SimpleAct Logo
DSGVO · Art. 32

Technische und organisatorische Maßnahmen (TOM)

Art. 32 DSGVO verpflichtet jedes Unternehmen, personenbezogene Daten mit einem dem Risiko angemessenen Schutzniveau abzusichern – und das nachweisbar zu dokumentieren. SimpleAct hält Ihre TOM strukturiert, aktuell und auditfähig.

Kostenlos starten DSGVO-Compliance ansehen

Was sind TOM?

Technische und organisatorische Maßnahmen (TOM) sind alle Vorkehrungen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten. „Technisch" meint z. B. Verschlüsselung, Zugriffskontrolle oder Backups; „organisatorisch" meint z. B. Richtlinien, Schulungen und Berechtigungskonzepte. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau – und im Rahmen der Rechenschaftspflicht den Nachweis, dass die Maßnahmen existieren und wirken.

Die Schutzziele des Art. 32

Vertraulichkeit
Zutritts-, Zugangs- und Zugriffskontrolle, Verschlüsselung und Pseudonymisierung schützen Daten vor Unbefugten.
Integrität
Maßnahmen gegen unbeabsichtigte oder unbefugte Veränderung – z. B. Eingabe- und Weitergabekontrolle.
Verfügbarkeit & Belastbarkeit
Backups, Notfallpläne und Wiederherstellbarkeit stellen sicher, dass Daten verfügbar bleiben.
Überprüfbarkeit
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

TOM dokumentieren und pflegen

  • Schutzbedarf der Verarbeitungen einschätzen
  • Zutritts-, Zugangs- und Zugriffskontrolle festlegen
  • Verschlüsselung und Pseudonymisierung umsetzen
  • Backup- und Wiederherstellungskonzept dokumentieren
  • Berechtigungs- und Rollenkonzept pflegen
  • TOM regelmäßig überprüfen und bei Änderungen aktualisieren
  • TOM-Nachweise mit Verarbeitungen und AVV verknüpfen

Häufige Fragen zu TOM

Gibt es eine verbindliche TOM-Liste?

Nein. Art. 32 nennt Schutzziele und Beispiele, schreibt aber keine feste Liste vor. Die Maßnahmen müssen zum Risiko der konkreten Verarbeitung passen – ein höheres Risiko verlangt stärkere Maßnahmen.

Wie oft müssen TOM überprüft werden?

Regelmäßig und anlassbezogen – etwa bei neuen Systemen, geänderten Verarbeitungen oder nach einem Sicherheitsvorfall. Die Überprüfung selbst ist Teil der Pflichten.

Müssen TOM dem Auftragsverarbeiter offengelegt werden?

Ja. Im AVV nach Art. 28 muss der Auftragsverarbeiter seine TOM darlegen, und der Verantwortliche sollte sie prüfen und dokumentieren.

Reichen technische Maßnahmen allein?

Nein. Erst das Zusammenspiel aus technischen (z. B. Verschlüsselung) und organisatorischen Maßnahmen (z. B. Richtlinien, Schulungen) erfüllt die Anforderungen von Art. 32.

TOM-Management mit SimpleAct

Schutzmaßnahmen strukturiert erfassen, regelmäßig überprüfen und als Nachweis der Rechenschaftspflicht jederzeit bereitstellen.

Jetzt kostenlos starten

Weiterführende Themen

DSGVO-ComplianceAuftragsverarbeitungDatenpanne meldenDSGVO-Modul
Yannick Heisler

Yannick Heisler

Vertrieb · Persönliche Beratung

TOM nach Art. 32 DSGVO – Technische & organisatorische Maßnahmen | SimpleAct | SimpleAct