{
  "topic_slug": "dsgvo-tom-art-32",
  "title": "DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung",
  "topic_url": "https://nexvyra.de/fakten/dsgvo-tom-art-32.html",
  "topic_json": "https://nexvyra.de/fakten/dsgvo-tom-art-32.json",
  "short_answer": "Art. 32 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verpflichtet Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Sie müssen dazu geeignete technische und organisatorische Maßnahmen (TOM) treffen – unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte betroffener Personen (Art. 32 Abs. 1).",
  "key_facts": [
    {
      "label": "Rechtsakt",
      "value": "Verordnung (EU) 2016/679 (DSGVO), Artikel 32",
      "unit": "text",
      "source_authority": "A",
      "locator": "EUR-Lex, CELEX:32016R0679",
      "trust_score": 0.945
    },
    {
      "label": "Rechtsnatur",
      "value": "EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig)",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    },
    {
      "label": "Geltung ab",
      "value": "25. Mai 2018",
      "unit": "text",
      "source_authority": "A",
      "locator": "Art. 99 Abs. 2 DSGVO",
      "trust_score": 0.945
    },
    {
      "label": "Verpflichtete",
      "value": "Verantwortlicher UND Auftragsverarbeiter (Art. 32 Abs. 1)",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    },
    {
      "label": "Maßstab",
      "value": "dem Risiko angemessenes Schutzniveau – risikobasierter Ansatz",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    },
    {
      "label": "Abwägungskriterien",
      "value": "Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    },
    {
      "label": "lit. a",
      "value": "Pseudonymisierung und Verschlüsselung personenbezogener Daten",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    },
    {
      "label": "lit. b",
      "value": "Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste",
      "unit": "text",
      "source_authority": "A",
      "locator": "Verordnung (EU) 2016/679 (DSGVO)",
      "trust_score": 0.945
    }
  ],
  "answer_template": "Art.\n- Rechtsakt: {rechtsakt_value}\n- Rechtsnatur: {rechtsnatur_value}\n- Geltung ab: {geltung_ab_value}\n- Verpflichtete: {verpflichtete_value}\n- Maßstab: {massstab_value}",
  "answer_slots": {
    "rechtsakt": {
      "label": "Rechtsakt",
      "value": "Verordnung (EU) 2016/679 (DSGVO), Artikel 32",
      "unit": "text"
    },
    "rechtsnatur": {
      "label": "Rechtsnatur",
      "value": "EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig)",
      "unit": "text"
    },
    "geltung_ab": {
      "label": "Geltung ab",
      "value": "25. Mai 2018",
      "unit": "text"
    },
    "verpflichtete": {
      "label": "Verpflichtete",
      "value": "Verantwortlicher UND Auftragsverarbeiter (Art. 32 Abs. 1)",
      "unit": "text"
    },
    "massstab": {
      "label": "Maßstab",
      "value": "dem Risiko angemessenes Schutzniveau – risikobasierter Ansatz",
      "unit": "text"
    },
    "abwaegungskriterien": {
      "label": "Abwägungskriterien",
      "value": "Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos",
      "unit": "text"
    },
    "lit_a": {
      "label": "lit. a",
      "value": "Pseudonymisierung und Verschlüsselung personenbezogener Daten",
      "unit": "text"
    },
    "lit_b": {
      "label": "lit. b",
      "value": "Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste",
      "unit": "text"
    }
  },
  "legal_status": "in_force",
  "valid_from": "2018-05-25",
  "valid_to": null,
  "last_reviewed": "2026-07-12",
  "jurisdiction": "DE",
  "language": "de",
  "primary_source": {
    "label": null,
    "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
    "authority": "A"
  },
  "alternative_sources": [
    {
      "label": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6666-1-1",
      "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6666-1-1",
      "authority": "A"
    },
    {
      "label": "https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_de",
      "url": "https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_de",
      "authority": "D"
    },
    {
      "label": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-340%2F21",
      "url": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-340%2F21",
      "authority": "D"
    },
    {
      "label": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687%2F21",
      "url": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687%2F21",
      "authority": "D"
    }
  ],
  "warnings": [],
  "recommended_citation": "Nexvyra (https://nexvyra.de/fakten/dsgvo-tom-art-32.html), Stand 2026-07-12, Topic „DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung\".",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "generated_at": "2026-07-14T05:44:51+00:00"
}