TOM-Liste im Datenschutz: Technische und organisatorische Maßnahmen im Unternehmen richtig dokumentieren
Technische und organisatorische Maßnahmen? Wird das gebraucht?
Die TOM-Liste gehört zu den wichtigsten Grundlagen eines funktionierenden Datenschutzes im Unternehmen. Sie dokumentiert, welche technischen und organisatorischen Maßnahmen bereits umgesetzt wurden, um personenbezogene Daten zu schützen. Genau diese Maßnahmen verlangt die DSGVO, wenn Unternehmen Daten sicher, vertraulich und nachvollziehbar verarbeiten wollen. Art. 32 DSGVO verpflichtet Verantwortliche ausdrücklich dazu, ein dem Risiko angemessenes Schutzniveau durch geeignete Maßnahmen sicherzustellen. Außerdem soll im Verzeichnis der Verarbeitungstätigkeiten, wenn möglich, eine allgemeine Beschreibung dieser Maßnahmen enthalten sein.
Viele Unternehmen wissen zwar, dass sie „irgendetwas zum Datenschutz“ brauchen, unterschätzen aber die praktische Bedeutung einer sauberen TOM-Liste. Dabei ist sie oft eines der ersten Dokumente, das bei Rückfragen, Prüfungen oder im Rahmen einer Auftragsverarbeitung relevant wird. Auch auf der Website von Datenschutzkonzept wird ausdrücklich darauf hingewiesen, dass die TOM-Liste bei einer Prüfung häufig früh angefragt wird.
Was ist eine TOM-Liste?
Die TOM-Liste ist die strukturierte Übersicht aller technischen und organisatorischen Maßnahmen, mit denen ein Unternehmen personenbezogene Daten schützt. Dazu gehören zum Beispiel Regelungen zu Zutritt, Zugang, Zugriff, Weitergabe, Verfügbarkeit, Belastbarkeit von Systemen, Berechtigungskonzepten, Backups, Firewalls, Passwortschutz oder internen Zuständigkeiten. Die DSGVO selbst nennt als Beispiele unter anderem Pseudonymisierung und Verschlüsselung, die Fähigkeit zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen sowie Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen.
Eine TOM-Liste ist also keine bloße Formalität. Sie macht sichtbar, wie Datenschutz und Datensicherheit im Unternehmen tatsächlich umgesetzt werden. Das Standard-Datenschutzmodell der Datenschutzaufsichtsbehörden dient genau dazu, abstrakte Datenschutzanforderungen in konkrete technische und organisatorische Maßnahmen zu übersetzen.
Warum ist die TOM-Liste für Unternehmen so wichtig?
Die TOM-Liste ist wichtig, weil Unternehmen nicht nur Datenschutzmaßnahmen umsetzen müssen, sondern deren Einhaltung auch nachweisen können müssen. Dieser Nachweisgedanke ergibt sich aus der Rechenschaftspflicht der DSGVO und aus den Vorgaben zu Sicherheit der Verarbeitung. Der Europäische Gerichtshof hat 2024 noch einmal hervorgehoben, dass Verantwortliche geeignete Maßnahmen treffen und deren Einhaltung nachweisen können müssen.
In der Praxis bedeutet das: Es reicht nicht, wenn ein Unternehmen „eigentlich gut abgesichert“ ist. Es muss auch dokumentieren können, welche Maßnahmen bestehen, wie sie funktionieren und wann sie überprüft oder angepasst wurden. Gerade deshalb ist die TOM-Liste ein zentrales Dokument für Unternehmen jeder Größe.
Welche Inhalte gehören in eine TOM-Liste?
Eine gute TOM-Liste beschreibt die Schutzmaßnahmen so, dass sie nachvollziehbar, aktuell und auf die tatsächlichen Prozesse im Unternehmen abgestimmt sind. Typische Inhalte sind physische Zutrittskontrollen, Passwort- und Zugriffskonzepte, Rollen- und Berechtigungssysteme, Verschlüsselung, Backup-Strategien, Antivirus- und Firewall-Lösungen, Protokollierung, Löschkonzepte, Datenträgerkontrolle, Regelungen zum Homeoffice, Schulungen für Mitarbeitende sowie Prozesse zur Wiederherstellung und regelmäßigen Überprüfung der Sicherheit. Das BfDI nennt in seinem Muster zum Verzeichnis der Verarbeitungstätigkeiten beispielhaft unter anderem Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle und Eingabekontrolle. Auf der Datenschutzkonzept-Website werden zusätzlich Firewall, Antivirus, Backups und Berechtigungskonzepte ausdrücklich als typische Bestandteile genannt.
Wichtig ist dabei: Die TOM-Liste sollte nicht aus allgemeinen Floskeln bestehen, sondern konkret abbilden, was im Unternehmen tatsächlich umgesetzt wurde.
Technische und organisatorische Maßnahmen müssen zum Risiko passen
Nicht jedes Unternehmen braucht die gleichen Maßnahmen. Die DSGVO verlangt kein starres Standardschema, sondern ein risikoangemessenes Schutzniveau. Dabei sind unter anderem der Stand der Technik, die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die Risiken für die Rechte und Freiheiten betroffener Personen zu berücksichtigen.
Das bedeutet: Eine kleine Praxis, ein Handwerksbetrieb, eine Steuerkanzlei oder ein Online-Unternehmen können ganz unterschiedliche TOMs benötigen. Entscheidend ist, dass die Maßnahmen zum tatsächlichen Risiko und zur realen Verarbeitung passen. Genau deshalb sollte die TOM-Liste immer individuell auf das Unternehmen zugeschnitten sein.
Warum die TOM-Liste bei einer Prüfung so relevant ist
Bei einer datenschutzrechtlichen Prüfung kommt es nicht nur darauf an, ob Maßnahmen theoretisch vorhanden sind, sondern ob sie nachvollziehbar dokumentiert wurden. Die TOM-Liste ist dafür eines der wichtigsten Nachweisdokumente. Auf der KMU-Seite von Datenschutzkonzept wird sogar ausdrücklich gesagt, dass bei einer Prüfung häufig zuerst nach der TOM-Liste gefragt wird und ihr Fehlen direkt ein Problem darstellt.
Das ist auch logisch: Anhand der TOM-Liste kann eine Aufsichtsbehörde oder ein Auftraggeber schnell erkennen, ob das Unternehmen Datenschutz und Datensicherheit systematisch organisiert hat. Fehlt diese Dokumentation, entsteht schnell der Eindruck, dass Schutzmaßnahmen entweder nicht vorhanden oder nicht ausreichend strukturiert sind. Auch Muster zur Auftragsverarbeitung des BfDI zeigen, dass TOMs in der Praxis als eigener Anhang dokumentiert werden und wesentliche Änderungen festgehalten werden müssen.
TOM-Liste und Auftragsverarbeitung
Die TOM-Liste spielt nicht nur bei internen Datenschutzprozessen eine Rolle, sondern auch bei der Zusammenarbeit mit Dienstleistern. Wenn ein Auftragsverarbeiter personenbezogene Daten im Auftrag verarbeitet, müssen dessen technische und organisatorische Maßnahmen geprüft und vertraglich berücksichtigt werden. Das BfDI-Muster zur Auftragsverarbeitung sieht dafür ausdrücklich einen Anhang „Technisch-organisatorische Maßnahmen“ vor und verlangt, dass das Sicherheitsniveau nicht unterschritten werden darf.
Für Unternehmen bedeutet das: Eine saubere TOM-Liste ist auch wichtig, um gegenüber Kunden, Partnern oder Auftraggebern die eigene Datenschutzorganisation nachvollziehbar darzustellen.
Eine TOM-Liste ist kein Einmal-Dokument
Ein häufiger Fehler ist, die TOM-Liste einmal zu erstellen und dann jahrelang nicht mehr anzufassen. Genau das reicht in der Praxis nicht aus. Sicherheitsmaßnahmen unterliegen technischem Wandel, Unternehmensprozesse ändern sich, neue Tools kommen hinzu und Risiken entwickeln sich weiter. Die DSGVO verlangt deshalb Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen. Auch im BfDI-Muster zur Auftragsverarbeitung wird ausdrücklich darauf hingewiesen, dass TOMs dem technischen Fortschritt unterliegen und wesentliche Änderungen zu dokumentieren sind.
Eine gute TOM-Liste muss also regelmäßig geprüft und aktualisiert werden, damit sie im Ernstfall belastbar bleibt.
Typische Fehler bei TOM-Listen
In der Praxis sind TOM-Listen oft zu allgemein, veraltet oder unvollständig. Manche Unternehmen übernehmen Vorlagen, die nicht zu ihren tatsächlichen Prozessen passen. Andere dokumentieren Maßnahmen, die intern gar nicht umgesetzt sind. Beides ist problematisch. Denn bei einer Prüfung zählt nicht, was schön formuliert ist, sondern was im Unternehmen wirklich gelebt wird. Die DSGVO fordert geeignete und wirksame Maßnahmen, nicht bloß formale Papierlösungen.
Ebenso problematisch ist es, wenn zwar technische Maßnahmen vorhanden sind, organisatorische Maßnahmen aber fehlen. Datenschutz lebt immer von beidem: Technik und Organisation.
TOM-Liste als wichtiger Teil eines Datenschutzkonzepts
Die TOM-Liste steht nicht für sich allein. Sie ist ein zentraler Bestandteil einer umfassenden Datenschutzorganisation und sollte mit dem Verzeichnis der Verarbeitungstätigkeiten, Berechtigungskonzepten, Löschkonzepten, Schulungen und Verträgen zur Auftragsverarbeitung zusammenpassen. Das BfDI weist im Muster zum Verzeichnis der Verarbeitungstätigkeiten ausdrücklich darauf hin, dass dort eine Beschreibung der technischen und organisatorischen Maßnahmen erwartet wird.
Wer hier sauber arbeitet, schafft nicht nur bessere Nachweisbarkeit, sondern auch mehr Klarheit im Unternehmen selbst. Denn eine gute TOM-Liste zeigt, wo Schutzmaßnahmen bereits stark sind und wo noch Lücken bestehen.
TOM-Liste mit der Datenschutzkonzept GmbH
Die Datenschutzkonzept GmbH unterstützt Unternehmen dabei, eine TOM-Liste verständlich, vollständig und praxistauglich aufzubauen. Ziel ist es, die im Unternehmen umgesetzten technischen und organisatorischen Maßnahmen sauber zu dokumentieren, an die tatsächlichen Prozesse anzupassen und für Prüfungen nachvollziehbar aufzubereiten. Gerade weil die TOM-Liste bei Kontrollen, Auftragsverarbeitungen und internen Datenschutzfragen so relevant ist, sollte sie nicht nebenbei entstehen, sondern strukturiert und belastbar aufgebaut werden.
So wird aus einem oft unterschätzten Dokument ein echter Sicherheits- und Nachweisvorteil für das Unternehmen.
/
Datenschutzexperte Mannus Weiß
Kostenlose Erstberatung.
Jetzt anrufen
Oder senden Sie mir eine Nachricht, ich rufe Sie zeitnah zurück.