Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 10 min Lesezeit

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zur DSGVO-Praxis mit dokumentierten technischen und organisatorischen Maßnahmen, Risikoanalyse, Verantwortlichkeiten sowie vertraglich geregelter Auftragsverarbeitung nach Art. 28 DSGVO.

Wer im Mittelstand für IT und Datenschutz verantwortlich ist, kommt an zwei Pflichten nicht vorbei: technisch-organisatorische Maßnahmen (TOM) nachweisbar dokumentieren und für jeden externen Dienstleister mit Datenzugriff einen Auftragsverarbeitungsvertrag (AVV) abschließen. Diese Anleitung zeigt dir, wie du beides praxistauglich umsetzt: eine schlanke TOM-Vorlage nach Schutzzielen, die Entscheidung wann ein AVV nötig ist, die Pflichtinhalte nach Art. 28 als Checkliste und eine zentrale Übersichtsliste, mit der du bei einer Aufsichtsprüfung deine Rechenschaftspflicht belegst. Ziel ist kein Theorieblock, sondern eine Struktur, die du direkt für dein Unternehmen ausfüllen kannst.

Kurzfassung: Art. 32 DSGVO verlangt risikoangemessene TOM samt nachweisbarer Dokumentation und regelmäßigem Review. Gliedere deine TOM nach den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit und Überprüfungsverfahren. Sobald ein Dienstleister personenbezogene Daten weisungsgebunden für dich verarbeitet (Cloud, Lohnabrechnung, Newsletter-Tool, IT-Wartung mit Datenzugriff), brauchst du einen AVV nach Art. 28 mit den Pflichtinhalten lit. a–h und einer TOM-Anlage. Steuerberater, Anwälte, Banken und Inkasso sind eigene Verantwortliche – kein AVV. Führe alle AV-Verträge in einer zentralen Liste und plane ein jährliches Review.Voraussetzungen

Bevor du loslegst, sammle die folgenden Grundlagen. Sie ersparen dir doppelte Arbeit und sorgen dafür, dass TOM und AVV zueinander passen.

  1. Ein Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO – das ist die formale Pflichtdokumentation, an die du AVV-Liste und TOM anbindest.
  2. Eine vollständige Liste aller externen Dienstleister, die auf personenbezogene Daten zugreifen oder zugreifen könnten (auch IT-Wartung und Cloud-Tools).
  3. Überblick über deine eingesetzte IT: Server, Endgeräte, Cloud-Dienste, Backup-Lösung, Zutrittssituation der Räume.
  4. Eine festgelegte Person oder Rolle (z. B. Datenschutzkoordination oder externe DSB), die Dokumente pflegt und das jährliche Review verantwortet.
  5. Ein zentraler, zugriffsgeschützter Ablageort für TOM-Dokument, AVV und Übersichtsliste – verstreute Verträge in E-Mail-Postfächern sind ein häufiger Prüfungsbefund.

Schritt 1: Rechtsrahmen verstehen – was Art. 32 verlangt

Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau herzustellen. Maßstab ist ausdrücklich der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung und die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Es gibt also keinen festen Pflichtkatalog – du wählst risikobasiert aus und musst diese Auswahl begründen können.

Die Verordnung nennt vier Regelbeispiele, an denen du dich orientierst:

  1. lit. a – Pseudonymisierung und Verschlüsselung personenbezogener Daten.
  2. lit. b – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherstellen.
  3. lit. c – Fähigkeit, die Verfügbarkeit nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
  4. lit. d – ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

Wichtig ist lit. d: TOM sind kein Einmal-Dokument. Die Rechenschaftspflicht aus Art. 5 Abs. 2 verlangt, dass du Auswahl und Wirksamkeit nachhältst und an geänderte Risiken und den Stand der Technik anpasst. Verstöße gegen Art. 32 fallen unter den Bußgeldrahmen des Art. 83 Abs. 4 lit. a – bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Schritt 2: TOM nach Schutzzielen dokumentieren – die Vorlage

Für die Dokumentation haben sich zwei Gliederungen etabliert: nach den vier Schutzzielen der DSGVO oder nach den klassischen acht Kontrollen aus der Anlage zu § 9 BDSG-alt (die berühmten „acht Gebote der Datensicherheit“: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle). Beide sind als TOM-Anlage zum AVV weiterhin gängig. Wir nutzen hier die schutzzielorientierte Struktur und ordnen die klassischen Kontrollen darin ein.

Mindeststruktur für KMU

Formuliere jede Maßnahme konkret und überprüfbar – mit Werten statt Floskeln. „Wir nutzen sichere Systeme“ genügt der Nachweispflicht nicht; Prüfer erwarten Passwortlänge, Backup-Frequenz oder das Verschlüsselungsverfahren.

SchutzzielKontrolleBeispielhafte konkrete Maßnahmen

Vertraulichkeit

Zutrittskontrolle

Abschließbarer Serverschrank, elektronisches Schließsystem, Besucherregelung mit Begleitpflicht, Alarmanlage

Zugangskontrolle

Individuelle Benutzerkonten, Passwortrichtlinie mind. 12 Zeichen, MFA, automatische Bildschirmsperre nach 5 Min., Firewall, aktueller Virenschutz

Zugriffskontrolle

Need-to-know-Prinzip, rollenbasierte Berechtigungen, dokumentiertes Berechtigungskonzept, Datenträgervernichtung nach DIN/ISO IEC 21964

Trennungskontrolle

Mandantentrennung, getrennte Test- und Produktivumgebung

Verschlüsselung / Pseudonymisierung

TLS für Transport, Festplatten- und Geräteverschlüsselung, verschlüsselte Backups

Integrität

Eingabekontrolle

Protokollierung von Änderungen und Zugriffen, ausschließlich persönliche Accounts

Weitergabekontrolle

Verschlüsselter Transport und E-Mail, dokumentierte Übertragungswege, Datenschutzschulung der Mitarbeitenden

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Regelmäßige Backups plus getestetes Restore, USV, Monitoring, Notfall- und Wiederanlaufplan, Patch-Management

Verfahren zur Überprüfung

Datenschutzmanagement

Jährliches TOM-Review mit Datum, Prozess zur Datenpannen-Meldung nach Art. 33, dokumentierte Schulungsnachweise

Auftrag

Auftragskontrolle

AVV-Abschluss, dokumentierte Weisungen, Dienstleisterauswahl und -prüfung, regelmäßige Kontrolle

Wenn du eine noch feinere Orientierung brauchst, liefert § 64 BDSG (für Verarbeitungen zu Strafverfolgungszwecken) 14 Maßnahmenbereiche – darunter Datenträger-, Speicher-, Übertragungs- und Transportkontrolle sowie Zuverlässigkeit und Datenintegrität. Auch außerhalb des direkten Anwendungsbereichs kannst du diese Liste als Ideengeber für eine detaillierte TOM-Anlage nutzen.

Versieh das fertige TOM-Dokument mit Versionsnummer und Stand-Datum. So belegst du gegenüber der Aufsicht, dass die Maßnahmen aktuell und nicht generisch kopiert sind.

Schritt 3: Auftragsverarbeitung erkennen – brauchst du einen AVV?

Ein AVV nach Art. 28 ist nötig, sobald ein externer Dienstleister personenbezogene Daten weisungsgebunden in deinem Auftrag verarbeitet, ohne selbst über Zweck und wesentliche Mittel zu entscheiden – der Dienstleister ist dann dein „verlängerter Arm“. Entscheide pro Dienstleister anhand dieser Gegenüberstellung:

AVV nötig (Auftragsverarbeitung)Kein AVV (eigener Verantwortlicher)

Cloud-Speicher und Hosting

Steuerberater, Wirtschaftsprüfer (weisungsfrei, z. B. § 11 StBerG)

Externe Lohn- und Gehaltsabrechnung

Rechtsanwälte und andere Berufsgeheimnisträger

Newsletter- und E-Mail-Versanddienst

Banken

IT-Wartung und Support mit Datenzugriff

Inkassodienstleister

Aktenvernichtung, Scan- und Digitalisierungsdienst

Reinigungsfirmen, Druckereien, Copyshops (sofern Datenzugriff nur unvermeidliches Beiwerk ist)

Callcenter ohne eigenen Entscheidungsspielraum

Bei den eigenen Verantwortlichen rechts wäre ein AVV nach Art. 28 sachlich falsch – diese Stellen handeln eigenständig und weisungsfrei. Hier brauchst du gegebenenfalls eine eigene Rechtsgrundlage oder eine andere Vereinbarung, aber keinen AVV.

Schritt 4: AVV abschließen – die Pflichtinhalte als Checkliste

Der AVV muss schriftlich abgefasst werden, was nach Art. 28 Abs. 9 auch in elektronischer Form erfolgen kann – ein per PDF oder Online-Annahme akzeptierter Anbieter-AVV genügt. Wichtig: Bei Standard-Cloud-Diensten musst du den vom Anbieter bereitgestellten AVV aktiv abschließen und dokumentieren; die bloßen AGB reichen nicht. Prüfe jeden AVV gegen diese Checkliste nach Art. 28 Abs. 3:

[ ] Gegenstand, Dauer, Art und Zweck der Verarbeitung benannt
[ ] Art der personenbezogenen Daten + Kategorien betroffener Personen
[ ] lit. a  Verarbeitung nur auf dokumentierte Weisung
[ ] lit. b  Vertraulichkeitsverpflichtung der befugten Personen
[ ] lit. c  Massnahmen nach Art. 32 (TOM als Anlage beigefuegt)
[ ] lit. d  Regelung der Unterauftragsverarbeiter
[ ] lit. e  Unterstuetzung bei Betroffenenrechten (Art. 12-23)
[ ] lit. f  Unterstuetzung bei Art. 32-36 (Datenpannen, DSFA)
[ ] lit. g  Loeschung oder Rueckgabe der Daten nach Auftragsende
[ ] lit. h  Bereitstellung von Nachweisen + Audit-/Inspektionsrecht
[ ] Form: schriftlich oder elektronisch (Art. 28 Abs. 9) erfuellt

Fehlt die TOM-Anlage oder ist sie nicht risikoangemessen, ist der AVV nach lit. c unvollständig. Fordere die TOM des Auftragsverarbeiters aktiv an und prüfe, ob sie zu deiner Risikolage passen.

Schritt 5: Unterauftragsverarbeiter und Drittlandtransfer prüfen

Setzt dein Dienstleister selbst Subdienstleister ein (z. B. einen Hyperscaler hinter einem SaaS-Tool), greift Art. 28 Abs. 2. Es gibt zwei zulässige Wege:

  1. Spezifische Genehmigung: vorherige gesonderte schriftliche Genehmigung für jeden einzelnen Sub-Auftragsverarbeiter.
  2. Allgemeine Genehmigung: der Dienstleister muss jede beabsichtigte Änderung mitteilen und dir ein Widerspruchsrecht einräumen.

In beiden Fällen muss der Sub-Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegt bekommen (Abs. 4), und der Haupt-Auftragsverarbeiter haftet für seinen Sub-Auftragsverarbeiter. Übersiehst du diese Kette, trägst du als Verantwortlicher das Haftungsrisiko.

Liegen Server oder Sub-Auftragsverarbeiter außerhalb der EU oder des EWR, reicht ein AVV allein nicht. Dann brauchst du zusätzlich Garantien nach Kapitel V DSGVO – etwa EU-Standardvertragsklauseln (SCC) oder einen Angemessenheitsbeschluss wie das EU-US Data Privacy Framework. Halte den Transfermechanismus in deiner Übersicht fest.

Schritt 6: Zentrale AVV-Übersichtsliste führen

Art. 28 schreibt keine eigene Listenpflicht vor, doch eine zentrale Übersicht aller AV-Verträge ist Best Practice und oft entscheidend für den Nachweis der Rechenschaftspflicht. Verknüpfe sie mit dem Verzeichnis der Verarbeitungstätigkeiten nach Art. 30. Eine bewährte Spaltenstruktur:

SpalteInhalt / Beispiel

Dienstleister / Verantwortlicher

Name und Sitz des Anbieters

Leistung / Verarbeitungstätigkeit

z. B. Hosting, Lohnabrechnung, Newsletter-Versand

Datenarten

z. B. Stammdaten, Kontaktdaten, Abrechnungsdaten

Kategorien Betroffener

z. B. Beschäftigte, Kunden, Interessenten

Drittlandtransfer

ja/nein – Garantie z. B. SCC oder DPF

Unterauftragsverarbeiter

Genehmigungsart (spezifisch / allgemein)

AVV abgeschlossen

ja/nein

Datum / Version

Abschlussdatum, Vertragsversion

Nächste Prüfung

Wiedervorlage-Datum

Ansprechpartner

Kontakt beim Dienstleister

Die kompakte Praxis-Schrittfolge für KMU sieht damit so aus:

  1. Alle externen Dienstleister mit Zugriff auf personenbezogene Daten erfassen.
  2. Pro Dienstleister prüfen: Auftragsverarbeitung (weisungsgebunden) oder eigener Verantwortlicher?
  3. Für jede Auftragsverarbeitung den AVV abschließen – Anbieter-AVV prüfen, TOM-Anlage anfordern, Sub-Auftragsverarbeiter-Liste kontrollieren.
  4. AVV und TOM in der zentralen Übersichtsliste erfassen.
  5. Eigene TOM nach Schutzzielen dokumentieren und mit Datum versehen.
  6. Jährliches Review von TOM und AVV-Liste terminieren (Art. 32 Abs. 1 lit. d).

Typische Fehler

  1. AVV mit Berufsgeheimnisträgern abschließen: Steuerberater, Anwälte, Banken und Inkasso sind eigene Verantwortliche. Ein Art.-28-AVV ist hier falsch; nötig ist gegebenenfalls eine eigene Rechtsgrundlage.
  2. TOM nur einmal erstellen und nie aktualisieren: Art. 32 Abs. 1 lit. d fordert ein regelmäßiges Überprüfungsverfahren. Veraltete oder generische Copy-Paste-TOM ohne Bezug zur echten IT sind ein klassischer Prüfungsmangel.
  3. Unterauftragsverarbeiter übersehen: Bei allgemeiner Genehmigung musst du Änderungsmeldung und Widerspruchsrecht erhalten; Sub-Auftragsverarbeiter müssen mit denselben Pflichten gebunden sein.
  4. Drittlandtransfer vergessen: Bei Servern oder Sub-Auftragsverarbeitern außerhalb der EU/des EWR sind zusätzliche Garantien nach Kapitel V nötig – der reine AVV reicht nicht.
  5. TOM-Anlage fehlt oder ist nicht risikoangemessen: Ohne konkrete, geprüft passende TOM des Auftragsverarbeiters ist der AVV nach Art. 28 Abs. 3 lit. c unvollständig.
  6. AVV nur mündlich oder per Handschlag: Art. 28 Abs. 9 verlangt mindestens elektronische Form. Bei Cloud-Diensten den Anbieter-AVV aktiv abschließen und dokumentieren.
  7. Keine zentrale Übersicht: Ohne Liste lässt sich die Rechenschaftspflicht bei einer Prüfung kaum belegen.
  8. TOM zu vage formulieren: Allgemeine Floskeln genügen nicht – nenne konkrete Werte wie Passwortlänge, Backup-Frequenz oder Verschlüsselungsverfahren.

Häufige Fragen

Muss ein AVV unterschrieben sein?

Nein. Art. 28 Abs. 9 verlangt Schriftform, die auch elektronisch erfolgen darf. Ein als PDF abgeschlossener oder über eine Online-Annahme akzeptierter Anbieter-AVV genügt – wichtig ist, dass du den Abschluss dokumentierst und nicht nur die AGB akzeptierst.

Brauche ich für meinen Steuerberater einen AVV?

Nein. Steuerberater handeln weisungsfrei und eigenverantwortlich (z. B. nach § 11 StBerG) und sind damit eigene Verantwortliche, keine Auftragsverarbeiter. Gleiches gilt für Anwälte, Banken und Inkassodienstleister. Ein AVV nach Art. 28 wäre hier sachlich falsch.

Wie ausführlich müssen TOM sein?

So ausführlich, dass die Maßnahmen konkret und überprüfbar sind und zur tatsächlichen Risikolage passen. Ein KMU-Mindestumfang deckt alle Schutzziele mit benannten Werten ab – etwa Passwortlänge, MFA, Backup-Frequenz mit getestetem Restore und Verschlüsselungsverfahren. Maßstab bleibt der risikobasierte Ansatz aus Art. 32 Abs. 1.

Was passiert ohne AVV oder ohne TOM?

Ein fehlender AVV verstößt gegen Art. 28, fehlende oder unzureichende TOM gegen Art. 32. Beides fällt unter Art. 83 Abs. 4 lit. a mit Bußgeldern bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes. Schwerere Verstöße – etwa gegen die Verarbeitungsgrundsätze – reichen nach Art. 83 Abs. 5 bis 20 Mio. Euro oder 4 Prozent.

Wie oft sollte ich TOM und AVV-Liste überprüfen?

Mindestens jährlich, zusätzlich anlassbezogen bei neuen Dienstleistern, geänderten Risiken oder neuen Systemen. Art. 32 Abs. 1 lit. d fordert ein Verfahren zur regelmäßigen Überprüfung. Terminiere das Review fest und halte das Prüfdatum im TOM-Dokument und in der Übersichtsliste fest.

Reicht der vom Cloud-Anbieter bereitgestellte AVV aus?

Oft ja, aber prüfe ihn aktiv: Sind alle Pflichtinhalte aus Art. 28 Abs. 3 lit. a–h enthalten, liegt eine passende TOM-Anlage bei, ist die Sub-Auftragsverarbeiter-Regelung klar und sind Drittlandtransfers mit Garantien nach Kapitel V abgesichert? Schließe ihn ausdrücklich ab und dokumentiere das.

Fazit

DSGVO-Konformität bei TOM und Auftragsverarbeitung ist im Mittelstand vor allem eine Frage der Struktur, nicht des Aufwands. Dokumentiere deine TOM konkret nach Schutzzielen mit überprüfbaren Werten und Stand-Datum, entscheide für jeden Dienstleister sauber zwischen Auftragsverarbeitung und eigenem Verantwortlichen, schließe für jede Auftragsverarbeitung einen vollständigen AVV mit TOM-Anlage ab und führe alles in einer zentralen Übersichtsliste. Mit einem fest terminierten jährlichen Review erfüllst du die Rechenschaftspflicht und bist für eine Aufsichtsprüfung vorbereitet.

Weiterführende Anleitungen und Quellen

  1. DSGVO-Löschkonzept erstellen – ergänzt die TOM-Dokumentation um klare Löschfristen und Prozesse.
  2. Ransomware-Notfallplan: die ersten 60 Minuten – passt zur Verfügbarkeitskontrolle und zum Wiederanlaufplan deiner TOM.
  3. Weitere Anleitungen aus der Kategorie Sicherheit

Quellen: Art. 32 DSGVO (Sicherheit der Verarbeitung) und Art. 28 DSGVO (Auftragsverarbeiter) auf dsgvo-gesetz.de; FAQ Auftragsverarbeitung der Landesbeauftragten für den Datenschutz Niedersachsen; AVV-Muster nach Art. 28 Abs. 3 DS-GVO des LfDI Baden-Württemberg. Dieser Beitrag ersetzt keine Rechtsberatung.

Verwandt

Weiter lesen

Alle Artikel →
Symbolbild für VPS-Absicherung: Vorhängeschloss vor einem Server als Sinnbild für Firewall, SSH-Keys und Brute-Force-Schutz
02.06.2026 ·11 min

Linux-Server absichern: UFW-Firewall und Fail2ban

Härte deinen Debian-12- oder Ubuntu-24.04-Server mit UFW und Fail2ban ab: Firewall-Regeln richtig setzen, Brute-Force-Angriffe automatisch sperren und den gefürchteten SSH-Lockout vermeiden.
Infografik zu einem datensicheren Löschkonzept nach DSGVO, mit Datenarten, Löschfristen, Verantwortlichkeiten, Speicherorten, Backups und dokumentierter Löschung personenbezogener Daten.
02.06.2026 ·11 min

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.
Mitarbeiterin prüft am Laptop eine verdächtige E-Mail vor dem Melden
02.06.2026 ·8 min

Phishing erkennen und melden – Kurzleitfaden fürs Team

Dieser Kurzleitfaden zum Thema Phishing erkennen und melden ist zum Weitergeben an dein Team gedacht: klare Merkmale, echte Beispiele wie CEO-Fraud und Fake-Login, ein definierter Meldeweg und die richtigen Sofortmaßnahmen nach einem Klick.