TOM-Dokumentation nach DSGVO für Einzelunternehmer

👋 Willkommen zur TOM-Dokumentation

Diese Anwendung hilft Ihnen, alle erforderlichen technisch-organisatorischen Maßnahmen (TOM) nach Art. 25 und 32 DSGVO zu dokumentieren. Die Dokumentation ist speziell auf die Bedürfnisse von Einzelunternehmern zugeschnitten.

Unternehmensname *

Branche *

🏢

1. Zutrittskontrolle (Schutz der Geschäftsräume)

Wie schützen Sie Ihre Geschäftsräume vor unbefugtem Zutritt?

Was bedeutet das?

Maßnahmen, die verhindern, dass Unbefugte physischen Zugang zu Räumen erhalten, in denen personenbezogene Daten verarbeitet werden.

Homeoffice mit abschließbarem Arbeitszimmer

Zugang nur mit Schlüssel zur Wohnung/Haus

Coworking Space mit Zugangskarte/Code

Alarmanlage vorhanden

Videoüberwachung am Eingang

Keine festen Geschäftsräume (100% mobil)

Eigene Beschreibung

Beispiele: IT-Berater im Homeoffice: abschließbares Arbeitszimmer | Steuerberater: Büro mit Schließanlage | Online-Shop: Lager mit Zugangscode

🗄️

2. Zutrittskontrolle (Sicherung von Unterlagen/Datenträgern)

Wie sichern Sie physische Unterlagen und Datenträger?

Was bedeutet das?

Schutz von Akten, USB-Sticks, Festplatten und anderen physischen Datenträgern vor unbefugtem Zugriff.

Abschließbarer Aktenschrank

Safe/Tresor für besonders sensible Unterlagen

Verschlossene Schreibtischschubladen

Clean-Desk-Policy (aufgeräumter Arbeitsplatz)

Aktenvernichter mit Sicherheitsstufe P-4 oder höher

Digitale Ablage statt Papier (papierlos)

Eigene Beschreibung

Beispiele: Grafiker: Verschlossener Schrank für Kundenunterlagen | Heilpraktiker: Patientenakten im Safe | Online-Shop: Versandunterlagen im Aktenschrank

💻

3. Zugangskontrolle (IT-Systeme)

Wie schützen Sie den Zugang zu Ihren IT-Systemen?

Was bedeutet das?

Maßnahmen, die verhindern, dass Unbefugte Ihre Computer, Smartphones oder Software nutzen können.

Starke Passwörter (mind. 12 Zeichen, komplex)

Zwei-Faktor-Authentifizierung aktiviert

Automatische Bildschirmsperre nach Inaktivität

Biometrische Authentifizierung (Fingerabdruck/Face-ID)

Passwort-Manager zur sicheren Verwaltung

Regelmäßiger Passwortwechsel (alle 90 Tage)

Eigene Beschreibung

Beispiele: IT-Berater: 2FA für alle Cloud-Dienste | Steuerberater: DATEV mit SmartCard | Fotograf: MacBook mit Touch-ID

👥

4. Zugangskontrolle (Benutzerrechte)

Wie verwalten Sie Benutzerrechte und Zugänge?

Was bedeutet das?

Verwaltung von Zugriffsrechten für verschiedene Nutzer oder Rollen in Ihren Systemen.

Nur ich habe Zugang (Einzelunternehmer)

Getrennte Accounts für private/geschäftliche Nutzung

Virtuelle Assistenz mit eingeschränkten Rechten

Steuerberater hat separaten Zugang zu Buchhaltung

Temporäre Zugänge für Freelancer/Dienstleister

Dokumentation aller vergebenen Zugänge

Eigene Beschreibung

Beispiele: Blogger: Redakteur-Zugang für Gastautoren | E-Commerce: Shop-Admin nur für mich | Berater: Kunde hat Lesezugriff auf Projektordner

🔐

5. Zugriffskontrolle (Datenzugriff)

Wie kontrollieren Sie den Zugriff auf spezifische Daten?

Was bedeutet das?

Sicherstellung, dass nur berechtigte Personen auf bestimmte Daten zugreifen können.

Verschlüsselte Festplatten/SSDs

Passwortgeschützte Dateien für sensible Daten

Ordnerstruktur mit Zugriffsrechten

Cloud-Speicher mit Verschlüsselung

Separate Datenbanken für verschiedene Mandanten

VPN für Fernzugriff auf Firmendaten

Eigene Beschreibung

Beispiele: Coach: Verschlüsselte Notizen zu Klienten | Webdesigner: Kundenprojekte in getrennten Ordnern | Übersetzer: Passwortgeschützte Übersetzungsdateien

📡

6. Übertragungskontrolle (sichere Datenübertragung)

Wie stellen Sie sichere Datenübertragungen sicher?

Was bedeutet das?

Schutz von Daten während der Übertragung per E-Mail, Upload oder anderen Kommunikationswegen.

E-Mail-Verschlüsselung (S/MIME oder PGP)

Sichere Cloud-Dienste mit Ende-zu-Ende-Verschlüsselung

HTTPS/SSL für alle Webseiten und Portale

Passwortgeschützte ZIP-Dateien für sensible Anhänge

WeTransfer Pro oder ähnliche sichere Transferdienste

Messenger mit Verschlüsselung (Signal, Threema)

Eigene Beschreibung

Beispiele: Anwalt: E-Mail-Verschlüsselung für Mandantenkommunikation | Fotograf: WeTransfer für große Bilddateien | Berater: Teams mit Verschlüsselung

📝

7. Eingabekontrolle (Nachvollziehbarkeit)

Wie dokumentieren Sie, wer wann welche Daten eingegeben oder geändert hat?

Was bedeutet das?

Protokollierung und Nachvollziehbarkeit von Dateneingaben und -änderungen.

Automatische Protokollierung in Software/CRM

Versionierung von Dokumenten

Änderungshistorie in Cloud-Speichern

Manuelle Dokumentation wichtiger Änderungen

Zeitstempel bei allen Einträgen

Backup vor wichtigen Änderungen

Eigene Beschreibung

Beispiele: Buchhalter: DATEV protokolliert alle Buchungen | Makler: CRM zeigt Änderungshistorie | Shop: WooCommerce Log-Dateien

🔄

8. Weitergabekontrolle (Datenweitergabe)

Wie kontrollieren Sie die Weitergabe von Daten an Dritte?

Was bedeutet das?

Kontrolle und Dokumentation, an wen Daten weitergegeben werden und zu welchem Zweck.

Schriftliche Einwilligung vor Datenweitergabe

Auftragsverarbeitungsverträge (AVV) mit Dienstleistern

Dokumentation aller Datenempfänger

Keine Weitergabe ohne Rechtsgrundlage

Anonymisierung vor Weitergabe

Protokollierung jeder Datenweitergabe

Eigene Beschreibung

Beispiele: Coach: AVV mit Zoom für Videosessions | Händler: AVV mit Versanddienstleister | Berater: Einwilligung für Referenzen

💾

9. Verfügbarkeitskontrolle (Datenverlust-Schutz)

Wie schützen Sie sich vor Datenverlust?

Was bedeutet das?

Maßnahmen gegen Datenverlust durch technische Defekte, Fehler oder Katastrophen.

Tägliche automatische Backups

Cloud-Backup zusätzlich zu lokaler Sicherung

Externe Festplatte für Backups

RAID-System für Redundanz

Unterbrechungsfreie Stromversorgung (USV)

Regelmäßige Wiederherstellungstests

Eigene Beschreibung

Beispiele: Programmierer: Git + Cloud-Backup | Fotograf: NAS + Backblaze | Texter: Google Drive + externe HDD

🔀

10. Trennungskontrolle (Zwecktrennung)

Wie trennen Sie Daten nach verschiedenen Zwecken?

Was bedeutet das?

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.

Getrennte Datenbanken/Ordner für verschiedene Projekte

Separate E-Mail-Konten für verschiedene Zwecke

Mandantentrennung in Software

Trennung von Test- und Produktivdaten

Getrennte Verarbeitung Marketing/Kundendaten

Physische Trennung (verschiedene Geräte)

Eigene Beschreibung

Beispiele: Berater: Separate Projektordner | Arzt: Getrennte Patientenverwaltung | Shop: Newsletter getrennt von Bestelldaten

✅

11. Integrität und Authentizität

Wie stellen Sie sicher, dass Daten unverfälscht und authentisch sind?

Was bedeutet das?

Schutz vor unbemerkter Veränderung von Daten und Sicherstellung der Echtheit.

Digitale Signaturen für wichtige Dokumente

Prüfsummen für Dateiintegrität

Schreibschutz für finale Dokumente

Versionskontrolle mit Git oder ähnlich

PDF/A für Langzeitarchivierung

Blockchain für kritische Nachweise

Eigene Beschreibung

Beispiele: Notar: Digitale Signatur für Urkunden | Entwickler: Git für Code-Historie | Gutachter: PDF/A für Archivierung

🎭

12. Pseudonymisierung

Wie anonymisieren oder pseudonymisieren Sie personenbezogene Daten?

Was bedeutet das?

Verarbeitung von Daten so, dass sie ohne Zusatzinformationen nicht mehr einer Person zugeordnet werden können.

Kundennummern statt Namen in Analysen

Anonymisierte Fallstudien/Referenzen

Trennung von Identifikations- und Inhaltsdaten

Verschlüsselte IDs in Datenbanken

Aggregierte Daten für Berichte

Datensparsamkeit als Grundprinzip

Eigene Beschreibung

Beispiele: Marktforscher: Teilnehmer-IDs statt Namen | Therapeut: Fallnummern in Notizen | Blogger: Anonyme Nutzerdaten

🛡️

13. Belastbarkeit und Resilienz

Wie gewährleisten Sie die Widerstandsfähigkeit Ihrer Systeme?

Was bedeutet das?

Fähigkeit der Systeme, auch unter Belastung oder bei Angriffen funktionsfähig zu bleiben.

Aktuelle Antivirensoftware

Firewall aktiviert und konfiguriert

Regelmäßige Sicherheitsupdates

DDoS-Schutz für Webseiten

Notfallplan für Cyberangriffe

Redundante Internetverbindung

Eigene Beschreibung

Beispiele: Online-Shop: Cloudflare DDoS-Schutz | IT-Berater: Penetrationstests | Blogger: WordPress-Sicherheitsplugins

🗑️

14. Löschungskontrolle

Wie stellen Sie die ordnungsgemäße Löschung von Daten sicher?

Was bedeutet das?

Prozesse zur fristgerechten und vollständigen Löschung von Daten nach Ablauf der Speicherfrist.

Löschkonzept mit definierten Fristen

Automatische Löschung nach Ablauf

Sichere Löschung (mehrfaches Überschreiben)

Dokumentation aller Löschvorgänge

Physische Vernichtung von Datenträgern

Löschung auch in Backups

Eigene Beschreibung

Beispiele: Buchhalter: 10 Jahre Aufbewahrung, dann Löschung | Coach: Notizen nach Therapieende löschen | Shop: Kundendaten nach 3 Jahren

🔍

15. Überprüfung und Evaluierung (Art. 32 Abs. 1 lit. d)

Wie überprüfen Sie regelmäßig Ihre Datenschutzmaßnahmen?

Was bedeutet das?

Regelmäßige Überprüfung und Bewertung der Wirksamkeit aller technischen und organisatorischen Maßnahmen.

Jährliche Überprüfung aller TOM

Quartalsweise Security-Checks

Penetrationstests durch Experten

Dokumentation aller Prüfungen

Anpassung bei neuen Risiken

Schulungen zu Datenschutz-Updates

Eigene Beschreibung

Beispiele: IT-Freelancer: Monatliche Update-Checks | Berater: Jährliches Datenschutz-Audit | Shop: Quartalsweise Sicherheitsüberprüfung

🏗️

16. Privacy by Design & Default (Art. 25)

Wie integrieren Sie Datenschutz von Anfang an?

Was bedeutet das?

Datenschutz wird bereits bei der Planung berücksichtigt und datenschutzfreundliche Voreinstellungen sind Standard.

Datensparsamkeit als Grundprinzip

Opt-in statt Opt-out bei Einwilligungen

Datenschutzfreundliche Voreinstellungen

Datenschutz-Folgenabschätzung bei neuen Prozessen

Verschlüsselung als Standard

Minimale Berechtigungen für neue Nutzer

Eigene Beschreibung

Beispiele: App-Entwickler: Minimale App-Berechtigungen | Newsletter: Double-Opt-In | Webseite: Cookie-Banner mit Opt-In

📋

17. Auftragskontrolle

Wie kontrollieren Sie Auftragsverarbeiter?

Was bedeutet das?

Kontrolle von Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten.

AVV mit allen Auftragsverarbeitern

Prüfung der TOM beim Dienstleister

Liste aller Auftragsverarbeiter

Regelmäßige Kontrolle der Dienstleister

Weisungsrecht vertraglich gesichert

Auswahl nur zertifizierter Anbieter

Eigene Beschreibung

Beispiele: Online-Shop: AVV mit Versanddienstleister | Berater: AVV mit Cloud-Anbieter | Fotograf: AVV mit Druckerei

Bereitgestellt von www.tomgenerator.de

⚖️ Wichtiger Hinweis

Diese Dokumentation dient als Nachweis Ihrer technisch-organisatorischen Maßnahmen nach DSGVO. Sie ersetzt keine Rechtsberatung. Bitte lassen Sie Ihre Maßnahmen regelmäßig von einem Datenschutzexperten überprüfen.

🛡️ TOM-Dokumentation nach DSGVO

👋 Willkommen zur TOM-Dokumentation

1. Zutrittskontrolle (Schutz der Geschäftsräume)

Was bedeutet das?

2. Zutrittskontrolle (Sicherung von Unterlagen/Datenträgern)

Was bedeutet das?

3. Zugangskontrolle (IT-Systeme)

Was bedeutet das?

4. Zugangskontrolle (Benutzerrechte)

Was bedeutet das?

5. Zugriffskontrolle (Datenzugriff)

Was bedeutet das?

6. Übertragungskontrolle (sichere Datenübertragung)

Was bedeutet das?

7. Eingabekontrolle (Nachvollziehbarkeit)

Was bedeutet das?

8. Weitergabekontrolle (Datenweitergabe)

Was bedeutet das?

9. Verfügbarkeitskontrolle (Datenverlust-Schutz)

Was bedeutet das?

10. Trennungskontrolle (Zwecktrennung)

Was bedeutet das?

11. Integrität und Authentizität

Was bedeutet das?

12. Pseudonymisierung

Was bedeutet das?

13. Belastbarkeit und Resilienz

Was bedeutet das?

14. Löschungskontrolle

Was bedeutet das?

15. Überprüfung und Evaluierung (Art. 32 Abs. 1 lit. d)

Was bedeutet das?

16. Privacy by Design & Default (Art. 25)

Was bedeutet das?

17. Auftragskontrolle

Was bedeutet das?

Bereitgestellt von www.tomgenerator.de

⚖️ Wichtiger Hinweis