August 2025

Die JOUO TOMs sind da!

TOMs Logo (Zahnrad mit einem Schloss) mit Konfetti drum herum

Mit der Abkürzung TOM sind die technischen und organisatorischen Maßnahmen gemeint, die Unternehmen nach mehreren Datenschutzgesetzen (z.B. der DSGVO) verpflichtet sind zu dokumentieren.

 

Was sind denn Maßnahmen und was muss geschützt werden?

Stell dir zwei Nachbarn vor: Frau Holle und den König. Was denkst du, wessen frisch gebackenen Kuchen du leichter klauen könntest? Frau Holle wohnt in einem kleinen Häuschen, dessen Tür immer offen ist und auch kein Schloss besitzt. Während der König in einer Burg sitzt mit Wachmännern, einer Zugbrücke und Schießscharten. Was gerade beschrieben wurde sind die Maßnahmen, die ergriffen wurden, um den noch warmen Kuchen zu schützen.

In deinem Unternehmen sind das personenbezogene Daten und interne Informationen, die geschützt werden müssen. Diese sind zum Beispiel auf dein Büro verteilt, das hoffentlich Zugangsbeschränkungen wie Schlüssel hat, oder auch auf die Server deiner Dienstleister wie z.B. deinen Webhosting- oder E-Mail-Anbieter. Jeder dieser IT-Anbieter hat aber nun wahrscheinlich verschiedene Maßnahmen, um die Sicherheit der Daten zu gewährleisten. Und das ist genau das, was alles in den TOMs dokumentiert werden muss. 

Dabei ist wichtig, dass alle Beteiligten von der Sicherung personenbezogener und interner Daten deines Unternehmens dokumentiert werden. Du kannst dir das so vorstellen, dass alle Finger, die beim Kuchen-Backen in den Teig gehalten wurden, dokumentiert werden, dass sie sauber waren, sonst ist der ganze Kuchen nicht mehr lecker.

 

Und was kann ich jetzt in JOUO machen?

JOUO bietet dir eine einfache Eingabemaske, um deine TOMs einzutragen, gestützt von allen möglichen Erklärungen rund um die TOMs. Und damit du dir nur einmal die Zeit nehmen musst, dein TOM anzulegen, kannst du es danach immer wieder duplizieren und nur das anpassen, was sich geändert hat.

Damit du einen Überblick hast, welche IT-Dienstleister du dokumentieren musst, zeigt dir JOUO durch dein Website Security Audit an, welche Dienstleister du in Anspruch nimmst.

Deine TOMs erhältst du von JOUO dann als ein übersichtliches, automatisch generiertes PDF zum Herunterladen.

 

Aber nicht nur das: Du bekommst noch deine Website Infrastruktur Dokumentation dazu!

 Zu jedem angelegten TOM erhältst du automatisch ein zusätzliches PDF, in dem alle Daten übersichtlich aufgeführt werden, die JOUO bei deinem Website Security Audit gefunden hat – deine zuverlässige und vollständige Website Infrastruktur Dokumentation. In dieser Dokumentation werden alle deine IP-Adressen aufgelistet. Zu jeder IP-Adressen werden der dazugehörige Dienstleister, alle Sicherheitslücken, die jeweiligen DNS-Daten (Typ und Wert) sowie die offenen Ports aufgeführt. Es werden auch IP-Adressen angezeigt von bspw. alten Testservern, die vergessen wurden, aber nach wie vor zur Website Infrastruktur gehören.

Die Dokumentation entspricht immer dem Datum, an dem das zugehörige TOM erstellt wurde und kann zusammen abgeheftet werden. 

Sie ist nicht nur sinnvoll, um den aktuellen Stand regelmäßig dokumentieren zu können, sondern auch rechtlich erforderlich (z.B. für die Rechenschaftspflicht nach DSGVO) und praktisch notwendig (z.B. für die Risikobewertung und Incident Response). Aber Achtung: Diese Dokumentationen enthalten kritische Sicherheitsinformationen, die ein Sicherheitsrisiko darstellen können, wenn sie in falsche Hände geraten. Daher sollten sie nicht mit Dritten geteilt werden, außer es wird aus nachvollziehbaren rechtlichen Gründen angefordert.