TOMs nach Art. 32 DSGVO: technisch wirksam & nachweisbar
Wie technische und organisatorische Maßnahmen implementiert, geprüft und auditfähig dokumentiert werden.
TOMs sind kein Word-Dokument
Die Wirksamkeit zeigt sich in der Umsetzung: Konfigurationen, Protokolle, Tests, Rollen und Prozesse. Dokumentation ist Evidence – nicht Dekoration.
Technische Kategorien (mit Evidence-Beispielen)
- Zugriffskontrolle: MFA Policies, RBAC Rollenmatrix, Admin Trennung
- Weitergabekontrolle: TLS/mTLS, DLP Regeln, Mail-Gateway Policies
- Verfügbarkeitskontrolle: Backup-Konzept, Restore-Test, Monitoring SLAs
- Eingabekontrolle: Audit-Logs, Änderungsnachweise, Ticket/Change IDs
- Trennungsgebot: Mandanten/Umgebungen, VLAN/Zonen, separate Keys
Prüfpfade: Wie man TOMs testet
- Stichproben: Admin-Aktionen aus Logs + Ticket-Nachweis
- Restore-Test: definierter Datensatz → Wiederherstellung → Abnahme
- Rechteprüfung: Rolle X darf Y nicht (negative tests)
- Hardening Baseline: CIS Benchmark Abweichungen begründet
Audit-Set (Minimal)
- TOM-Matrix (Maßnahme → System → Owner → Evidence-Link)
- Änderungs-/Freigabeprozess (Change Policy)
- Log-Quellenliste + Aufbewahrungsfristen
- Backup/Recovery Nachweise + letzte Restore-Tests
- Vertrags-/AVV-Übersicht + Subprozessoren