragter benannt.

Bei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag nach zuvor durchgeführtem Audit durch den Datenschutzbeauftragten der Mustermensch GmbH abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.

6. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Bei der Mustermensch GmbH wird schon bei der Entwicklung der Software dafür Sorge getragen, dass dem Grundsatz der Erforderlichkeit schon im Zusammenhang mit Benutzer-Interfaces Rechnung getragen wird. So sind z.B. Formularfelder, Bildschirmmasken flexibel gestaltbar. Es können Pflichtfelder vorgesehen oder Felder deaktiviert werden.

Die Software der Mustermensch GmbH unterstützt die Eingabekontrolle durch einen flexiblen und anpassbaren Audit-Trail, der eine unveränderliche Speicherung von Änderungen an Daten und Nutzerberechtigungen ermöglicht.

Berechtigungen auf Daten oder Applikationen können flexibel und granular gesetzt werden.

===== Ende des Musters =====

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-PRO teilzunehmen findest du hier mehr Informationen.