TOM-Anhang

Ausführliche Erklärung

Der TOM-Anhang dokumentiert im Detail, welche Sicherheitsmaßnahmen ein Auftragsverarbeiter zum Schutz personenbezogener Daten getroffen hat. Die DSGVO schreibt vor, dass diese Maßnahmen nicht bloß im Hauptvertrag erwähnt, sondern in einem separaten Anhang konkret beschrieben werden müssen. Ein pauschaler Verweis auf "angemessene Maßnahmen" oder eine bloße URL zu einer allgemeinen Sicherheitsseite genügt nicht. Der Anhang muss spezifisch benennen, welche Verschlüsselung eingesetzt wird, wie Zugriffskontrollen funktionieren oder wie Backups erstellt werden.

Besonders wichtig ist das Versionsdatum des TOM-Anhangs. Da sich Sicherheitsmaßnahmen im Lauf der Zeit ändern – etwa durch neue Software, geänderte Prozesse oder zusätzliche Schutzmaßnahmen – muss nachvollziehbar sein, welcher Stand der Maßnahmen zum Zeitpunkt des Vertragsabschlusses galt. Ohne Versionsdatum ist im Streitfall nicht feststellbar, welche Vereinbarung tatsächlich gegolten hat. Best Practice ist daher ein Anhang mit eindeutigem Datum und Versionsnummer, der bei wesentlichen Änderungen aktualisiert und dem Verantwortlichen zur Kenntnis gebracht wird.

Der TOM-Anhang ist nicht nur Formsache, sondern ein zentrales Kontrollinstrument. Er ermöglicht dem Verantwortlichen die Prüfung, ob der Auftragsverarbeiter ein dem Risiko angemessenes Schutzniveau bietet. Datenschutzbehörden prüfen bei Kontrollen regelmäßig, ob TOM-Anhänge vorhanden, konkret und aktuell sind. Fehlt der Anhang oder ist er veraltet, kann dies als Verstoß gegen Art. 28 DSGVO gewertet werden.

Die Dokumentation der TOMs dient auch der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Im Falle einer Datenpanne oder bei Behördenanfragen muss der Verantwortliche nachweisen können, dass er nur mit Auftragsverarbeitern zusammenarbeitet, die angemessene Sicherheitsmaßnahmen umsetzen. Ein sauber geführter TOM-Anhang ist hierfür essentiell.