TOMs nach Art. 32 DSGVO: Vollständiger Maßnahmen-Katalog 2026
1. Mai 2026
19 Min. Lesezeit
Datenschutz
Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO sind die konkreten Sicherheits-Vorkehrungen, die ein Unternehmen zum Schutz personenbezogener Daten umsetzen muss. Die Verordnung definiert acht Schutzziele — von Vertraulichkeit über Integrität bis Wirksamkeitsmessung — und verlangt risikoangepasste Maßnahmen unter Berücksichtigung von Stand der Technik, Umsetzungskosten und Verarbeitungsrisiko. Die deutschen Aufsichtsbehörden orientieren sich am Standard-Datenschutzmodell (SDM) der DSK und am BSI-IT-Grundschutz — beide bieten praxisnahe Anwendungsleitfäden. Bei mangelhaften TOMs drohen Bußgelder bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz — und in Datenpannen-Verfahren sind unzureichende Sicherheitsmaßnahmen der häufigste Sanktions-Verschärfungsgrund.
Technische und organisatorische Maßnahmen sind die operativen Schutzmechanismen, die ein Verantwortlicher (oder Auftragsverarbeiter) zum Schutz personenbezogener Daten implementiert.
Definition nach Art. 32 Abs. 1 DSGVO
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."
Über 70 % aller Datenpannen in deutschen Unternehmen wären durch Standard-TOMs vermeidbar gewesen — Verschlüsselung gegen verlorene Notebooks, MFA gegen Phishing, Patch-Management gegen Ransomware. Die Aufsichtsbehörden bewerten unzureichende TOMs entsprechend streng.
Acht Schutzziele
Art. 32 nennt explizit vier Schutzziele; das Standard-Datenschutzmodell (SDM) der deutschen Datenschutzkonferenz erweitert auf acht.
Die anderen drei (Transparenz, Nichtverkettung, Intervenierbarkeit) sind implizit durch andere DSGVO-Artikel abgedeckt — und werden im SDM als zusätzliche Schutzziele explizit gemacht.
Risikoorientierter Ansatz
DSGVO ist risikoorientiert — TOMs müssen dem konkreten Verarbeitungsrisiko angemessen sein.
Der „Stand der Technik" entwickelt sich kontinuierlich. Maßgeblich sind:
BSI-Empfehlungen und IT-Grundschutz-Profile
ISO-27000-Familie (insbesondere ISO 27002)
EuGH- und BGH-Rechtsprechung
Industriestandards (z. B. NIST, CIS Controls)
Was vor 5 Jahren ausreichte (z. B. einfaches Passwort, kein MFA), gilt heute als unzureichend. Die regelmäßige Aktualisierung der TOMs ist Pflicht.
Maßnahmen-Katalog
Die TOMs strukturieren sich typischerweise nach acht klassischen Kontroll-Bereichen — angelehnt an die deutsche Anlage zu § 9 BDSG-alt (formal entfallen, aber praktisch weiter genutzt).
Klassische TOMs-Struktur
Kontrollbereich
Inhalt
1. Zugangskontrolle
wer darf das System nutzen
2. Zutrittskontrolle
wer darf das Gebäude / den Raum betreten
3. Zugriffskontrolle
welche Daten / Funktionen darf der Nutzer
4. Übertragungskontrolle
wie werden Daten übermittelt
5. Eingabekontrolle
wer hat Daten erfasst / verändert
6. Auftragskontrolle
Auftragsverarbeitung kontrolliert
7. Verfügbarkeitskontrolle
Datenverfügbarkeit bei Ausfällen
8. Trennungskontrolle
Daten verschiedener Mandanten / Zwecke getrennt
Konkretisierung pro Bereich
Kontrollbereich
Typische Maßnahmen
Zugangskontrolle
starkes Passwort, MFA, automatische Bildschirmsperre, VPN, IAM
Externe Audit-Berichte als Nachweis (SOC 2, ISO 27001)
Häufige Fehler
Aus der Praxis von über 200 Datenschutz-Audits — die zehn typischen TOMs-Fehler.
Top-10 TOMs-Fehler
Fehler
Häufigkeit
Auswirkung
Pauschale TOMs ohne Bezug zur konkreten Verarbeitung
50 %
nicht überprüfbar
Veraltete Maßnahmen (z. B. TLS 1.0, einfaches Passwort)
35 %
Stand-der-Technik-Verstoß
Backup ohne Restore-Tests
60 %
Verfügbarkeit nicht nachweisbar
MFA fehlt für privilegierte Zugriffe
40 %
hohes Phishing-Risiko
Logging unvollständig
45 %
Vorfälle nicht nachvollziehbar
Schwachstellen-Patches verspätet
50 %
Compliance-Lücke
Wirksamkeits-Tests fehlen
55 %
Art. 32 Abs. 1 d-Verstoß
Schulungen ohne Wirksamkeitsmessung
40 %
nicht nachweisbar
Lieferanten-TOMs nicht überprüft
60 %
unkontrolliertes Risiko
Pseudonymisierung nicht angewandt wo möglich
35 %
Verhältnismäßigkeit fraglich
Vermeidung durch SDM-Methodik
Die systematische Anwendung des Standard-Datenschutzmodells (SDM) mit Bezug auf die acht Schutzziele und die sieben Bausteine reduziert TOMs-Fehler um etwa 70 %.
Bußgeldpraxis
Mangelhafte TOMs werden in der Bußgeldpraxis selten als Hauptverstoß sanktioniert — sondern als wesentlicher Verschärfungsgrund in Datenpannen-Verfahren.
Beispielfälle
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund TOMs-Defizit
2024
BlnBDI
Wohnungsunternehmen
14,5 Mio. EUR
u. a. fehlende Datenklassifizierung und Verschlüsselung
2023
LfDI BW
Online-Handel
405.000 EUR
systematisch zu schwache TOMs
2023
BayLDA
Krankenhaus
105.000 EUR
unzureichende Zugangskontrolle bei Patientendaten
2022
LDI NRW
E-Commerce
65.500 EUR
mangelhafte Übertragungskontrolle
Bußgeldhöhe
Verstoß
Maximum nach Art. 83
TOMs-Verstoß bei Standard-Daten
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
TOMs-Verstoß bei besonderen Kategorien
20 Mio. EUR oder 4 % weltweiter Jahresumsatz
kombinierte Verstöße (z. B. mit Datenpanne)
sehr hoch — Bußgelder addieren sich
FAQ
Was sind TOMs nach Art. 32 DSGVO?
Technische und organisatorische Maßnahmen — die konkreten Sicherheits-Vorkehrungen, die ein Unternehmen zum Schutz personenbezogener Daten implementiert.
Welche Schutzziele gibt es?
Art. 32 nennt explizit Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit. Das SDM ergänzt um Transparenz, Nichtverkettung und Intervenierbarkeit (insgesamt acht Schutzziele).
Was bedeutet „Stand der Technik"?
Der aktuelle Industriestandard für Sicherheitsmaßnahmen — orientiert an BSI-Empfehlungen, ISO-27000-Familie, NIST und aktueller Rechtsprechung. Maßgeblich ist, was zum Zeitpunkt der Verarbeitung als angemessen gilt.
Wie weise ich die Wirksamkeit der TOMs nach?
Durch Schwachstellenscans, Penetrationstests, interne Audits, externe Audits, Tabletop-Übungen und Restore-Tests. Die Ergebnisse sind zu dokumentieren.
Welche TOMs muss ich im AVV beschreiben?
Konkrete Maßnahmen in allen acht Kontrollbereichen — Zugang, Zutritt, Zugriff, Übertragung, Eingabe, Auftrag, Verfügbarkeit, Trennung. Pauschale Aussagen reichen nicht.
Welche Strafen drohen bei mangelhaften TOMs?
Bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz; bei besonderen Kategorien bis 20 Mio. EUR oder 4 %. In der Praxis: häufig kombiniert mit Datenpannen-Bußgeldern.
Was sind die wichtigsten TOMs für KMU?
MFA für privilegierte Zugriffe, Festplatten-Verschlüsselung, regelmäßige Backups mit Restore-Tests, monatliche Schwachstellenscans, Awareness-Schulungen mind. jährlich.
Wie oft muss ich TOMs aktualisieren?
Mindestens jährlich systematisch — und immer bei Änderungen der Verarbeitung, neuen Bedrohungen oder bei Aktualisierung des „Stands der Technik".
Sind ISO 27001 und TOMs identisch?
ISO 27001 ist umfassender — die ISMS-Anforderungen umfassen mehr als nur die TOMs. Aber: ISO 27001 Annex A liefert einen umfassenden Maßnahmen-Katalog, der die meisten DSGVO-TOMs abdeckt.
Welche Tools helfen bei der TOMs-Dokumentation?
GRC-Plattformen (HiScout, BIC, otris compliance), Datenschutz-Tools (Datenschutz-Manager Pro, Cubics), oder einfache Excel-Vorlagen mit den acht Kontrollbereichen.
TOMs nach Art. 32 DSGVO sind das operative Rückgrat des Datenschutzes — die Maßnahmen, die im Ernstfall den Unterschied zwischen Datenpanne und Schadensbegrenzung ausmachen. Drei strategische Empfehlungen:
Erstens, die acht Schutzziele konsequent anwenden — nicht nur die vier explizit in Art. 32 genannten. Das Standard-Datenschutzmodell der DSK ist die Methodik der Wahl in Deutschland.
Zweitens, regelmäßige Wirksamkeits-Tests. Eine TOM ohne Wirksamkeitsmessung ist nur eine Vermutung. Pentests, Audits, Tabletop-Übungen und Restore-Tests sind Pflicht.
Drittens, TOMs im AVV konkret beschreiben — nicht pauschal. Bei Datenpannen mit Auftragsverarbeitern sind unzureichend dokumentierte TOMs der häufigste Verschärfungsgrund.
Vision Compliance unterstützt Unternehmen bei der TOMs-Konzeption als Teil der Datenschutz-Beratung und Cyber-Security-Beratung — inkl. AVV-Anhang-Vorlagen, Wirksamkeits-Tests und Audit-Vorbereitung. Wir kombinieren Datenschutzrecht mit IT-Sicherheits-Expertise (ISO 27001, BSI-IT-Grundschutz). Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller TOMs-Bewertung.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
