Art. 32 DSGVO: Technische und organisatorische Maßnahmen (TOMs)

Zuletzt aktualisiert am 2. April 2026

Der Schutz personenbezogener Daten ist heutzutage wichtiger denn je. Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) wurden die Anforderungen an Unternehmen hinsichtlich des Datenschutzes verschärft. Im Zentrum dieser Verordnung stehen die technischen und organisatorischen Maßnahmen (TOMs), welche gemäß Art. 32 DSGVO entscheidend sind, um die Privatsphäre und Sicherheit individueller Daten zu garantieren. Diese Maßnahmen sind sowohl auf physische Sicherheitsaspekte als auch auf prozessuale und strategische Verfahren innerhalb eines Unternehmens ausgerichtet, um ein hohes Maß an Datenschutzkonformität und Datensicherheit zu erreichen.

Die adäquate Implementierung dieser Maßnahmen ist nicht nur eine Frage der Rechtskonformität, sondern auch ein Zeichen dafür, dass Unternehmen den Datenschutz ernst nehmen und bereit sind, in die Sicherheit ihrer Daten und die Rechte ihrer Kunden zu investieren. Somit stellen die TOMs einen wichtigen Bestandteil jeder Datenschutzstrategie dar und helfen dabei, das Vertrauen zwischen Unternehmen und Nutzern zu stärken.

Wesentliche Erkenntnisse

• Art. 32 DSGVO ist das Herzstück für die Datensicherheit innerhalb der Datenschutz-Grundverordnung.
• Technische Maßnahmen umfassen beispielsweise die Verschlüsselung von Daten und Alarmanlagen, während organisatorische Maßnahmen Mitarbeiterschulungen und Datenschutzrichtlinien einbeziehen.
• Die Auswahl und Implementierung von TOMs müssen den aktuellen Stand der Technik und die Wirtschaftlichkeit berücksichtigen.
• Die effektive Umsetzung von TOMs verlangt ein proaktives Handeln und kontinuierliche Überprüfung der Datenschutzmaßnahmen.
• Unternehmen müssen ihre Datenschutzkonformität nachweisen können, indem sie ihre TOMs dokumentieren und regelmäßig audits unterziehen.
• Das Prinzip der Verhältnismäßigkeit spielt eine entscheidende Rolle bei der Auswahl der Datenschutzmaßnahmen.

Einleitung zu technischen und organisatorischen Maßnahmen

Im digitalen Zeitalter, wo Daten die neue Währung darstellen, bildet der Datenschutz das Rückgrat der Vertrauensbeziehung zwischen Unternehmen und Kunden. Der Fokus liegt dabei auf den technischen und organisatorischen Maßnahmen (TOMs), die einen integralen Bestandteil der Compliance mit der Datenschutz-Grundverordnung (DSGVO) repräsentieren. Diese Maßnahmen dienen nicht nur dem Schutz der Datenverarbeitungssysteme, sondern auch der Erhaltung der Integrität und Vertraulichkeit personenbezogener Informationen.

Wesen und Bedeutung der TOMs unter der DSGVO

Unter den Datenschutz-Maßnahmen versteht man gemäß Art. 32 DSGVO jene Vorkehrungen, die dazu bestimmt sind, die Verarbeitung personenbezogener Daten abzusichern und deren Integrität zu wahren. Hierbei werden sowohl digitale Sicherheitsmaßnahmen als auch interne Unternehmensprozesse miteinbezogen, die ein ganzheitliches Risikomanagement ermöglichen. Die Relevanz dieser Maßnahmen manifestiert sich zudem darin, wie sie das Fundament für eine GDPR-konforme Datensicherheit schaffen.

Die Entstehungsgeschichte der TOMs und ihre rechtliche Basis

Historisch waren technische und organisatorische Maßnahmen bereits in Datenschutzgesetzgebungen verankert – doch erst mit der Etablierung der DSGVO erlebten sie eine Neukonzeption. Seit dem 25. Mai 2018 sind Unternehmen verantwortlich, ein datenschutzkonformes Niveau durch die Dokumentation und Implementierung effektiver TOMs nachweislich zu belegen. Dies umfasst ein breites Spektrum an GDPR-Anforderungen, welches für ein adäquates Sicherheitsniveau sorgt und gleichzeitig den stetigen Wandel der Risikolandschaft berücksichtigt.

Implementierungsanforderungen für Unternehmen

Um eine GDPR-konforme Datenschutzstrategie zu gewährleisten, stehen Unternehmen vor der Herausforderung, geeignete technologische oder organisatorische Datenschutz-Maßnahmen zu identifizieren und zu implementieren. Wesentlich dabei ist, dass nicht nur die Einhaltung der Sicherheitsmaßnahmen, sondern auch deren Effektivität im Rahmen eines umfangreichen Risikomanagements kontinuierlich nachgewiesen werden muss. Ein auditierbares Datenschutz-Managementsystem stellt dabei die Weichen für eine rechtskonforme und sichere Datenverarbeitung in Unternehmen.

Art. 32 DSGVO Technische und organisatorische Maßnahmen

Die Datenschutz-Grundverordnung (Art. 32 DSGVO) stellt klare Anforderungen an Unternehmen, spezifische technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit personenbezogener Daten zu gewährleisten. Diese Maßnahmen bilden das Fundament eines effizienten Datenschutz-Managements und sind entscheidend, um den vielfältigen Anforderungen der DSGVO gerecht zu werden. Hierbei geht es nicht nur um die Implementierung einzelner Sicherheitswerkzeuge, sondern auch um das Schaffen von Verarbeitungsprozessen, die den Schutz und die Integrität von Daten nachhaltig sicherstellen.

Eine besondere Bedeutung im Rahmen der DSGVO-Anforderungen haben die Pseudonymisierung und die Verschlüsselung von Daten. Diese Maßnahmen tragen entscheidend dazu bei, das Risiko unerwünschter Datenzugriffe zu minimieren und die Kontrolle über die Datenhoheit zu behalten.

Doch allein die Einführung solcher Methoden ist nicht ausreichend. Die technischen und organisatorischen Maßnahmen müssen vielmehr durch stetige Überprüfungen auf ihre Wirksamkeit hin evaluiert werden. Diese dynamische Komponente des Datenschutz-Managements erfordert eine kontinuierliche Anpassung an die sich ändernden Rahmenbedingungen sowie die aktuellen technologischen Möglichkeiten und Bedrohungsszenarien.

• Verschlüsselung der Daten zur Gewährleistung von Vertraulichkeit und Integrität
• Pseudonymisierung als Mittel zur Risikominimierung
• Regelmäßige Überprüfung der Sicherheitsprotokolle und Zugriffsrechte
• Dokumentation und Nachweis der Datenschutz-Maßnahmen
• Berücksichtigung der Verhältnismäßigkeit zwischen Schutzbedarf und Implementierungskosten

Dieser prozessorientierte Ansatz im Datenschutz erfordert nicht nur die Festlegung von Maßnahmen, sondern auch deren Integration in den Alltag der Unternehmen: Schulungen, Richtlinien und Prozessbeschreibungen dienen hier als Werkzeuge, um das Bewusstsein für den Umgang mit Daten zu schärfen und eine umfassende Datenschutzkultur zu etablieren.

Zusammengefasst lässt sich festhalten, dass der Art. 32 DSGVO weit mehr ist als eine Liste zu ergreifender Maßnahmen. Er ist eine kontinuierliche Verpflichtung für Unternehmen jeder Größe, Datenschutz als integralen Bestandteil ihrer Unternehmensführung und -kultur zu verstehen und aufrechtzuerhalten.

Die Rolle von TOMs in der Datenschutz-Grundverordnung

Die Einführung der Datenschutzgrundverordnung (DSGVO) hat ein neues Zeitalter im Datenschutzrecht eingeläutet. Eine wesentliche Säule dieser Regelung bildet die Implementierung von technischen und organisatorischen Maßnahmen (TOMs), welche entscheidend für die Datenschutzcompliance und die DSGVO-Konformität sind. Sie dienen dazu, sowohl die Sicherheit der Verarbeitung personenbezogener Daten zu erhöhen als auch die Rechte der Betroffenen zu sichern.

Verantwortliche und Auftragsverarbeiter sind dazu angehalten, effektive TOMs zu etablieren, die ein angemessenes Schutzniveau für persönliche Daten bieten. Solche Maßnahmen sollen nicht nur die Sicherheit der Daten gewährleisten, sondern auch die Integrität des Datenschutzsystems eines Unternehmens stärken.

Genehmigte Verhaltensregeln oder Zertifizierungen können als Indikatoren dienen, um die Erfüllung der Anforderungen des Artikels 32 der DSGVO zu demonstrieren. Die Vertraulichkeit, Integrität und Verfügbarkeit der Daten muss regelmäßig überprüft und gewährleistet werden. Infolge dessen ist eine kontinuierliche Bewertung der Maßnahmen erforderlich, um dynamisch auf sich wandelnde technologische Gegebenheiten und Bedrohungslagen reagieren zu können.

Letztlich spielen die TOMs eine entscheidende Rolle bei der Gewährleistung, dass die Verarbeitung von personenbezogenen Daten stets unter der Kontrolle des Verantwortlichen stattfindet und sämtliche beteiligte Personen den Datenschutzmaßnahmen entsprechend handeln. Dieses reaktionsfähige Datenschutzmanagement trägt dazu bei, das Vertrauen in Unternehmen und deren Praktiken zu vertiefen und durch Transparenz und Kundenzentriertheit herauszustechen. Mit einem wirksamen Einsatz von TOMs unterstreicht ein Unternehmen seine Verpflichtung sowohl gegenüber der Datenschutzgrundverordnung als auch gegenüber den Rechten jeder einzelnen Person, deren Daten es verarbeitet.

Technische Maßnahmen zur Datensicherheit

Die Absicherung kritischer IT-Infrastrukturen und die Integrität von Daten sind zentrale Pfeiler der Datenschutz-Grundverordnung. Wir beleuchten spezifische technische Sicherheitsmaßnahmen, die zur Erreichung und Aufrechterhaltung eines hohen Stands an Datensicherheit unerlässlich sind.

Technische Maßnahmen im Überblick

Technische Maßnahmen bieten ein robustes Fundament für die Datensicherheit. Zu den essentiellen Werkzeugen zählen Firewalls, die einerseits externe Angriffe abwehren, andererseits auch den internen Datenverkehr regulieren. Moderne Antivirenprogramme und regelmäßige Software-Updates sind weitere Schritte, um Sicherheitslücken präventiv zu schließen.

Verschlüsselung und Pseudonymisierung als Kernaspekte

Zur Sicherung vertraulicher Informationen setzen führende Unternehmen auf Verschlüsselung und Pseudonymisierung. Die Verschlüsselung sorgt dafür, dass Daten ohne den entsprechenden Schlüssel nicht lesbar sind, selbst wenn sie in falsche Hände geraten sollten. Pseudonymisierung hingegen reduziert die Verknüpfung von Datensätzen mit identifizierbaren Personen und ist somit ein effektives Mittel zur Risikoreduktion. Beide Methoden sind integraler Teil eines durchdachten Datenschutzkonzeptes.

Physische Absicherung von Datenverarbeitungsanlagen

Neben der digitalen Sicherheit ist die physische Sicherung von Datenverarbeitungsanlagen ausschlaggebend. Alarm- und Zugangskontrollsysteme verhindern unautorisierten Zutritt zu sensiblen Bereichen. Strenge Zugangsprotokolle und bauliche Maßnahmen wie verstärkte Türen oder Sicherheitsschlösser dienen als Barrieren gegen physische Angriffe auf die IT-Infrastruktur.

Organisatorische Maßnahmen zur Absicherung der Datenverarbeitung

Um die Integrität und Sicherheit personenbezogener Daten zu gewährleisten, sind organisatorische Maßnahmen entscheidend. Diese strategischen Handlungsweisen stellen sicher, dass Datenschutzmanagement nicht nur eine Richtlinie bleibt, sondern aktiv im Unternehmensalltag gelebt wird.

Interne Richtlinien und Prozesse

Datenschutzmanagement beginnt mit der Formulierung klarer interner Richtlinien. Diese bilden das Gerüst für den Datenschutz im Unternehmen und regeln insbesondere die IT- und Internetnutzung. Durch die Festlegung von Standards und Verfahrensanweisungen wird die Mitarbeiterkompetenz im Hinblick auf Datenschutz gestärkt.

Schulung von Mitarbeitern und Verpflichtung auf das Datengeheimnis

Regelmäßige Schulungen sind unerlässlich, um die Kompetenzen der Mitarbeiter zu fördern und ein Bewusstsein für den verantwortungsbewussten Umgang mit personenbezogenen Daten zu schaffen. Alle Teammitglieder werden zudem auf das Datengeheimnis verpflichtet, um die Vertraulichkeit und den Schutz der Daten jederzeit zu garantieren.

Verfahrensweisen zur Datensicherheit und der Umgang mit Vorfällen

Für eine effektive Reaktion auf Datenschutzvorfälle sind klar definierte Prozesse notwendig. Dies beinhaltet die Entwicklung von Notfallplänen und die Etablierung von Prozeduren, die sicherstellen, dass im Falle einer Datenpanne schnell und angemessen reagiert werden kann.

Risikomanagement und Datenschutz-Folgenabschätzung

In der sich ständig wandelnden digitalen Landschaft ist ein proaktives Risikomanagement zur Identifikation und Minderung potenzieller Datenschutzrisiken unerlässlich. Die DSGVO unterstreicht dies mit Art. 32 DSGVO und Art. 35 DSGVO, welche die Durchführung einer Datenschutzfolgenabschätzung (DSFA) verlangen. Insbesondere bei Datenverarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, wird eine solche Risikoanalyse vorausgesetzt.

Die DSFA dient dazu, die Wahrscheinlichkeit und Schwere potenzieller Datenschutzverletzungen zu bewerten und entsprechende technische und organisatorische Maßnahmen zur Risikominimierung oder -eliminierung zu planen und umzusetzen. Eine gründliche DSFA hilft, Datenschutzrisiken transparent zu machen und Strategien zu entwickeln, die das Sicherheitsprofil des Unternehmens stärken.

• Frühzeitige Erkennung von Datenschutzrisiken
• Analyse der Eintrittswahrscheinlichkeit und potenziellen Auswirkungen von Datenschutzvorfällen
• Erarbeitung und Umsetzung von technischen und organisatorischen Schutzmaßnahmen
• Kontinuierliche Überwachung und Anpassung der Datenschutzstrategien

Die Erstellung und Überwachung eines Risikomanagement-Plans ist ein fortlaufender Prozess, der die Bewertung und Anpassung von Datenschutzpraktiken im Unternehmenskontext erforderlich macht, um den sich ständig verändernden Herausforderungen gerecht zu werden.

Die DSFA ist ein wesentlicher Aspekt des Risikomanagements und ein Instrument, mit dem sich Unternehmen gegen potenzielle Datenschutzrisiken absichern können. Der aus der DSFA resultierende Aktionsplan ermöglicht es, Reaktionsstrategien vorzubereiten, die eine schnelle und effektive Antwort auf Datenschutzvorfälle bieten und das Vertrauen der Nutzer in die Datensicherheitspolitik des Unternehmens stärken.

Verpflichtung zur Dokumentation und Rechenschaft nach Art. 32 DSGVO

Die Dokumentation und Nachweispflicht nach Artikel 32 der Datenschutz-Grundverordnung ist eine zentrale Säule, um Transparenz zu schaffen und die Umsetzung von Datenschutzmaßnahmen nachvollziehbar zu machen. Unternehmen sind dadurch in der Pflicht, nicht nur geeignete technische und organisatorische Maßnahmen zu ergreifen, sondern diese auch lückenlos zu dokumentieren. Solche Datenschutzdokumentationen dienen als wesentlicher Nachweis der Einhaltung der DSGVO-Rechenschaft.

Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (VVT)

Ein essentieller Bestandteil der DSGVO-Dokumentationspflicht ist die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). In diesem Verzeichnis werden alle relevanten Informationen zu den Verarbeitungsprozessen personenbezogener Daten festgehalten. Es bietet somit einen Überblick über das Datenmanagement und unterstützt bei der Einhaltung der Rechenschaftspflicht.

Bedeutung der schriftlichen Dokumentation technischer und organisatorischer Maßnahmen

Das schriftliche Festhalten der implementierten technischen und organisatorischen Maßnahmen ist nicht nur eine formelle Notwendigkeit – es dient ebenfalls dazu, die Effektivität und Angemessenheit der Datenschutzstrategie zu belegen. Darüber hinaus ermöglicht es, bei Prüfungen seitens der Aufsichtsbehörden oder bei Fragen betroffener Personen, schnell und zielführend Auskunft geben zu können.

Transparenz und Nachweis der Datenschutzcompliance

Ein offener Umgang mit Datenschutzmaßnahmen und deren Dokumentation fördert die Transparenz und zeigt, dass Unternehmen die Grundrechte und Freiheiten der Nutzer respektieren. Die Bereitschaft, sich der DSGVO-Rechenschaft zu stellen, zeigt nicht nur Rechtskonformität, sondern auch das Bemühen um eine verantwortungsbewusste Unternehmenskultur.

Messung der Wirksamkeit von TOMs

Die Einhaltung des Artikels 32 DSGVO ist für Unternehmen von größter Bedeutung, wenn es darum geht, die Vertraulichkeit und Integrität personenbezogener Daten zu schützen. Eine zentrale Rolle spielt dabei die fortlaufende Wirksamkeitsprüfung, die Evaluierung der Datenschutzmaßnahmen und das kontinuierliche Datenschutz Monitoring. Diese Prozesse dienen nicht nur der Überwachung und Aufrechterhaltung der Sicherheitsstandards, sondern sind auch entscheidend für die Anpassung an neue Risiken und Technologien.

Unternehmen müssen effiziente Mechanismen etablieren, um regelmäßige Überprüfungen der technischen und organisatorischen Maßnahmen (TOMs) zu implementieren. Die Bestimmungen des Art. 32 DSGVO fordern explizit Verfahren zur ständigen Überwachung der Effizienz dieser Maßnahmen, um ein konstant hohes Niveau des Datenschutzes zu gewährleisten.

• Regelmäßige Datenschutz-Audits, um die Einhaltung der Datenschutzrichtlinien zu bewerten.
• Durchführung von Penetrationstests, um Sicherheitslücken zu identifizieren und zu schließen.
• Einsatz von Monitoring-Systemen, die in Echtzeit Aktivitäten überwachen und Unregelmäßigkeiten melden.

Wichtig ist dabei eine transparente Dokumentation der Ergebnisse dieser Prüfungen, um bei eventuell auftretenden Datenschutzverletzungen rechenschaftspflichtig agieren zu können. Die während dieser Prozesse gesammelten Daten liefern tiefergehende Einsichten und ermöglichen es, präventive Maßnahmen zu ergreifen, um den Schutz der Daten zu verbessern und aufrechtzuerhalten.

Die Wirksamkeitsprüfung der TOMs ist somit ein dynamischer Prozess, der eine dauerhafte Anpassung und Optimierung der Datenschutzstrategien erforderlich macht. Nur durch eine fortwährende Überwachung und Anpassung an die sich stetig ändernden Rahmenbedingungen können Unternehmen die Sicherheit der verarbeiteten Daten garantieren und das Vertrauen ihrer Kunden langfristig sichern.

Verhältnismäßigkeitsprinzip bei der Auswahl von TOMs

Beim Schutz personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO) spielt das Verhältnismäßigkeitsprinzip eine zentrale Rolle. Es fordert eine ausgewogene Berücksichtigung von Datenschutzanforderungen und den damit verbundenen Implementierungskosten, ohne dabei Kompromisse bei der Sicherheit einzugehen. Dabei ist es essenziell, immer den Stand der Technik und das erforderliche Datenschutzniveau zu berücksichtigen.

Abwägung zwischen Schutzbedarf und Implementierungskosten

Die Auswahl und Umsetzung von technischen und organisatorischen Maßnahmen sollte immer auf einer gründlichen Kosten-Nutzen-Analyse basieren. Dabei muss beachtet werden, dass die Kosten für die Implementierung von Datenschutzmaßnahmen in einem vernünftigen Verhältnis zum Schutzbedarf der zu sichernden Daten stehen. Dieser Ansatz unterstützt Unternehmen dabei, effiziente und wirtschaftlich vertretbare Datenschutzstrategien zu entwickeln.

Berücksichtigung des aktuellen Standes der Technik

Die Technik entwickelt sich rasant weiter, und entsprechend müssen auch Datenschutzmaßnahmen stetig angepasst werden. Der Stand der Technik spielt hier eine entscheidende Rolle und umfasst nicht nur die neuesten Sicherheitstools, sondern auch etablierte Methoden und Prozesse, die sich als wirksam erwiesen haben. Die Wahl der richtigen TOMs muss sich daher nach dem neuesten technologischen Entwicklungsstand richten.

Einhaltung des Datenschutzniveaus in Bezug auf die Verarbeitungszwecke

Das Ziel von technischen und organisatorischen Maßnahmen ist es, ein angemessenes Datenschutzniveau zu erreichen und aufrechtzuerhalten. Dies bezieht sich nicht nur auf die Sicherheit der Daten, sondern auch auf die Notwendigkeit, dass die Maßnahmen der Art und dem Zweck der Datenverarbeitung entsprechen. Je sensibler die Daten, desto höher das Anforderungsniveau an den Datenschutz.

Letztendlich sind die Verhältnismäßigkeitsprinzip, Implementierungskosten, Stand der Technik und das erforderliche Datenschutzniveau wesentliche Faktoren, die in Einklang miteinander gebracht werden müssen, um sowohl die Anforderungen der DSGVO zu erfüllen als auch eine praxisorientierte Datenschutzumgebung in Unternehmen zu schaffen.

Geeignete technische und organisatorische Maßnahmen für Auftragsverarbeiter

In der modernen Datenwirtschaft spielen Auftragsverarbeiter eine entscheidende Rolle, wenn es um die Verarbeitung personenbezogener Daten geht. Laut DSGVO Art. 28 sind nicht nur die datenverantwortlichen Unternehmen, sondern auch die von ihnen beauftragten Dienstleister, also Auftragsverarbeiter, verpflichtet, adäquate technische und organisatorische Maßnahmen zu treffen, um den Datenschutz zu gewährleisten. Im Zuge der Auswahlverantwortlichkeit müssen Unternehmen sicherstellen, dass ihre Dienstleister in der Lage sind, den umfassenden Anforderungen des Datenschutzes gerecht zu werden, was wiederum ein hohes Maß an Datenschutzkonformität voraussetzt.

Dies bedeutet, dass bei der Auswahl geeigneter Dienstleister nicht nur deren Preisgestaltung oder Angebotsportfolio berücksichtigt werden darf. Auch die Kompetenz im Bereich Datenschutz und die Bereitschaft, entsprechende Maßnahmen sowohl zu implementieren als auch nachzuhalten, sind entscheidend. Konkret schreibt der Art. 32 DSGVO vor, dass Auftragsverarbeiter Maßnahmen ergreifen müssen, die die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten dauerhaft sicherstellen.

Verträge zwischen datenverarbeitenden Unternehmen und ihren Auftragsverarbeitern müssen daher spezifische Klauseln enthalten, die auf eine klare Definition und Dokumentation dessen abzielen, was von den Auftragsverarbeitern im Sinne der DSGVO verlangt wird. Dies beinhaltet neben einer angemessenen Sicherung der IT-Infrastruktur auch Prozessanweisungen und Schulungen für Mitarbeiter des Dienstleisters, um datenschutzkonform mit den Daten umzugehen.

Die folgende Tabelle gibt einen Überblick über die erforderlichen technischen und organisatorischen Maßnahmen für Auftragsverarbeiter:

Die Umsetzung dieser Maßnahmen trägt nicht nur zur Erhöhung der Datensicherheit bei, sondern stärkt auch das Vertrauen der Kunden und Geschäftspartner in die Datenschutzpraktiken des Unternehmens. Ein transparenter und dokumentierter Ansatz ist dabei der Schlüssel zur Vermeidung von Verstößen gegen die DSGVO und potenziellen Sanktionen.

Zusammenfassend lässt sich sagen, dass die Auswahl und Überwachung von Auftragsverarbeitern ein integraler Bestandteil der Datenschutzstrategie eines Unternehmens sein muss. Es reicht nicht mehr aus, lediglich die eigenen Unternehmensprozesse datenschutzkonform zu gestalten. Die Verantwortung erstreckt sich vielmehr auf die gesamte Datenverarbeitungskette, wodurch die Auswahlverantwortlichkeit unter der DSGVO eine zentrale Herausforderung darstellt.

Technische und organisatorische Maßnahmen im Datenschutz Audit

Ein umfassendes Datenschutz-Audit ist eine fundamentale Komponente, um die Effizienz und Rechtskonformität der technischen und organisatorischen Maßnahmen innerhalb eines Unternehmens zu überprüfen. Im Zuge eines solchen Audits werden nicht nur bestehende Abläufe und Strategien detailliert untersucht, sondern ebenso mögliche Schwachstellen identifiziert und Sicherheitsbewertungen vorgenommen. Das Ziel besteht darin, Datenschutzrisiken zu erkennen und zu bewerten, um darauf aufbauend eine optimierte Datenschutzstrategie zu entwickeln.

Durch die Implementierung von Kontinuierlichem Monitoring werden Datenverarbeitungsprozesse überwacht und ungewöhnliche Aktivitäten frühzeitig erkannt. Dies ist ein dynamischer Prozess, der eine dauerhafte Überwachung und Anpassung an die sich ständig ändernden Rahmenbedingungen erfordert, um ein adäquates Datenschutzniveau aufrechtzuerhalten.

Das Audit selbst kann sowohl von internen Revisionsabteilungen als auch von externen Prüfern durchgeführt werden, wobei ein besonderes Augenmerk auf die Einhaltung der aktuellen rechtlichen Datenschutzvorgaben, insbesondere des Art. 32 DSGVO, gelegt wird. Hierbei ist das Hauptaugenmerk auf eine gründliche Risikoanalyse gerichtet, die als Basis für Verbesserungsmaßnahmen dient.

Ein Datenschutz-Audit stellt folglich eine maßgebliche Maßnahme dar, datenschutzrechtliche Verpflichtungen ernst zu nehmen und aktiv ein zukunftssicheres Datenschutzkonzept zu etablieren. Der Prozess fördert nicht nur die Transparenz und Rechenschaft innerhalb des Unternehmens, sondern demonstriert gegenüber Kunden und Partnern ein festes Engagement für den Schutz persönlicher Daten und Informationsfreiheit.

Art. 32 DSGVO Wortlaut – Die vier Absätze im Überblick

Der vollständige Artikel 32 DSGVO gliedert sich in vier Absätze, die zusammen das Fundament für die technischen und organisatorischen Maßnahmen bilden. Eine Kenntnis des genauen Wortlauts ist für die korrekte Umsetzung unerlässlich.

Absatz 1 bildet den Kern der Vorschrift: Verantwortliche und Auftragsverarbeiter müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos geeignete technische und organisatorische Maßnahmen treffen. Dabei nennt Art. 32 DSGVO ausdrücklich vier Schutzziele:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a DSGVO)
• Die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen (Art. 32 Abs. 1 lit. b DSGVO)
• Die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (Art. 32 Abs. 1 lit. c DSGVO)
• Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO)

Absatz 2 konkretisiert die Risikobewertung: Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind – etwa durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung personenbezogener Daten.

Absatz 3 verweist auf genehmigte Verhaltensregeln gemäß Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren gemäß Art. 42 DSGVO als Nachweis für die Einhaltung der Anforderungen.

Absatz 4 verpflichtet den Verantwortlichen, sicherzustellen, dass ihm unterstellte Personen personenbezogene Daten nur auf Anweisung verarbeiten – es sei denn, sie sind durch Unionsrecht oder nationales Recht zur Verarbeitung verpflichtet.

Was sind TOMs? – Technische vs. organisatorische Maßnahmen

Die Abkürzung TOMs steht für technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Diese lassen sich in zwei Hauptkategorien unterteilen, die zusammen ein umfassendes Schutzkonzept für personenbezogene Daten bilden.

Technische Maßnahmen – Beispiele

Technische Maßnahmen betreffen alle physischen und digitalen Schutzvorkehrungen, die unmittelbar an IT-Systemen und Infrastruktur ansetzen:

• Verschlüsselung: Ende-zu-Ende-Verschlüsselung von E-Mails, Festplattenverschlüsselung (BitLocker, FileVault), TLS/SSL für Datenübertragungen, verschlüsselte Datenbanken
• Pseudonymisierung: Ersetzen identifizierender Merkmale durch Kennzeichen, sodass ohne Zusatzinformationen kein Personenbezug hergestellt werden kann
• Zutrittskontrolle: Schließanlagen, Chipkarten, biometrische Zugangssysteme, Videoüberwachung, Besucherausweise und Empfangsregelungen für Serverräume und Rechenzentren
• Zugangskontrolle: Passwortrichtlinien, Zwei-Faktor-Authentifizierung (2FA), automatische Bildschirmsperren, VPN-Zugänge für Remote-Arbeit
• Zugriffskontrolle: Rollenbasierte Berechtigungskonzepte (RBAC), Need-to-know-Prinzip, regelmäßige Überprüfung von Zugriffsrechten, Protokollierung von Datenzugriffen
• Weitergabekontrolle: Verschlüsselte Datenübertragung, sichere Schnittstellen (APIs), Dokumentation aller Datenübermittlungen, Transportverschlüsselung
• Eingabekontrolle: Protokollierung von Dateneingaben, Änderungen und Löschungen in IT-Systemen
• Verfügbarkeitskontrolle: Backup-Strategien, USV-Anlagen, Brandschutz, redundante Systeme, Disaster-Recovery-Konzepte

Organisatorische Maßnahmen – Beispiele

Organisatorische Maßnahmen umfassen alle prozessualen, personellen und strukturellen Vorkehrungen:

• Datenschutzrichtlinien: Interne Anweisungen zum Umgang mit personenbezogenen Daten, Clean-Desk-Policy, Richtlinien zur Nutzung privater Endgeräte (BYOD)
• Mitarbeiterschulungen: Regelmäßige Datenschutzschulungen und Sensibilisierungsmaßnahmen für alle Beschäftigten
• Verpflichtung auf Vertraulichkeit: Schriftliche Verpflichtung aller Mitarbeiter auf das Datengeheimnis gemäß Art. 28 Abs. 3 lit. b DSGVO
• Bestellung eines Datenschutzbeauftragten: Benennung eines internen oder externen Datenschutzbeauftragten gemäß Art. 37 DSGVO
• Notfallmanagement: Incident-Response-Pläne, Meldeketten bei Datenpannen gemäß Art. 33/34 DSGVO
• Auftragsverarbeitung: Abschluss von Auftragsverarbeitungsverträgen (AVV) nach Art. 28 DSGVO mit allen Dienstleistern
• Trennungsgebot: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

Art. 32 DSGVO Checkliste – Vollständige TOM-Checkliste für Unternehmen

Die folgende Art. 32 DSGVO Checkliste hilft Ihnen, systematisch alle erforderlichen technischen und organisatorischen Maßnahmen zu prüfen und zu dokumentieren. Nutzen Sie diese Übersicht als Grundlage für Ihre TOM-Dokumentation.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, c DSGVO)

4. Überprüfung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO)

Der risikobasierte Ansatz nach Art. 32 DSGVO

Art. 32 DSGVO verfolgt einen risikobasierten Ansatz: Nicht jedes Unternehmen muss dieselben Maßnahmen umsetzen. Die Auswahl geeigneter TOMs hängt von vier zentralen Faktoren ab, die in einem ausgewogenen Verhältnis zueinander stehen müssen.

Stand der Technik

Der Stand der Technik beschreibt den aktuellen Entwicklungsstand technologischer Verfahren, die sich in der Praxis bewährt haben. Unternehmen müssen ihre Sicherheitsmaßnahmen regelmäßig an neue technologische Entwicklungen anpassen. Was vor fünf Jahren als ausreichend galt – etwa eine einfache Passwortsicherung ohne Zwei-Faktor-Authentifizierung – entspricht heute nicht mehr dem Stand der Technik. Orientierungshilfen bieten die Handlungsempfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) sowie branchenspezifische Standards wie ISO 27001.

Implementierungskosten

Die Implementierungskosten dürfen bei der Auswahl der Maßnahmen berücksichtigt werden. Allerdings entbindet ein knappes Budget nicht von der Pflicht, angemessene Schutzmaßnahmen zu ergreifen. Insbesondere bei sensiblen Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten) sind höhere Investitionen gerechtfertigt und erforderlich. Ein kleines Unternehmen, das ausschließlich Kundenadressen verarbeitet, hat andere Anforderungen als ein Krankenhaus oder eine Arztpraxis.

Eintrittswahrscheinlichkeit des Risikos

Wie wahrscheinlich ist es, dass ein bestimmtes Risiko eintritt? Diese Frage muss für jeden Verarbeitungsvorgang individuell beantwortet werden. Faktoren wie die Anzahl der betroffenen Personen, die Art der verarbeiteten Daten und die Komplexität der IT-Infrastruktur spielen dabei eine entscheidende Rolle. Eine systematische Risikoanalyse hilft, die Eintrittswahrscheinlichkeit realistisch einzuschätzen.

Schwere des Risikos für die Rechte und Freiheiten

Neben der Wahrscheinlichkeit ist auch die Schwere des möglichen Schadens zu bewerten. Ein Datenverlust bei sensiblen Gesundheitsdaten wiegt schwerer als bei allgemeinen Geschäftskontaktdaten. Die DSGVO nennt als mögliche Schäden: Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder den Verlust der Kontrolle über die eigenen Daten.

Verhältnis von Art. 32 DSGVO zu anderen DSGVO-Artikeln

Art. 32 DSGVO steht nicht isoliert, sondern ist eng mit anderen zentralen Vorschriften der Datenschutz-Grundverordnung verknüpft. Das Verständnis dieser Zusammenhänge ist entscheidend für eine ganzheitliche Datenschutzstrategie.

Art. 5 DSGVO – Grundsätze der Verarbeitung

Art. 5 Abs. 1 lit. f DSGVO verankert den Grundsatz der „Integrität und Vertraulichkeit“. Dieser Grundsatz bildet die übergeordnete Anforderung, die durch Art. 32 DSGVO konkretisiert wird. Die TOMs sind somit das operative Werkzeug zur Erfüllung dieses Grundsatzes.

Art. 24 DSGVO – Verantwortung des Verantwortlichen

Art. 24 DSGVO verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Während Art. 24 die allgemeine Verantwortung regelt, konkretisiert Art. 32 die spezifischen Sicherheitsanforderungen.

Art. 25 DSGVO – Datenschutz durch Technikgestaltung (Privacy by Design)

Art. 25 DSGVO fordert Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Während Art. 32 die laufende Sicherheit der Verarbeitung adressiert, zielt Art. 25 auf die Berücksichtigung des Datenschutzes bereits bei der Entwicklung von Systemen und Prozessen ab. Beide Artikel ergänzen sich und müssen gemeinsam betrachtet werden.

Art. 28 DSGVO – Auftragsverarbeitung

Bei der Auftragsverarbeitung nach Art. 28 DSGVO muss der Auftragsverarbeiter hinreichende Garantien dafür bieten, dass geeignete TOMs gemäß Art. 32 umgesetzt werden. Der Auftragsverarbeitungsvertrag (AVV) muss die konkreten Maßnahmen beschreiben. Als Verantwortlicher sind Sie verpflichtet, die TOMs Ihrer Auftragsverarbeiter zu überprüfen.

Dokumentationspflicht für TOMs nach Art. 32 DSGVO

Die Dokumentation der technischen und organisatorischen Maßnahmen ist keine freiwillige Übung, sondern eine zentrale Pflicht aus der DSGVO. Gemäß der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) müssen Unternehmen jederzeit nachweisen können, dass sie angemessene Schutzmaßnahmen getroffen haben.

Was muss dokumentiert werden?

• Beschreibung aller implementierten TOMs – detailliert und aktuell, gegliedert nach den Schutzzielen Vertraulichkeit, Integrität, Verfügbarkeit
• Risikoanalyse: Dokumentation der durchgeführten Risikobewertungen einschließlich der identifizierten Risiken und der abgeleiteten Maßnahmen
• Überprüfungsprotokolle: Ergebnisse regelmäßiger Audits, Penetrationstests und Wirksamkeitsprüfungen
• Änderungshistorie: Nachvollziehbare Dokumentation aller Änderungen an den TOMs mit Datum, Grund und verantwortlicher Person
• Verantwortlichkeiten: Klare Zuweisung, wer für welche Maßnahmen zuständig ist

Wo werden TOMs dokumentiert?

Die TOM-Dokumentation ist ein eigenständiges Dokument, das eng mit dem Verzeichnis der Verarbeitungstätigkeiten (VVT) verknüpft sein sollte. Viele Unternehmen integrieren eine Kurzübersicht der TOMs in ihr VVT und verweisen auf eine ausführliche TOM-Dokumentation. Weitere Informationen zur professionellen TOM-Erstellung finden Sie auf unserer Seite TOM Datenschutz.

Wie oft müssen TOMs aktualisiert werden?

Es gibt keine feste gesetzliche Frist, jedoch sollten TOMs mindestens jährlich überprüft und bei Bedarf aktualisiert werden. Anlässe für eine außerplanmäßige Aktualisierung sind:

• Einführung neuer IT-Systeme oder Verarbeitungsprozesse
• Datenschutzvorfälle oder erkannte Schwachstellen
• Änderungen in der Unternehmensstruktur (z. B. neue Standorte, Remote-Arbeit)
• Neue rechtliche Anforderungen oder Empfehlungen der Aufsichtsbehörden
• Technologischer Fortschritt, der den Stand der Technik verändert

Bußgelder bei Verstößen gegen Art. 32 DSGVO

Verstöße gegen die Pflichten aus Art. 32 DSGVO können empfindliche Bußgelder nach sich ziehen. Gemäß Art. 83 Abs. 4 lit. a DSGVO drohen Geldbußen von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Beispiele realer Bußgelder wegen unzureichender TOMs

Die europäischen Datenschutz-Aufsichtsbehörden haben bereits zahlreiche Bußgelder wegen mangelhafter technischer und organisatorischer Maßnahmen verhängt:

• 1&1 Telecom (Deutschland, 2019): 9,55 Millionen Euro – unzureichende Authentifizierungsverfahren bei der telefonischen Kundenbetreuung. Kunden konnten durch Angabe von Name und Geburtsdatum auf fremde Konten zugreifen.
• British Airways (Großbritannien, 2020): 22 Millionen Euro – unzureichende Sicherheitsmaßnahmen führten zu einem Datenleck, bei dem 400.000 Kundendaten einschließlich Kreditkartendaten kompromittiert wurden.
• Knuddels.de (Deutschland, 2018): 20.000 Euro – Speicherung von Passwörtern im Klartext. Nach einem Hackerangriff wurden 330.000 Nutzerdaten veröffentlicht. Das relativ niedrige Bußgeld resultierte aus der vorbildlichen Kooperation mit der Aufsichtsbehörde.
• Marriott International (Großbritannien, 2020): 20,4 Millionen Euro – mangelhafte Sicherheitsmaßnahmen bei einem übernommenen Unternehmen. 339 Millionen Gästedaten waren über Jahre unzureichend geschützt.
• AOK Baden-Württemberg (Deutschland, 2020): 1,24 Millionen Euro – unzureichende technische und organisatorische Maßnahmen bei der Durchführung von Gewinnspielen, bei denen Gesundheitsdaten verarbeitet wurden.

Diese Beispiele verdeutlichen: Die Aufsichtsbehörden bewerten nicht nur, ob TOMs vorhanden sind, sondern auch deren Qualität und Angemessenheit. Eine rein formale Dokumentation ohne tatsächliche Umsetzung schützt nicht vor Bußgeldern. Entscheidend ist, dass die Maßnahmen dem Stand der Technik entsprechen und verhältnismäßig zum Risiko sind.

Lassen Sie sich von unseren Datenschutzbeauftragten beraten, welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, um Bußgeldrisiken zu minimieren.

Art. 32 DSGVO und ISO 27001 — Synergien nutzen

Die internationale Norm ISO 27001 für Informationssicherheits-Managementsysteme (ISMS) und Art. 32 DSGVO verfolgen ähnliche Ziele — unterscheiden sich jedoch in Ansatz und Verbindlichkeit. Wer beide Frameworks versteht, kann Synergien gezielt nutzen und den Umsetzungsaufwand erheblich reduzieren.

Gemeinsamkeiten von Art. 32 DSGVO und ISO 27001

Beide Rahmenwerke fordern einen risikobasierten Ansatz bei der Auswahl von Sicherheitsmaßnahmen. Die Kernprinzipien überschneiden sich deutlich:

ISO 27001 als Nachweis für Art. 32 Compliance

Eine ISO-27001-Zertifizierung kann als starkes Indiz dafür dienen, dass ein Unternehmen angemessene TOMs nach Art. 32 DSGVO implementiert hat. Erwägungsgrund 77 der DSGVO verweist explizit auf Verhaltensregeln und Zertifizierungen als Mittel zum Nachweis der Compliance. Allerdings gilt:

• ISO 27001 allein reicht nicht aus: Die Norm deckt den Schutz aller Informationswerte ab, nicht spezifisch personenbezogener Daten. Ergänzend sollte ISO 27701 (Datenschutz-Erweiterung) implementiert werden.
• Scope muss passen: Die Zertifizierung muss die relevanten Verarbeitungstätigkeiten tatsächlich abdecken. Ein auf die IT-Abteilung beschränkter Scope hilft nicht bei Datenschutzverstößen im Vertrieb.
• Mapping erforderlich: Die Annex-A-Controls der ISO 27001 müssen den spezifischen TOM-Anforderungen des Art. 32 zugeordnet werden.
• Kontinuierliche Pflege: Sowohl die Zertifizierung als auch die DSGVO-Compliance erfordern fortlaufende Anpassung an neue Bedrohungen und den Stand der Technik.

Mapping: ISO 27001 Annex-A-Controls auf Art. 32 DSGVO

Die wichtigsten Zuordnungen zwischen ISO 27001:2022 und den TOM-Kategorien:

Unternehmen, die bereits ein ISMS nach ISO 27001 betreiben, haben damit eine solide Grundlage für die Art. 32 Compliance. Umgekehrt profitieren Unternehmen, die ihre TOMs systematisch dokumentieren, bei einer späteren ISO-27001-Zertifizierung von deutlich geringerem Zusatzaufwand.

Fazit

Die umfassende Betrachtung des Art. 32 DSGVO unterstreicht die Bedeutsamkeit einer effektiven Datenschutzstrategie für die Unternehmenssicherheit. Indem Unternehmen die vorgeschriebenen technischen und organisatorischen Maßnahmen konsequent umsetzen und dokumentieren, erfüllen sie nicht nur ihre Compliance-Pflichten, sondern verstärken auch das Vertrauen in ihre Marke. Die Schlüsselelemente für eine erfolgreiche Implementierung beinhalten ein ganzheitliches Sicherheitskonzept und die Schaffung einer Datenschutzkultur, die von allen Ebenen getragen wird.

Zusammenfassung der Kernpunkte von Art. 32 DSGVO

Art. 32 DSGVO bildet einen herausfordernden Rahmen, der verantwortliche Unternehmen dazu verpflichtet, adäquate technische und organisatorische Maßnahmen umzusetzen. Hierbei liegt der Fokus auf dem Schutz personenbezogener Daten und der Aufrechterhaltung eines hohen Datenschutzniveaus, das dem aktuellen Stand der Technik und den Implementierungskosten angemessen Rechnung trägt. Diese Säule der DSGVO gibt vor, wie Datenschutz in der modernen digitalen Wirtschaft gelebt werden sollte.

Wichtige Schritte für Unternehmen zur Einhaltung der TOMs

Für die Umsetzung und Einhaltung der TOMs ist es entscheidend, dass Unternehmen die erforderlichen Compliance Maßnahmen definieren, implementieren und kontinuierlich überprüfen. Dies beinhaltet die Bewertung und Anpassung von Datenschutzstrategien sowie die regelmäßige Schulung der Mitarbeiter. Zudem sollten regelmäßige Datenschutz-Audits und -Folgenabschätzungen durchgeführt werden, um eine kontinuierliche Verbesserung der Datenschutzpraktiken sicherzustellen.

Auswirkungen effektiver Umsetzung auf Datenschutz und Unternehmenssicherheit

Die effektive Umsetzung von Art. 32 erweist sich als essentiell für die Sicherheit und das Vertrauen in ein Unternehmen. Konnten TOMs gewissenhaft und transparent in die Unternehmensprozesse integriert werden, führt dies nicht nur zu einer Erhöhung des Datenschutzniveaus, sondern auch zu einer stärkeren Resilienz gegenüber Cyberattacken und anderen Sicherheitsrisiken. In der Folge wird die Unternehmenssicherheit maßgeblich gestärkt und die Grundlage für eine langfristig erfolgreiche Geschäftsbeziehung mit Kunden und Partnern gelegt.