Erst den Schutzbedarf
der Daten feststellen
und dann
die TOM festlegen …