Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Technische- und Organisatorische Massnahmen (TOMs)

Die Ansicht „Technische und Organisatorische Maßnahmen (TOMs)" ist das zentrale Register, in dem Datenschutzbeauftragte, Compliance-Manager und Risikomanager alle umgesetzten Schutzmaßnahmen für personenbezogene Daten dokumentieren, überwachen und regelmäßig überprüfen – als einheitliche, nachweisgestützte Quelle für die Compliance nach Art. 32 DSGVO.

Das TOMs-Modul ist der Ort, an dem Ihre Organisation das vollständige Inventar aller Datenschutzmaßnahmen führt. Eine TOM (Technische und Organisatorische Maßnahme) kann alles sein – von der AES-256-Verschlüsselung einer Kundendatenbank bis hin zu einem verpflichtenden Mitarbeiterschulungsprogramm zum Thema Datenschutz. Art. 32 DSGVO – und vergleichbare Datenschutzvorschriften – verlangen nicht nur, dass geeignete Maßnahmen vorhanden sind, sondern auch, dass diese aktiv gepflegt und regelmäßig überprüft werden. Dieses Register liefert genau diesen Nachweis. DSBs und Compliance-Verantwortliche bauen das Register typischerweise im Rahmen einer erstmaligen Datenmapping-Übung auf; Risikomanager und IT-Administratoren kehren immer dann zurück, wenn sich Assets, Risiken oder Verarbeitungstätigkeiten ändern; Prüfer nutzen es, um die Maßnahmenabdeckung vor externen Audits zu überprüfen.

So öffnen Sie die Ansicht

Klicken Sie in der linken Seitenleiste auf Controls und dann auf Controls & TOMs. Das Modul öffnet sich unter /toms.

Sie benötigen mindestens die Leseberechtigung für Controls & TOMs, um den Menüeintrag überhaupt zu sehen. Nutzer, die nur ihnen zugewiesene Datensätze lesen dürfen, sehen dieselbe Ansicht, jedoch mit einem eingeschränkten Datensatz. Nutzer ohne jegliche Leseberechtigung werden auf eine Seite mit dem Hinweis „Zugriff verweigert" weitergeleitet, und der Menüeintrag ist für sie ausgeblendet.

Was Sie sehen

Die Ansicht öffnet sich als vollbreite Liste. Über der Tabelle befindet sich eine Reihe von Statusfilter-TabsAlle, Aktiv, Entwurf, Inaktiv und Überprüfung –, mit denen Sie die Liste sofort filtern können, ohne eine Suche eingeben zu müssen. Rechts davon befinden sich die Schaltfläche Erstellen und, sofern Ihre Berechtigungen es erlauben, kleine Export-Schaltflächen für JSON und XLSX.

Darunter listet die Tabelle alle TOMs mit den Spalten Name, Typ, Bereich, Standard und Reifegrad auf. Die Spalte „Name" ist sortierbar. Beim Darüberfahren mit der Maus erscheint am rechten Rand jeder Zeile ein Drei-Punkte-Aktionsmenü.

Wenn Sie auf eine Zeile klicken, öffnet sich die Detailansicht. Diese ist in zwei Bereiche aufgeteilt: ein schmales Elementmenü auf der linken Seite, das alle verfügbaren Tabs für diese TOM auflistet, und ein breiter Inhaltsbereich auf der rechten Seite. Eine fixierte Leiste oben im Inhaltsbereich zeigt jederzeit die verantwortliche Person und den aktuellen Status der TOM – unabhängig davon, wie weit Sie nach unten scrollen.

So arbeiten Sie mit dieser Ansicht

Eine neue TOM zum ersten Mal anlegen

Wenn Sie eine neue Maßnahme erfassen möchten – etwa eine gerade implementierte Verschlüsselungslösung –, öffnen Sie die TOMs-Liste und klicken auf Erstellen. Ein kleines Dropdown öffnet sich; wählen Sie TOM erstellen. Das Erstellungsformular wird geladen.

Oben im Formular können Sie sofort den Status festlegen (zum Beispiel Aktiv, wenn die Maßnahme bereits umgesetzt ist, oder Entwurf, wenn Sie noch dabei sind, sie zu dokumentieren) und eine Verantwortliche Person zuweisen – also die Kollegin oder den Kollegen, der für die Aktualität dieser Maßnahme zuständig ist.

Füllen Sie anschließend die Felder aus. Das einzige Pflichtfeld ist Name, aber je mehr Felder Sie befüllen, desto aussagekräftiger wird das Register für Audits und Berichte:

  • Vergeben Sie einen klaren, beschreibenden Namen, z. B. „Verschlüsselung im Ruhezustand – Kundendatenbank".
  • Wählen Sie den Typ – entweder Technische Maßnahme oder Organisatorische Maßnahme – um bei Filtern und Berichten differenzieren zu können.
  • Wählen Sie einen Bereich wie Vertraulichkeit, Integrität oder Verfügbarkeit, um die Maßnahme der richtigen Sicherheitskategorie zuzuordnen.
  • Wählen Sie den zugehörigen Standard (ISO 27001, NIST, SOC 2 usw.), damit Prüfer die Maßnahme ihrem Rahmenwerk zuordnen können.
  • Fügen Sie eine oder mehrere Klassifikationen hinzu (z. B. „Verschlüsselung" oder „Zugriffskontrolle"). Falls ein Tag noch nicht vorhanden ist, tippen Sie ihn einfach ein und drücken Sie Enter, um ihn neu zu erstellen – er steht dann für alle künftigen TOMs zur Verfügung.
  • Verfassen Sie eine ausführliche Beschreibung, die erklärt, was die Maßnahme bewirkt und wie sie umgesetzt ist. Das ist Ihr primärer Nachweistext.

Wenn Sie fertig sind, klicken Sie oben auf Speichern. DPMS legt die TOM an, aktualisiert sofort alle TOM-Auswahlfelder im Asset-Register, in den Risikoregister-Szenarien und in allen anderen Modulen, die auf Controls verweisen, und leitet Sie zur Detailansicht der neuen TOM auf dem Reiter „Allgemein" weiter.

Eine bestehende TOM aktualisieren

Öffnen Sie die TOM aus der Liste, indem Sie auf die entsprechende Zeile klicken. Auf dem Reiter Allgemein sehen Sie die Felder der TOM in einem übersichtlichen, zweispaltigen Nur-Lese-Raster. Um Änderungen vorzunehmen, klicken Sie auf die Schaltfläche Bearbeiten oben rechts in der Karte. Das Bearbeitungsformular öffnet sich mit denselben Feldern wie das Erstellungsformular; ändern Sie, was Sie benötigen, und klicken Sie auf Speichern.

Für eine schnelle Korrektur – etwa das Beheben eines Tippfehlers in einer langen Beschreibung – müssen Sie nicht das vollständige Bearbeitungsformular öffnen. Wenn Sie über Bearbeitungsrechte verfügen, klicken Sie einfach direkt auf den Beschreibungstext im Reiter „Allgemein". Er wechselt in einen Rich-Text-Inline-Editor. Nehmen Sie Ihre Änderung vor und speichern Sie. Die Aktualisierung wird sofort übernommen, ohne dass Sie die Seite verlassen.

Um die verantwortliche Person oder den Status zu ändern, verwenden Sie die fixierte Kopfleiste oben in der Detailansicht – dafür müssen Sie nicht das Bearbeitungsformular öffnen. Klicken Sie auf das Feld der verantwortlichen Person, um eine Personenauswahl zu öffnen, oder klicken Sie auf das farbige Status-Badge, um das Status-Dropdown zu öffnen. Beide Felder speichern sofort, sobald Sie eine Auswahl treffen.

Eine regelmäßige Überprüfung einer TOM durchführen

Ein typischer Ablauf für eine vierteljährliche Überprüfung sieht folgendermaßen aus:

  • Klicken Sie in der TOMs-Liste auf den Statusfilter-Tab Überprüfung. Die Tabelle zeigt nun nur TOMs an, die für eine Überprüfung vorgemerkt sind – also die, die Ihr Team in diesen Status gesetzt hat, als ihre Überprüfungsfrist fällig wurde.
  • Klicken Sie auf die erste TOM in der Liste. Verwenden Sie den -Pfeil (nächster Datensatz) in der Breadcrumb-Leiste, um die Liste der Reihe nach durchzuarbeiten, ohne jedes Mal zur Listenansicht zurückzukehren.
  • Prüfen Sie bei jeder TOM den Reiter Allgemein auf Aktualität. Nutzen Sie Bearbeiten, wenn Inhalte aktualisiert werden müssen. Prüfen Sie den Reiter Dokumente, um sicherzustellen, dass die zugehörigen Richtlinien noch hinterlegt sind. Öffnen Sie den Reiter Relevante Risikoszenarien, um zu überprüfen, ob die TOM noch die richtigen Bedrohungen abdeckt.
  • Wenn Sie zufrieden sind, klicken Sie auf das Status-Badge in der fixierten Kopfleiste und wechseln Sie den Status von Überprüfung zurück zu Aktiv. DPMS speichert die Änderung sofort.
  • Falls Ihre Organisation strukturierte Genehmigungszyklen nutzt, öffnen Sie den Reiter Überprüfung & Freigaben und starten Sie den entsprechenden Workflow. Nach Abschluss des Workflows wird das Datum der letzten Überprüfung in der fixierten Kopfleiste aktualisiert.

Die Änderungshistorie vor einem Audit prüfen

Vor einem externen Audit müssen Sie unter Umständen nachweisen, dass Ihre Maßnahmen aktiv gepflegt werden. Öffnen Sie die betreffende TOM und klicken Sie dann auf das Uhren-Symbol oben rechts in der Detailansicht. Ein einblendendes Panel öffnet sich und zeigt das vollständige Aktivitätsprotokoll – jede Feldänderung, jeden Statuswechsel und jede Änderung der verantwortlichen Person, jeweils mit Zeitstempel und dem Namen der Person, die die Änderung vorgenommen hat.

Das liefert Ihnen ohne jegliche zusätzliche Konfiguration einen vollständigen Prüfpfad. Wenn Sie fertig sind, schließen Sie das Panel. Falls Sie eine Tabelle benötigen, kehren Sie zur Listenansicht zurück und klicken Sie auf den XLSX-Export-Button, um die gefilterte Liste herunterzuladen.

TOMs aus einer Datei importieren

Wenn Sie aus einem anderen System migrieren oder eine Reihe vordefinierter Maßnahmen von einer übergeordneten Organisation erhalten, können Sie TOMs als Stapel importieren. Klicken Sie in der TOMs-Liste auf Erstellen, um das Dropdown zu öffnen, und wählen Sie dann Importieren. Der Dateiauswahldialog Ihres Betriebssystems öffnet sich. Wählen Sie Ihre .json-Datei aus und bestätigen Sie. DPMS importiert jeden Datensatz in der Datei und leitet Sie zurück zur Liste, wo die neu importierten TOMs erscheinen – alle im Status Entwurf, bereit für die individuelle Überprüfung und Aktivierung.

Achtung: DPMS prüft beim Import nicht auf Duplikate. Wenn Ihre Datei TOMs enthält, die bereits im System vorhanden sind (z. B. aus einem früheren Import), entstehen doppelte Datensätze. Überprüfen Sie die bestehende Liste immer, bevor Sie einen Stapelimport durchführen.

Feldreferenz

Feld

Was Sie eintragen

Pflichtfeld?

Name

Ein klares, beschreibendes Label für die Maßnahme. Unterstützt mehrere Sprachen, wenn Ihre Organisation mehrere Sprachkonfigurationen eingerichtet hat.

Ja

Typ

Technische Maßnahme oder Organisatorische Maßnahme. Ermöglicht die Trennung von IT-Maßnahmen und Prozess-/Richtlinienmaßnahmen in Berichten.

Nein, aber empfohlen

Bereich

Der Sicherheitsbereich, den die Maßnahme adressiert (z. B. Vertraulichkeit, Integrität, Verfügbarkeit, Physische Sicherheit, Zugriffskontrolle).

Nein, aber empfohlen

Standard

Das Compliance-Framework, dem die Maßnahme entspricht (ISO 27001, NIST, SOC 2 usw.).

Nein

Klassifikation

Einer oder mehrere frei definierbare Tags zur Gruppierung (z. B. „Verschlüsselung", „HR-Maßnahmen"). Neue Tags können durch Eingabe erstellt werden. Werden organisationsweit für alle TOMs geteilt.

Nein

Beschreibung

Eine detaillierte Erläuterung dessen, was die Maßnahme bewirkt und wie sie umgesetzt ist. Dies ist der primäre Nachweistext; in der Detailansicht inline editierbar.

Nein, aber dringend empfohlen

Status

Der Lebenszyklus-Status der TOM. Beim Erstellen vorausgefüllt mit Entwurf. Verfügbare Optionen: Entwurf, Aktiv, Inaktiv, Überprüfung sowie ggf. benutzerdefinierte Status aus den Compliance-Einstellungen.

Ein Standardwert ist vorbelegt

Verantwortliche Person(en)

Die Nutzer, die für diese Maßnahme verantwortlich sind. Mehrfachauswahl aus dem Nutzerverzeichnis Ihrer Organisation.

Nein, aber dringend empfohlen

Verbindungen zu anderen Bereichen von DPMS

TOMs stehen im Zentrum des Compliance-Datenmodells. Fast jedes andere Modul kann auf sie verweisen:

  • Assets – Das Asset-Register zeigt, welche TOMs auf welchem Asset implementiert sind, und berechnet daraus einen Reifegrad. Eine TOM ohne verknüpfte Assets zeigt keinen Reifegrad an.
  • Risikoszenarien – Jedes Risikoszenario kann die TOMs referenzieren, die es abschwächen. Diese Verknüpfung fließt in die Risikoabdeckungsanalyse ein; ohne sie erscheinen Risikoszenarien als unzureichend abgesichert, selbst wenn die Maßnahmen existieren.
  • VVT & DSFA – Verzeichnisse von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzungen haben beide einen TOM-Reiter, in dem relevante Maßnahmen aufgelistet sind. Die Verknüpfung zeigt, dass Privacy-by-Design-Pflichten erfüllt werden.
  • Dokumente – Richtliniendokumente und Nachweisdateien können über den Reiter „Dokumente" an die TOM angehängt werden und erscheinen dann direkt auf der Detailseite.
  • Aufgaben & Assessments – Folgemaßnahmen und formale Bewertungen können mit einer TOM verknüpft werden, um Abhilfemaßnahmen oder Compliance-Prüfungen nachzuverfolgen.
  • Dienstleister & Projekte – Maßnahmen, die für die Auftragsverarbeitung oder spezifische Projekte relevant sind, können hier verknüpft werden.

Nachdem Sie eine TOM fertiggestellt haben, verknüpfen Sie sie umgehend mit den relevanten Assets und Risikoszenarien – das ist der Schritt, der die Reifegrad- und Risikoabdeckungsberechnungen in Dashboards und Berichten tatsächlich aktiviert.

Tipps und häufige Fallstricke

Achtung: Eine brandneue TOM zeigt in der Listenansicht immer eine leere Spalte Reifegrad. Der Reifegrad wird erst berechnet, sobald die TOM mit mindestens einem Risikoszenario verknüpft ist. Gehen Sie dazu in das Bearbeitungsformular und öffnen Sie den Reiter Relevante Risikoszenarien.
Tipp: Nutzen Sie die Statusfilter-Tabs in der Listenansicht während Überprüfungszyklen. Das Filtern nach Überprüfung liefert eine fokussierte Arbeitsliste – und der -Pfeil in der Detailansicht ermöglicht es Ihnen, diese Liste Datensatz für Datensatz durchzugehen, ohne jedes Mal in die Listenansicht zurückzukehren.
  • Klassifikations-Tags gelten organisationsweit. Wenn Sie beim Anlegen einer TOM einen neuen Tag erstellen, steht er sofort für alle TOMs in der Organisation zur Verfügung. Sprechen Sie sich vorab mit Ihrem Team auf eine Namenskonvention ab, um Beinahe-Duplikate wie „Verschlüsselung", „Verschlüsselung im Ruhezustand" und „Verschlüsselung (AES)" zu vermeiden.
  • Benutzerdefinierte Status können sich je nach Organisation unterscheiden. Wenn eine Kollegin oder ein Kollege berichtet, einen erwarteten Status (z. B. einen benutzerdefinierten Status „Zertifizierung ausstehend") nicht zu sehen, liegt dies meistens an einer abweichenden Konfiguration unter Compliance-Einstellungen → Status. Eine Administratorin oder ein Administrator kann dort Status hinzufügen oder anpassen.
  • Bei konsulierten Objekten fehlen das Aktivitätsprotokoll und die Bearbeitungssteuerung. Wenn Ihre Organisation eine TOM erhält, die von einer Partnerorganisation geteilt wurde, ist dieser Datensatz schreibgeschützt. Das Uhren-Symbol und das Optionsmenü sind absichtlich ausgeblendet – Änderungen können nur von der ursprünglichen Organisation vorgenommen werden.
  • Den Inline-Editor für Beschreibungen können Sie nur jeweils für eine TOM nutzen. Es gibt keine Massenbearbeitungsfunktion für Beschreibungsfelder. Für umfangreiche Inhaltsaktualisierungen ist der JSON-Import/Export-Weg am effizientesten.
  • Überprüfung & Freigaben setzt eine Workflow-Vorlage voraus. Wenn der Reiter „Überprüfung & Freigaben" leer erscheint, bedeutet das, dass noch keine Workflow-Vorlage für TOMs konfiguriert wurde. Eine Administratorin oder ein Administrator muss dies zunächst in den Compliance-Einstellungen einrichten, bevor Überprüfungszyklen von hier aus gestartet werden können.


Was this article helpful?

German
Powered by Product Fruits