Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
Zuletzt aktualisiert: · Team von gdpr-examtrainer.com
Art. 32 DSGVO schreibt geeignete TOMs vor — aber keinen fixen Pflichtenkatalog. Was das Gesetz wirklich verlangt, wie die vier Regelbeispiele in lit. a–d aufgebaut sind, was Belastbarkeit konkret bedeutet und warum die Beweislast nach EuGH C-340/21 bei Ihnen liegt — hier prüfungsrelevant und mit Primärquellen belegt.
Was gibt es eigentlich für eine Pflichtenliste für TOMs? — und warum die Frage falsch gestellt ist
Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zu geeigneten technischen und organisatorischen Maßnahmen — aber nicht anhand eines fixen Katalogs, sondern auf Basis einer individuellen Risikoabwägung. In Datenschutzbeauftragten-Schulungen, Fachforen und Prüfungsvorbereitungen taucht die Frage „Welche TOMs muss ich haben?" regelmäßig auf — und wird ebenso regelmäßig missverstanden. Typische Fehlvorstellungen: „Wir haben Antivirus und Firewall, das reicht doch", oder: „Die IT macht das, mich geht Art. 32 nichts an." Beides ist falsch.
Das Gesetz fordert ein dem Risiko angemessenes Schutzniveau. Was angemessen ist, hängt vom konkreten Verarbeitungskontext ab — nicht von einer bundeseinheitlichen Mindestliste. Wer Art. 32 DSGVO für die Prüfung oder für die Beratungspraxis versteht, muss erklären können, warum eine Maßnahme geeignet oder unzureichend ist. Das macht den Unterschied zu bloßem Listenkennen.
Was Art. 32 Abs. 1 DSGVO genau vorschreibt
Art. 32 Abs. 1 DSGVO bestimmt, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind vier Abwägungskriterien zu berücksichtigen:
Die vier Abwägungskriterien aus Art. 32 Abs. 1 DSGVO:
1. Stand der Technik
2. Implementierungskosten
3. Art, Umfang, Umstände und Zwecke der Verarbeitung
4. Unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Das Gesetz nennt anschließend vier Regelbeispiele — eingeleitet mit „insbesondere gegebenenfalls". Diese Formulierung ist für die Prüfung entscheidend: Die lit. a–d sind weder abschließend noch für jede Verarbeitung gleichermaßen verpflichtend. Ihre Anwendung ergibt sich aus der Risikoabwägung. Abs. 2 konkretisiert die relevanten Risikoarten: insbesondere die Risiken durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden — ob unbeabsichtigt oder unrechtmäßig.
Die vier Regelbeispiele nach Art. 32 Abs. 1 lit. a–d DSGVO
Das Kernstück für die Prüfung ist lit. b mit seinen vier Schutzzielen. Vertraulichkeit bedeutet, dass nur berechtigte Personen auf Daten zugreifen können. Integrität bedeutet, dass Daten nicht unbemerkt verändert werden. Verfügbarkeit bedeutet, dass Daten abrufbar sind, wenn sie benötigt werden. Belastbarkeit — im Englischen resilience — bedeutet, dass Systeme und Dienste auch unter außerordentlicher Last oder bei gezielten Angriffen funktionsfähig bleiben; es geht also um die Fähigkeit, mit Stresssituationen umzugehen, nicht nur mit Normalzustand.
Lit. c ergänzt dies um den Recovery-Gedanken: Nicht nur Prävention, sondern auch schnelle Reaktion ist geschuldet — Backup-Konzepte, Wiederherstellungstests und Notfallpläne sind typische Umsetzungen. Lit. d schließt den Regelkreis: TOMs sind keine einmalige Festlegung, sondern ein fortlaufender Prozess. Regelmäßige interne Audits, Wirksamkeitsprüfungen und Anpassungen an neue Risiken sind gesetzlich geboten.
Was sind typische technische und organisatorische Maßnahmen?
Art. 32 DSGVO unterscheidet begrifflich zwischen technischen und organisatorischen Maßnahmen, ohne diese im Wortlaut zu definieren. In der Praxis gilt die Faustregel: Technische Maßnahmen sind durch Technik implementiert, organisatorische durch Regelungen, Prozesse und Schulungen.
Typische technische Maßnahmen
- Verschlüsselung von Dateiträgern und Übertragungswegen (z. B. TLS, Festplattenverschlüsselung)
- Zugangskontrolle: starke Passwortrichtlinien, Mehrfaktorauthentifizierung
- Protokollierung (Logging): Wer hat wann welche Daten abgerufen?
- Backup-Systeme, Redundanz, regelmäßige Wiederherstellungstests
- Firewalls, Netzwerksegmentierung, Intrusion Detection
Typische organisatorische Maßnahmen
- Weisungsgebundenheit: natürliche Personen mit Datenzugang verarbeiten nur auf Anweisung des Verantwortlichen (Art. 32 Abs. 4 DSGVO — sofern keine gesetzliche Verarbeitungspflicht besteht)
- Berechtigungskonzept: Wer darf auf welche Daten zugreifen?
- Datenschutz- und Informationssicherheitsschulungen
- Clean-Desk-Policy, Bildschirmsperre bei Abwesenheit
- Prozess zur Meldung von Sicherheitsvorfällen und Datenpannen
Die Grenze zwischen technisch und organisatorisch ist fließend — eine Passwortrichtlinie ist organisatorisch, die technische Durchsetzung via System ist technisch. Beide Seiten ergänzen sich; Art. 32 DSGVO verlangt ausdrücklich beides.
TOMs im Verarbeitungsverzeichnis und im AVV — Verbindung zu anderen DSGVO-Pflichten
TOMs nach Art. 32 DSGVO sind kein isoliertes Thema, sondern verknüpfen sich direkt mit zwei weiteren zentralen Dokumentationspflichten.
Verarbeitungsverzeichnis (Art. 30 Abs. 1 lit. g DSGVO)
Das Verzeichnis von Verarbeitungstätigkeiten muss nach Art. 30 Abs. 1 lit. g DSGVO — sofern möglich — eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 enthalten. Das „sofern möglich" ist in der Praxis nahezu immer erfüllbar. Eine kurze, strukturierte Darstellung der wichtigsten Maßnahmen je Verarbeitungstätigkeit genügt; ein mehrseitiger TOM-Katalog ist für die Aufnahme ins VVT nicht erforderlich.
Auftragsverarbeitungsvertrag (Art. 28 Abs. 3 lit. c DSGVO)
Art. 32 DSGVO gilt nicht nur für den Verantwortlichen, sondern ausdrücklich auch für den Auftragsverarbeiter. Der Auftragsverarbeitungsvertrag (AVV) muss nach Art. 28 Abs. 3 lit. c DSGVO regeln, dass der Auftragsverarbeiter „alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift". Eine bloße Verweisung auf Art. 32 DSGVO reicht in der Praxis nicht aus, um die Nachweisobliegenheit nach Art. 5 Abs. 2 DSGVO zu erfüllen — Aufsichtsbehörden empfehlen dringend, die konkreten TOMs des Dienstleisters als Anlage zum AVV zu dokumentieren, damit die Erfüllung nachweisbar ist.
TOM-Beschreibung in VVT und AVV-Anlage können sich in der Granularität unterscheiden: Das VVT enthält eine überblicksartige Darstellung, die AVV-Anlage dokumentiert die konkreten Maßnahmen des Dienstleisters. Beide sollten konsistent sein — Widersprüche zwischen VVT-TOMs und AVV-TOMs könnten im Prüfungsfall oder bei behördlicher Kontrolle auffallen.
Was bedeutet Beweislast nach EuGH C-340/21 für Ihre TOM-Dokumentation?
Das EuGH-Urteil vom 14. Dezember 2023 (C-340/21) betraf primär die Frage, ob die bloße Befürchtung eines Datenmissbrauchs nach einem Cyberangriff immateriellen Schadensersatz nach Art. 82 DSGVO begründen kann — was der EuGH bejahte. Daneben stellte das Gericht für Art. 32 DSGVO klar: Der Verantwortliche trägt die Beweislast dafür, dass seine Sicherheitsmaßnahmen angemessen waren — auch bei einem Cyberangriff durch Dritte. Im konkreten Fall (Cyberangriff auf eine bulgarische Steuerbehörde, bei dem Millionen Datensätze veröffentlicht wurden) konnte sich die Behörde nicht allein durch den Hinweis auf einen externen Angriff entlasten, solange sie nicht nachwies, dass ihre Schutzmaßnahmen dem risikobasierten Maßstab des Art. 32 DSGVO entsprachen.
Für die Praxis bedeutet das: Wer TOMs nicht dokumentiert — weder im VVT, noch im AVV, noch in einem gesonderten internen TOM-Dokument — wird im Streitfall, bei einer Datenpanne oder einer behördlichen Kontrolle erhebliche Schwierigkeiten haben, diese Beweislast zu erfüllen. Art. 32 Abs. 3 DSGVO eröffnet zudem die Möglichkeit, die Einhaltung der Anforderungen durch genehmigte Verhaltensregeln (Art. 40 DSGVO) oder eine genehmigte Zertifizierung (Art. 42 DSGVO) nachzuweisen — diese können die Dokumentationslast erleichtern, ersetzen sie aber nicht vollständig.
Dokumentierte und regelmäßig überprüfte TOMs (lit. d) schützen damit nicht nur die betroffenen Personen, sondern auch den Verantwortlichen selbst: Sie sind die zentrale Grundlage, um im Ernstfall nach einem Datenschutzvorfall sowohl Schadensersatzansprüchen nach Art. 82 DSGVO als auch Bußgeldern nach Art. 83 Abs. 4 DSGVO zu begegnen.
Häufige Fragen
Gilt Art. 32 DSGVO auch für kleine Unternehmen ohne Datenschutzbeauftragten?
Ja. Art. 32 DSGVO richtet sich an jeden Verantwortlichen und jeden Auftragsverarbeiter — ohne Ausnahme für Unternehmensgröße oder das Vorhandensein eines Datenschutzbeauftragten. Das bedeutet nicht, dass ein kleines Unternehmen mit einer lokalen Kundendatenbank dieselben TOMs benötigt wie ein Krankenhaus: Die Risikoabwägung ist kleiner, die Pflicht zur angemessenen Absicherung besteht jedoch ebenso.
Was bedeutet „Stand der Technik" konkret?
„Stand der Technik" in Art. 32 Abs. 1 DSGVO meint den technologischen Entwicklungsstand, der im Markt allgemein verfügbar und einsetzbar ist — nicht den höchstmöglichen Forschungsstand, aber auch nicht veraltete Lösungen. Verschlüsselungsstandards, Multi-Faktor-Authentifizierung für administrative Zugänge oder aktuelle TLS-Versionen für Datenübertragungen gelten nach aktuellem Kenntnisstand als Stand der Technik. Orientierungshilfe bieten u. a. die Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI). Der Stand der Technik ändert sich — deshalb schreibt Art. 32 Abs. 1 lit. d die regelmäßige Überprüfung und Aktualisierung der TOMs vor.
Kann eine Zertifizierung die TOM-Dokumentation ersetzen?
Nein, aber sie kann als Nachweis dienen. Art. 32 Abs. 3 DSGVO ermöglicht, die Einhaltung der Anforderungen aus Abs. 1 durch die Einhaltung von genehmigten Verhaltensregeln nach Art. 40 DSGVO oder eine genehmigte Zertifizierung nach Art. 42 DSGVO zu belegen. Eine ISO-27001-Zertifizierung oder ein anerkannter Datenschutz-Kodex kann damit als Nachweis gegenüber der Aufsichtsbehörde oder im Streitfall nützlich sein. Die interne Dokumentationspflicht — insbesondere im Verarbeitungsverzeichnis und im AVV — besteht jedoch unabhängig davon.
TOMs und Art. 32 DSGVO sicher beherrschen
Übe technische und organisatorische Maßnahmen sowie alle weiteren Prüfungsthemen mit interaktiver Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
- Art. 32 DSGVO — Sicherheit der Verarbeitung, Volltext (dsgvo-gesetz.de)
- Art. 28 DSGVO — Auftragsverarbeiter, insbesondere Abs. 3 lit. c (dsgvo-gesetz.de)
- Art. 30 DSGVO — Verzeichnis von Verarbeitungstätigkeiten, insbesondere Abs. 1 lit. g (dsgvo-gesetz.de)
- EuGH, Urteil vom 14. Dezember 2023, C-340/21 — Beweislast für Angemessenheit der TOMs (EUR-Lex)
- Verordnung (EU) 2016/679 (DSGVO) — Volltext auf EUR-Lex
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO) und dem zitierten EuGH-Urteil. Keine Rechtsberatung.