-- Migration 087: TOM-Dokumentation v2
-- Ueberarbeitetes Template basierend auf Absatz-fuer-Absatz Review (2026-04-30)
-- Aenderungen: Verhaeltnismaessigkeit, AVV-Kontext, erweiterte Einleitungstexte,
--   konkrete Massnahmentabellen, neuer Abschnitt 5.11 Trennungskontrolle,
--   Abschnitt 5.10 Ueberpruefung mit Patch Management

UPDATE compliance_legal_templates
SET
    content = $template$# TOM-Dokumentation (Art. 32 DSGVO)

## Dokumentenkontrolle

| Feld | Wert |
|------|------|
| Unternehmen | {{COMPANY_NAME}} |
| Dokumenttyp | Technische und Organisatorische Massnahmen |
| Version | {{DOCUMENT_VERSION}} |
| Datum | {{VERSION_DATE}} |
| Klassifizierung | Vertraulich |
| IT-Sicherheitsbeauftragter | {{ISB_NAME}} |
| Datenschutzbeauftragter | {{DPO_NAME}} |
| Geschaeftsfuehrung | {{GF_NAME}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |

### Aenderungshistorie

| Version | Datum | Autor | Aenderung |
|---------|-------|-------|-----------|
| {{DOCUMENT_VERSION}} | {{VERSION_DATE}} | {{ISB_NAME}} | Aktuelle Fassung |

---

## 1. Ziel und Zweck

Diese TOM-Dokumentation beschreibt die technischen und organisatorischen Massnahmen, die **{{COMPANY_NAME}}** zum Schutz personenbezogener Daten getroffen hat. Sie gilt sowohl als eigenstaendiges Compliance-Dokument als auch als Anlage zu Auftragsverarbeitungsvertraegen (Art. 28 Abs. 3 lit. h DSGVO).

Bei der Auswahl und Umsetzung der Massnahmen wird der Grundsatz der Verhaeltnismaessigkeit beruecksichtigt: Art und Umfang richten sich nach dem Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang und den Zwecken der Verarbeitung (Art. 32 Abs. 1 DSGVO).

Die Massnahmen dienen der Umsetzung folgender DSGVO-Anforderungen:

| Rechtsgrundlage | Inhalt |
|-----------------|--------|
| **Art. 32 Abs. 1 lit. a DSGVO** | Pseudonymisierung und Verschluesselung personenbezogener Daten |
| **Art. 32 Abs. 1 lit. b DSGVO** | Vertraulichkeit, Integritaet, Verfuegbarkeit und Belastbarkeit der Systeme auf Dauer sicherstellen |
| **Art. 32 Abs. 1 lit. c DSGVO** | Rasche Wiederherstellung der Verfuegbarkeit bei physischem oder technischem Zwischenfall |
| **Art. 32 Abs. 1 lit. d DSGVO** | Regelmaessige Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit der Massnahmen |

Die TOM-Dokumentation ist fester Bestandteil des Datenschutz-Managementsystems und wird regelmaessig ueberprueft und aktualisiert.

---

## 2. Geltungsbereich

Diese TOM-Dokumentation gilt fuer alle IT-Systeme, Anwendungen und Verarbeitungsprozesse von **{{COMPANY_NAME}}**. Die dokumentierten Massnahmen stammen aus zwei Quellen:

- **Embedded Library (TOM-xxx):** Integrierte Kontrollbibliothek mit spezifischen Massnahmen fuer Art. 32 DSGVO
- **Canonical Control Library (CP-CLIB):** Uebergreifende Kontrollbibliothek mit framework-uebergreifenden Massnahmen

---

## 3. Grundprinzipien Art. 32

- **Vertraulichkeit:** Schutz personenbezogener Daten vor unbefugter Kenntnisnahme durch Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle und Verschluesselung (Art. 32 Abs. 1 lit. b DSGVO).
- **Integritaet:** Sicherstellung, dass personenbezogene Daten nicht unbefugt oder unbeabsichtigt veraendert werden koennen, durch Eingabekontrolle, Weitergabekontrolle und Protokollierung (Art. 32 Abs. 1 lit. b DSGVO).
- **Verfuegbarkeit und Belastbarkeit:** Gewaehrleistung, dass Systeme und Dienste bei Lastspitzen und Stoerungen zuverlaessig funktionieren, durch Backup, Redundanz und Disaster Recovery (Art. 32 Abs. 1 lit. b DSGVO).
- **Rasche Wiederherstellbarkeit:** Faehigkeit, nach einem physischen oder technischen Zwischenfall Daten und Systeme schnell wiederherzustellen, durch getestete Recovery-Prozesse (Art. 32 Abs. 1 lit. c DSGVO).
- **Regelmaessige Wirksamkeitspruefung:** Verfahren zur regelmaessigen Ueberpruefung, Bewertung und Evaluierung der Wirksamkeit aller technischen und organisatorischen Massnahmen (Art. 32 Abs. 1 lit. d DSGVO).
- **Trennbarkeit:** Gewaehrleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden (Art. 5 Abs. 1 lit. b DSGVO).

---

## 4. Schutzbedarf und Risikoanalyse

Die Schutzbedarfsanalyse bildet die Grundlage fuer die Auswahl und Priorisierung der Massnahmen.

| Kriterium | Bewertung |
|-----------|-----------|
| Vertraulichkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Integritaet | *Wird vom TOM-Generator automatisch ermittelt* |
| Verfuegbarkeit | *Wird vom TOM-Generator automatisch ermittelt* |
| Schutzniveau | *Basiert auf CIA-Bewertung* |
| DSFA-Pflicht | *Wird automatisch berechnet* |

**Hinweis:** Die detaillierte Schutzbedarfsanalyse wird im TOM-Modul ueber den Risiko-Wizard durchgefuehrt. Die Ergebnisse fliessen automatisch in die Massnahmenauswahl ein.

---

## 5. Massnahmenkatalog

### 5.1 Zutrittskontrolle

Der physische Zugang zu Raeumen und Gebaeuden, in denen personenbezogene Daten verarbeitet oder gespeichert werden, ist durch geeignete Massnahmen beschraenkt. Zutrittsberechtigungen werden nach dem Need-to-know-Prinzip vergeben, dokumentiert und regelmaessig ueberprueft. Zutritte zu gesicherten Bereichen (Serverraeume, Netzwerkinfrastruktur) werden protokolliert.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Elektronisches Zutrittskontrollsystem (Chipkarte/Transponder) | Technisch | *automatisch* | |
| Mechanische Schliesssysteme mit dokumentierter Schluesselausgabe | Technisch | *automatisch* | |
| Videoueberwachung der Zugaenge (unter Beachtung der DSGVO) | Technisch | *automatisch* | |
| Sicherheitsschloesser und abschliessbare Serverschraenke | Technisch | *automatisch* | |
| Empfangskontrolle mit Besucherprotokollierung | Organisatorisch | *automatisch* | |
| Tragepflicht von Zugangsausweisen | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Verpflichtung von Fremdpersonal | Organisatorisch | *automatisch* | |
| Automatische Protokollierung aller Zutrittsereignisse | Technisch | *automatisch* | |

### 5.2 Zugangskontrolle

Die unbefugte Nutzung von Datenverarbeitungssystemen wird durch ein mehrstufiges Authentifizierungskonzept verhindert. Jeder Benutzer erhaelt eine eindeutige Kennung mit persoenlichem Passwort. Passwoerter werden nach dem Stand der Technik gespeichert (gehashte Ablage) und unterliegen definierten Komplexitaetsanforderungen. Ein dokumentierter Prozess fuer Passwortzuruecksetzung ist etabliert.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Eindeutige Benutzerkennungen mit persoenlicher Passwortvergabe | Technisch | *automatisch* | |
| Multi-Faktor-Authentifizierung (MFA) fuer privilegierte und Remote-Zugaenge | Technisch | *automatisch* | |
| Rollenbasierte Benutzerprofile mit Zuordnung zu IT-Systemen | Technisch | *automatisch* | |
| Automatische Bildschirmsperre und Session-Timeout | Technisch | *automatisch* | |
| Account-Sperrung nach definierten Fehlversuchen | Technisch | *automatisch* | |
| VPN fuer externe Zugriffe | Technisch | *automatisch* | |
| Regelung externer Schnittstellen (USB) gemaess IT-Richtlinie | Organisatorisch | *automatisch* | |
| Intrusion-Detection-/Prevention-Systeme | Technisch | *automatisch* | |
| Anti-Viren- und Anti-Malware-Software | Technisch | *automatisch* | |
| Verschluesselung mobiler Endgeraete (Laptops, Smartphones) | Technisch | *automatisch* | |
| Hardware- und Software-Firewall | Technisch | *automatisch* | |

### 5.3 Zugriffskontrolle

Der Zugriff auf personenbezogene Daten ist durch ein rollenbasiertes Berechtigungskonzept (RBAC) auf das erforderliche Minimum beschraenkt (Least-Privilege-Prinzip). Berechtigungen werden nicht personengebunden, sondern ueber definierte Rollen vergeben. Zugriffsrechte werden regelmaessig ueberprueft und bei Personalveraenderungen unverzueglich angepasst.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Dokumentiertes Berechtigungskonzept mit Rollendefinitionen | Organisatorisch | *automatisch* | |
| Least-Privilege-Prinzip fuer alle Datenzugriffe | Organisatorisch | *automatisch* | |
| Anzahl administrativer Zugaenge auf das Notwendige reduziert | Technisch | *automatisch* | |
| Protokollierung von Datenzugriffen (Lesen, Aendern, Loeschen) | Technisch | *automatisch* | |
| Regelmaessige Rechte-Rezertifizierung (mind. jaehrlich + anlassbezogen) | Organisatorisch | *automatisch* | |
| Sofortiger Berechtigungsentzug bei Ausscheiden von Mitarbeitenden | Organisatorisch | *automatisch* | |
| Dokumentierte Vertretungsregelungen mit begrenzten Sonderzugriffen | Organisatorisch | *automatisch* | |
| Ordnungsgemaesse Vernichtung von Datentraegern (Verweis Loeschkonzept) | Technisch | *automatisch* | |

### 5.4 Weitergabekontrolle

Personenbezogene Daten werden bei der elektronischen Uebertragung durch Verschluesselung nach dem Stand der Technik geschuetzt. Alle Uebertragungswege (Web, API, E-Mail, Datenbankverbindungen) sind transportverschluesselt. Datentransfers werden protokolliert, sodass nachvollziehbar ist, an welche Stellen personenbezogene Daten uebermittelt wurden.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Transportverschluesselung fuer alle Uebertragungswege (TLS) | Technisch | *automatisch* | |
| VPN fuer standortuebergreifende Verbindungen | Technisch | *automatisch* | |
| Ende-zu-Ende-Verschluesselung fuer besonders schutzwuerdige Daten | Technisch | *automatisch* | |
| Sichere Dateiuebertragung (SFTP/SCP, keine unverschluesselten Protokolle) | Technisch | *automatisch* | |
| Pseudonymisierung/Anonymisierung bei Datenweitergabe wo moeglich | Technisch | *automatisch* | |
| Protokollierung aller Datentransfers (Firewall-Logs, Anwendungsprotokolle) | Technisch | *automatisch* | |
| {{#IF HAS_PHYSICAL_TRANSPORT}} Sichere Transportbehaelter und dokumentierte Uebergabe bei physischem Datentraegertransport {{/IF}} | Organisatorisch | *automatisch* | |
| {{#IF HAS_THIRD_COUNTRY_TRANSFER}} Garantien fuer Drittlandtransfers gemaess Art. 44-49 DSGVO (SCC, Angemessenheitsbeschluss) {{/IF}} | Organisatorisch | *automatisch* | |

### 5.5 Eingabekontrolle

Durch individuelle Benutzerkennungen und systematische Protokollierung ist jederzeit nachvollziehbar, wer personenbezogene Daten eingegeben, veraendert oder geloescht hat. Sammelkennungen oder geteilte Benutzerkonten sind nicht zulaessig. Die Protokollierung beschraenkt sich auf das fuer die Nachvollziehbarkeit erforderliche Mass — eine anlasslose Verhaltens- oder Leistungskontrolle von Beschaeftigten findet nicht statt.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Protokollierung aller Eingabe-, Aenderungs- und Loeschvorgaenge mit Benutzerkennung und Zeitstempel | Technisch | *automatisch* | |
| Ausschliesslich individuelle Benutzerkennungen (keine Sammelaccounts) | Organisatorisch | *automatisch* | |
| Differenzierte Rechte fuer Eingabe, Aenderung und Loeschung | Technisch | *automatisch* | |
| Manipulationsschutz der Protokolldaten (zentrale, schreibgeschuetzte Log-Sammlung) | Technisch | *automatisch* | |
| Vier-Augen-Prinzip fuer kritische Datenveraenderungen | Organisatorisch | *automatisch* | |
| Definierte Aufbewahrungsfristen fuer Protokolldaten (Details im Logging-Konzept) | Organisatorisch | *automatisch* | |

### 5.6 Auftragskontrolle

Soweit personenbezogene Daten im Auftrag durch Dritte verarbeitet werden, ist dies durch einen Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO geregelt. Die Auswahl, Pruefung und laufende Ueberwachung von Auftragsverarbeitern erfolgt ueber das Vendor-Compliance-Verfahren. Fernwartungszugriffe mit moeglicher Einsichtnahme in personenbezogene Daten werden wie eine Auftragsverarbeitung behandelt.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| AVV mit allen Auftragsverarbeitern abgeschlossen (Art. 28 DSGVO) | Organisatorisch | *automatisch* | |
| Sorgfaeltige Auswahl und Vorabpruefung der Sicherheitsmassnahmen | Organisatorisch | *automatisch* | |
| Verpflichtung der Mitarbeitenden des Auftragsverarbeiters auf Vertraulichkeit | Organisatorisch | *automatisch* | |
| Vereinbarte Kontrollrechte und regelmaessige Auditierung | Organisatorisch | *automatisch* | |
| Regelung fuer Unterauftragnehmer (Genehmigungsvorbehalt) | Organisatorisch | *automatisch* | |
| Fernwartungszugriffe vertraglich geregelt und protokolliert | Technisch | *automatisch* | |
| Datenrueckgabe und -loeschung bei Auftragsende vertraglich gesichert | Organisatorisch | *automatisch* | |

*Detaillierte Regelungen: siehe AVV-Vorlage und Vendor-Compliance-Modul*

### 5.7 Pseudonymisierung und Verschluesselung (Art. 32 Abs. 1 lit. a DSGVO)

Personenbezogene Daten werden, soweit der Verarbeitungszweck dies zulaesst, pseudonymisiert. Dadurch ist ohne Hinzuziehung gesondert aufbewahrter Zuordnungsinformationen kein Rueckschluss auf die betroffene Person moeglich. Zum Schutz vor unbefugtem Zugriff werden Daten sowohl bei der Uebertragung (Transport) als auch bei der Speicherung (Data at Rest) durch Verschluesselung nach dem Stand der Technik gesichert. Die eingesetzten Algorithmen und Protokolle werden regelmaessig anhand aktueller Empfehlungen (insb. BSI TR-02102) ueberprueft.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |

### 5.8 Verfuegbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Systeme und Dienste sind so ausgelegt, dass die Verfuegbarkeit personenbezogener Daten auch bei erhoehter Last, Teilausfaellen oder physischen Einwirkungen gewaehrleistet bleibt. Die Infrastruktur wird kontinuierlich ueberwacht; bei Stoerungen erfolgt eine automatische Alarmierung.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Unterbrechungsfreie Stromversorgung (USV) fuer kritische Systeme | Technisch | *automatisch* | |
| Klimatisierung der Serverraeume | Technisch | *automatisch* | |
| Ueberspannungsschutz | Technisch | *automatisch* | |
| Brand- und Rauchmeldeanlage mit Feuerloescheinrichtung | Technisch | *automatisch* | |
| Schutz vor Wasserschaeden (Standortwahl, Leckage-Sensoren) | Technisch | *automatisch* | |
| Redundante Systemauslegung fuer kritische Komponenten (N+1) | Technisch | *automatisch* | |
| Monitoring und automatische Alarmierung bei Verfuegbarkeitsstoerungen | Technisch | *automatisch* | |
| Dokumentiertes Backup-Konzept mit definierten Sicherungsintervallen | Organisatorisch | *automatisch* | |
| Ausgelagerte Aufbewahrung von Datensicherungen | Technisch | *automatisch* | |

*Wiederherstellungsverfahren und Notfallplan: siehe Abschnitt 5.9*

### 5.9 Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Im Falle eines technischen Zwischenfalls oder eines Sicherheitsvorfalls (z.B. Ransomware-Angriff) ist die rasche Wiederherstellung der Verfuegbarkeit personenbezogener Daten gewaehrleistet. Hierzu werden dokumentierte Backup- und Recovery-Verfahren vorgehalten und deren Wirksamkeit durch regelmaessige Restore-Tests ueberprueft.

Detaillierte Wiederherstellungszeitziele (RTO/RPO) sind im Backup-Recovery-Konzept definiert. Der Notfallplan regelt die organisatorischen Ablaeufe im Ernstfall.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| *Wird automatisch aus dem TOM-Modul befuellt* | | | |

### 5.10 Ueberpruefung und Bewertung (Art. 32 Abs. 1 lit. d DSGVO)

Die Wirksamkeit aller technischen und organisatorischen Massnahmen wird regelmaessig ueberprueft und bewertet. Die Ergebnisse fliessen in die kontinuierliche Verbesserung des Datenschutz-Managementsystems ein.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Regelmaessige interne Datenschutz-Audits | Organisatorisch | *automatisch* | |
| Regelmaessiges Patch Management aller eingesetzten Systeme und Software | Technisch | *automatisch* | |
| Penetrationstests und Schwachstellenanalysen (mind. jaehrlich) | Technisch | *automatisch* | |
| Auswertung von Sicherheitsvorfaellen und Ableitung von Verbesserungsmassnahmen | Organisatorisch | *automatisch* | |
| Regelmaessige Ueberpruefung der Berechtigungen und Zugriffsrechte | Organisatorisch | *automatisch* | |
| Dokumentation aller Pruefergebnisse und Massnahmen | Organisatorisch | *automatisch* | |

### 5.11 Trennungskontrolle

Personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet (Art. 5 Abs. 1 lit. b DSGVO). Bei mandantenfaehigen Systemen ist gewaehrleistet, dass Mandanten ausschliesslich auf eigene Daten zugreifen koennen. Die Wirksamkeit der Trennung wird regelmaessig ueberprueft.

| Massnahme | Typ | Status | Verantwortlich |
|-----------|-----|--------|----------------|
| Logische Mandantentrennung in allen Anwendungen und Datenbanken | Technisch | *automatisch* | |
| Festlegung separater Datenbankrechte je Mandant/Zweck | Technisch | *automatisch* | |
| Strikte Trennung von Produktiv-, Test- und Entwicklungsumgebungen | Technisch | *automatisch* | |
| Keine personenbezogenen Echtdaten in Test- oder Entwicklungsumgebungen | Organisatorisch | *automatisch* | |
| Regelmaessige Pruefung der Mandantentrennung (Soll-Ist-Abgleich) | Organisatorisch | *automatisch* | |
| {{#IF HAS_CLOUD_SERVICES}} Nachweis der Mandantentrennung beim Cloud-Anbieter eingefordert und dokumentiert {{/IF}} | Organisatorisch | *automatisch* | |

---

## 6. SDM Gewaehrleistungsziele

Das Standard-Datenschutzmodell (SDM) definiert sieben Gewaehrleistungsziele. Die implementierten Massnahmen decken folgende Ziele ab:

| Gewaehrleistungsziel | Abgedeckt | Gesamt | Abdeckung (%) |
|----------------------|-----------|--------|---------------|
| Verfuegbarkeit | *automatisch* | | |
| Integritaet | *automatisch* | | |
| Vertraulichkeit | *automatisch* | | |
| Nichtverkettung | *automatisch* | | |
| Intervenierbarkeit | *automatisch* | | |
| Transparenz | *automatisch* | | |
| Datenminimierung | *automatisch* | | |

---

## 7. Verantwortlichkeiten

| Rolle | Aufgabe |
|-------|---------|
| Geschaeftsfuehrung ({{GF_NAME}}) | Gesamtverantwortung, Freigabe der TOM-Dokumentation |
| IT-Sicherheitsbeauftragter ({{ISB_NAME}}) | Pflege und Umsetzung technischer Massnahmen |
| Datenschutzbeauftragter ({{DPO_NAME}}) | Ueberwachung, Beratung, Compliance-Check |
| Fachabteilungen | Umsetzung organisatorischer Massnahmen, Meldepflicht |

---

## 8. Compliance-Status

*Der aktuelle Compliance-Score wird vom TOM-Modul automatisch berechnet und enthaelt Befunde nach Schweregrad (Kritisch, Hoch, Mittel, Niedrig).*

| Kennzahl | Wert |
|----------|------|
| Gepruefte Massnahmen | *automatisch* |
| Bestanden | *automatisch* |
| Beanstandungen | *automatisch* |

---

## 9. Pruef- und Revisionszyklus

| Eigenschaft | Wert |
|-------------|------|
| Pruefintervall | Jaehrlich |
| Letzte Pruefung | {{VERSION_DATE}} |
| Naechste Pruefung | {{NEXT_REVIEW_DATE}} |
| Aktuelle Version | {{DOCUMENT_VERSION}} |

### Pruefpunkte

- Vollstaendigkeit aller Massnahmen (neue Systeme oder Verarbeitungen erfasst?)
- Aktualitaet des Umsetzungsstatus (Aenderungen seit letzter Pruefung?)
- Wirksamkeit der technischen Massnahmen (Penetration-Tests, Audit-Ergebnisse)
- Angemessenheit der organisatorischen Massnahmen (Schulungen, Richtlinien aktuell?)
- Abdeckung aller SDM-Gewaehrleistungsziele
- Zuordnung von Verantwortlichkeiten zu allen Massnahmen
- Wirksamkeit der Mandantentrennung (Soll-Ist-Abgleich)

---

*Dieses Dokument wird automatisch vom TOM-Modul generiert und enthaelt alle erfassten technischen und organisatorischen Massnahmen nach Art. 32 DSGVO.*

*Erstellt mit BreakPilot Compliance — {{COMPANY_NAME}} | Stand: {{VERSION_DATE}} | Version {{DOCUMENT_VERSION}}*
$template$,
    version = '2.0.0',
    description = 'Dokumentation aller technischen und organisatorischen Massnahmen gemaess Art. 32 DSGVO. Erweitert um Verhaeltnismaessigkeitsgrundsatz, AVV-Kontext, konkrete Massnahmenkataloge mit 11 Kategorien (inkl. Trennungskontrolle), Abgrenzung zu IT-Sicherheitskonzept und Loeschkonzept.',
    updated_at = NOW()
WHERE document_type = 'tom_documentation'
  AND tenant_id = '9282a473-5c95-4b3a-bf78-0ecc0ec71d3e';