Art. 32 DSGVO: Welche TOM Ihr Unternehmen braucht (und warum Schulung dazugehört)

Art. 32 DSGVO verpflichtet Sie als Verantwortlichen, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen (TOM) zu schützen, abgestimmt auf das Risiko für die Betroffenen. Dazu gehören technische Vorkehrungen wie Verschlüsselung und Zugriffskontrollen ebenso wie organisatorische Maßnahmen wie Löschkonzepte, Meldewege und dokumentierte Mitarbeiterschulung. Genau diese Auswahl müssen Sie im Ernstfall begründen und belegen können.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Nach einer gemeldeten Datenpanne fragt die Aufsichtsbehörde in der Praxis zuerst eines: Welche TOM hatten Sie vorher schon eingerichtet und dokumentiert? Dieser Beitrag zeigt Ihnen, was Art. 32 DSGVO konkret verlangt. Mit der Tabelle unten können Sie Ihre Auswahl im Ernstfall begründen.
Was verlangt Art. 32 DSGVO?
Art. 32 Abs. 1 DSGVO verlangt ein risikoangemessenes Schutzniveau für die Verarbeitung personenbezogener Daten. Berücksichtigen müssen Sie dabei den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zweck der jeweiligen Verarbeitung.
- lit. a) Pseudonymisierung und Verschlüsselung personenbezogener Daten
- lit. b) dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme
- lit. c) rasche Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall
- lit. d) ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen
Abs. 2 nennt die Risiken, vor denen Sie schützen müssen: Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugter Zugang zu personenbezogenen Daten. Abs. 4 ergänzt, dass Personen mit Datenzugriff diese nur auf Anweisung des Verantwortlichen verarbeiten dürfen. Das heißt für Sie: Schützen Sie Daten nicht nur vor Angriffen von außen, sondern auch vor Fehlern und unbefugtem Zugriff der eigenen Mitarbeiter.
Ein „angemessenes" Schutzniveau ist kein starrer Maßnahmenkatalog, sondern das Ergebnis einer Risikoabwägung. Ein Ein-Personen-Büro mit einer Kundenliste braucht andere TOM als eine Praxis mit Gesundheitsdaten.
Diese Risikoorientierung hängt eng mit der Rechenschaftspflicht nach DSGVO zusammen. Wer TOM auswählt, muss die Auswahl auch begründen und dokumentieren können – nicht nur behaupten, angemessen geschützt zu sein.
Was sind technische, was organisatorische Maßnahmen?
Technische Maßnahmen wirken auf Systeme, Software und Infrastruktur. Organisatorische Maßnahmen wirken auf Prozesse, Regeln und das Verhalten Ihrer Mitarbeiter. Für Ihre TOM-Auswahl brauchen Sie beide Ebenen zusammen, wie die folgende Übersicht mit Beispielen der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) zeigt.
| Art der Maßnahme | Beispiel | Rechtsbezug |
|---|---|---|
| Technisch | Verschlüsselung von Datenträgern und Übertragungswegen | Art. 32 Abs. 1 lit. a DSGVO |
| Technisch | Rollen- und Berechtigungskonzept, Firewall, aktuelle Sicherheitsupdates | Art. 32 Abs. 1 lit. b DSGVO |
| Technisch | Regelmäßige Datensicherung und Wiederherstellungstests | Art. 32 Abs. 1 lit. c DSGVO |
| Organisatorisch | Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOM | Art. 32 Abs. 1 lit. d DSGVO |
| Organisatorisch | Verpflichtung der Beschäftigten auf das Datengeheimnis, Weisungsbindung | Art. 32 Abs. 4 DSGVO |
| Organisatorisch | Löschkonzept und Aufbewahrungsfristen | Art. 5 Abs. 1 lit. e DSGVO |
| Organisatorisch | Dokumentierte Mitarbeitersensibilisierung und -schulung | Art. 32 Abs. 1, Art. 24 DSGVO |
Warum ist Mitarbeitersensibilisierung selbst eine organisatorische Maßnahme?
Art. 32 DSGVO verlangt ausdrücklich auch organisatorische Vorkehrungen, nicht nur Technik. Deshalb zählt die LDI NRW Mitarbeiterschulungen explizit zu den empfohlenen TOM-Beispielen. Verschlüsselung und Firewall schützen Sie schließlich nicht vor einem Mitarbeiter, der ein Passwort am Telefon weitergibt oder eine Kundenliste an die falsche Adresse mailt.
Eine regelmäßige Datenschutz-Unterweisung mit dokumentierter Teilnahme ist deshalb selbst eine TOM im Sinne von Art. 32 Abs. 1 DSGVO. Zugleich stützt sie Ihre Rechenschaftspflicht aus Art. 24 DSGVO.
Wie hängen Art. 32, Art. 24 und Art. 25 DSGVO zusammen?
Vier Normen der DSGVO greifen für Ihre TOM ineinander. Für Sie heißt das konkret:
- Art. 5 Abs. 1 lit. f DSGVO: der Grundsatz „Integrität und Vertraulichkeit" – Daten müssen vor unbefugter Verarbeitung, Verlust und Zerstörung geschützt sein.
- Art. 32 DSGVO: die konkrete Sicherheitspflicht – geeignete TOM entsprechend dem Risiko wählen.
- Art. 24 DSGVO: die Nachweispflicht – TOM-Auswahl und Wirksamkeit dokumentieren.
- Art. 25 DSGVO: Datenschutz durch Technikgestaltung – Schutz von Anfang an einplanen, nicht nachträglich draufsetzen.
Was passiert bei Verstößen gegen Art. 32 DSGVO?
Verstöße gegen Art. 32 DSGVO können nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10 Millionen Euro geahndet werden. Bei Unternehmen sind es bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Dieser Rahmen liegt unter dem Bußgeldrahmen aus Art. 83 Abs. 5 DSGVO (bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes), der etwa für Verstöße gegen die Grundsätze der Datenverarbeitung nach Art. 5 DSGVO gilt.
Für Sie heißt das in der Praxis: Nach einer gemeldeten Datenpanne prüfen Aufsichtsbehörden regelmäßig, ob angemessene, dem Risiko entsprechende TOM vorhanden und dokumentiert waren. Genau das ist der Moment, in dem sich Ihre TOM-Dokumentation auszahlt.
Häufige Fragen (FAQ)
Wie viele TOM brauche ich mindestens?
Eine feste Mindestanzahl schreibt die DSGVO nicht vor. Art. 32 Abs. 1 DSGVO verlangt ein risikoangemessenes Schutzniveau statt einer Checkliste. Ein Ein-Personen-Büro mit einer Kundenliste braucht deshalb andere TOM als eine Praxis mit Gesundheitsdaten.
Ist Art. 32 DSGVO nur für große Unternehmen relevant?
Nein: Art. 32 DSGVO gilt für jeden Verantwortlichen und Auftragsverarbeiter, unabhängig von der Unternehmensgröße. Der Gesetzestext verlangt ausdrücklich, Implementierungskosten und die Art der Verarbeitung zu berücksichtigen. Der Umfang der TOM skaliert deshalb mit Risiko und Größe des Betriebs.
Reicht eine einmalige Mitarbeiterschulung beim Onboarding aus?
Eine feste Wiederholungsfrist für Datenschutzschulungen legt die DSGVO nicht fest. Aus Art. 32 Abs. 1 lit. d DSGVO (regelmäßige Überprüfung der Wirksamkeit) und der Rechenschaftspflicht aus Art. 24 DSGVO ergibt sich aber mittelbar: Eine wiederkehrende, dokumentierte Sensibilisierung ist sachgerechter als eine einmalige Unterweisung beim Onboarding.
Muss ich meine TOM schriftlich dokumentieren?
Ein bestimmtes Dokumentationsformat schreibt Art. 32 DSGVO selbst nicht vor. Die Nachweispflicht aus Art. 24 DSGVO verlangt aber, dass Sie Ihre TOM belegen können. In der Praxis geschieht das über ein TOM-Dokument je Verarbeitungstätigkeit als Teil des Verarbeitungsverzeichnisses.
Die dokumentierte Sensibilisierung Ihrer Mitarbeiter – eine der organisatorischen Maßnahmen nach Art. 32 DSGVO – deckt unsere DSGVO-Grundlagenschulung mit datiertem Teilnahmezertifikat ab. Ihre Beschäftigten lernen die Grundlagen der DSGVO praxisnah, und Sie erhalten einen nachvollziehbaren Nachweis für Ihre TOM-Dokumentation.
Quellen
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Phishing und Social Engineering: Woran Ihre Mitarbeiter Angriffe erkennen
Phishing, Spear-Phishing, CEO-Fraud und Smishing zielen nicht auf Systeme, sondern auf Menschen. Welche Warnsignale eine Phishing-Mitarbeiter-Schulung vermitteln sollte und warum ein erfolgreicher Angriff schnell zur meldepflichtigen Datenschutzverletzung wird.
DSGVO-Bußgelder: Reale Fälle aus Deutschland und was Unternehmen daraus lernen
Vier reale DSGVO-Bußgeldfälle aus Deutschland zeigen, wie Behörden die Höhe bemessen – und dass Gerichte sie im Nachhinein auch wieder deutlich reduzieren können.
Datenschutz in der Arztpraxis: die 5 Alltagsfallen und wann Sie einen Datenschutzbeauftragten brauchen
Der Name wird laut ins Wartezimmer gerufen, die Terminerinnerung per SMS verschickt, die alte Akte entsorgt: Im Praxisalltag entscheiden Kleinigkeiten über Datenschutzverstöße. Der Beitrag zeigt, welche Situationen heikel sind, wann Sie einen Datenschutzbeauftragten brauchen und wie Sie Ihr Team nachweisbar schulen.
Bereit für den dokumentierten Schulungsnachweis?
Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.