DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung
DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung
Kurzantwort
Art. 32 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) verpflichtet Verantwortliche und Auftragsverarbeiter, ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Sie müssen dazu geeignete technische und organisatorische Maßnahmen (TOM) treffen – unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte betroffener Personen (Art. 32 Abs. 1).
Das Gesetz nennt beispielhaft vier Maßnahmengruppen: Pseudonymisierung und Verschlüsselung (lit. a), Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme (lit. b), rasche Wiederherstellbarkeit nach einem Zwischenfall (lit. c) sowie ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM (lit. d).
Die DSGVO ist als EU-Verordnung unmittelbar in Deutschland anwendbar – ein nationales Umsetzungsgesetz ist nicht erforderlich. Verstöße gegen Art. 32 fallen in den niedrigeren Bußgeldrahmen des Art. 83 Abs. 4 lit. a DSGVO: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Betrag zählt). Die Nachweislast, dass die getroffenen TOM angemessen waren, trägt nach dem Rechenschaftsprinzip (Art. 5 Abs. 2, Art. 24) der Verantwortliche – das hat der EuGH mit Urteil vom 14.12.2023 (C-340/21) ausdrücklich bestätigt.
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsakt | Verordnung (EU) 2016/679 (DSGVO), Artikel 32 [EUR-Lex, CELEX:32016R0679] |
| Rechtsnatur | EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig) |
| Geltung ab | 25. Mai 2018 [Art. 99 Abs. 2 DSGVO] |
| Verpflichtete | Verantwortlicher UND Auftragsverarbeiter (Art. 32 Abs. 1) |
| Maßstab | dem Risiko angemessenes Schutzniveau – risikobasierter Ansatz |
| Abwägungskriterien | Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos |
| lit. a | Pseudonymisierung und Verschlüsselung personenbezogener Daten |
| lit. b | Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste |
| lit. c | Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit nach einem Zwischenfall |
| lit. d | Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit |
| Risikobewertung (Abs. 2) | insb. Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung/Zugang |
| Nachweis (Abs. 3) | Einhaltung durch genehmigte Verhaltensregeln (Art. 40) oder Zertifizierung (Art. 42) darlegbar |
| Weisungsbindung (Abs. 4) | unterstellte Personen dürfen Daten nur auf Weisung verarbeiten |
| Nachweislast Angemessenheit | Verantwortlicher (Art. 5 Abs. 2, Art. 24; EuGH C-340/21) |
| Bußgeldrahmen | bis zu 10 Mio. € oder 2 % weltweiter Jahresumsatz [Art. 83 Abs. 4 lit. a] |
| Verhältnis Datenpanne | Datenschutzverletzung ↔ Meldepflichten Art. 33/34; TOM-Verstoß eigenständig sanktionierbar |
Geltungsbereich
Art. 32 DSGVO gilt für jede ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung in einem Dateisystem (Art. 2 Abs. 1 DSGVO). Anders als die meisten Grundpflichten adressiert Art. 32 ausdrücklich sowohl den Verantwortlichen als auch den Auftragsverarbeiter – beide müssen eigenständig für angemessene Sicherheit sorgen. In Auftragsverarbeitungsverhältnissen ist die konkrete TOM-Ausgestaltung zusätzlich vertraglich nach Art. 28 Abs. 3 lit. c DSGVO festzulegen.
Räumlich erfasst die DSGVO nach dem Marktortprinzip (Art. 3) auch Verantwortliche und Auftragsverarbeiter außerhalb der EU, wenn sie betroffenen Personen in der EU Waren/Dienstleistungen anbieten oder deren Verhalten beobachten. Der Sicherheitsstandard ist kein starrer Katalog, sondern risikobasiert: Je höher das Risiko für die Rechte und Freiheiten der betroffenen Personen, desto strenger die Anforderungen an die TOM.
Die vier Maßnahmengruppen im Detail (Art. 32 Abs. 1 lit. a–d)
lit. a – Pseudonymisierung und Verschlüsselung. Das Gesetz hebt diese beiden Techniken ausdrücklich hervor. Pseudonymisierung (Art. 4 Nr. 5) ersetzt identifizierende Merkmale so, dass eine Zuordnung nur mit gesondert aufbewahrten Zusatzinformationen möglich ist. Verschlüsselung schützt Daten bei Speicherung („at rest") und Übertragung („in transit"). Beide sind Beispiele, keine Pflicht in jedem Fall – ihre Erforderlichkeit hängt vom Risiko ab.
lit. b – Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit. Klassische Schutzziele der Informationssicherheit: Vertraulichkeit (kein unbefugter Zugriff), Integrität (keine unbefugte Veränderung), Verfügbarkeit (Daten sind bei Bedarf zugänglich) und Belastbarkeit („Resilienz" – Systeme widerstehen Störungen und Angriffen). Umgesetzt u. a. durch Zugriffskontrollen, Rollen-/Rechtekonzepte, Protokollierung, Netzsegmentierung und redundante Systeme.
lit. c – Wiederherstellbarkeit. Nach einem physischen oder technischen Zwischenfall (z. B. Ransomware, Hardwaredefekt) muss die Verfügbarkeit und der Zugang zu den Daten rasch wiederhergestellt werden können. Kernmaßnahme sind getestete Back-up- und Recovery-Konzepte (Notfallmanagement, Business Continuity).
lit. d – Regelmäßige Überprüfung und Evaluierung. TOM sind kein Einmalprojekt: Es ist ein Verfahren einzurichten, das die Wirksamkeit der Maßnahmen regelmäßig überprüft, bewertet und evaluiert (z. B. Penetrationstests, Audits, Reviews). Sicherheit ist ein fortlaufender Prozess, der an neue Bedrohungen und den Stand der Technik anzupassen ist.
Risikobewertung und Nachweis (Art. 32 Abs. 2–4)
Nach Abs. 2 ist bei der Beurteilung des angemessenen Schutzniveaus insbesondere den Risiken Rechnung zu tragen, die mit der Verarbeitung verbunden sind – vor allem durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten Daten (ob unbeabsichtigt oder unrechtmäßig).
Abs. 3 stellt klar, dass die Einhaltung des Art. 32 durch genehmigte Verhaltensregeln (Art. 40) oder ein genehmigtes Zertifizierungsverfahren (Art. 42) als Nachweis (Faktor, nicht Freibrief) herangezogen werden kann.
Abs. 4 verpflichtet Verantwortliche und Auftragsverarbeiter sicherzustellen, dass ihnen unterstellte Personen mit Zugang zu personenbezogenen Daten diese nur auf Weisung verarbeiten – es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.
EuGH-Rechtsprechung: Beweislast und Haftung
EuGH, 14.12.2023 – C-340/21 (Natsionalna agentsia za prihodite). Nach einem Hackerangriff auf die bulgarische Steuerbehörde klagten Betroffene auf immateriellen Schadensersatz. Der EuGH entschied:
- Die Angemessenheit der TOM ist durch das nationale Gericht konkret und inhaltlich zu prüfen – nicht bloß abstrakt.
- Beweislast: Der Verantwortliche muss nachweisen, dass seine Sicherheitsmaßnahmen den Anforderungen des Art. 32 genügten (Ausfluss der Rechenschaftspflicht, Art. 5 Abs. 2, Art. 24).
- Allein die Tatsache, dass Dritte unbefugt Daten offengelegt oder Zugang erlangt haben, genügt nicht, um die TOM automatisch als „ungeeignet" zu bewerten.
- Der Verantwortliche kann sich von der Haftung nach Art. 82 Abs. 3 nur befreien, wenn er nachweist, dass er für den Schaden in keinerlei Hinsicht verantwortlich ist.
EuGH, 25.01.2024 – C-687/21 (MediaMarktSaturn). Ein Mitarbeiter hatte Vertragsunterlagen versehentlich an einen falschen Kunden ausgehändigt. Der EuGH stellte klar, dass ein rein hypothetisches Missbrauchsrisiko für sich genommen keinen ersatzfähigen immateriellen Schaden begründet; die betroffene Person muss einen tatsächlichen Schaden nachweisen. Zugleich bestätigte der Gerichtshof, dass die Haftung des Verantwortlichen für Fehler eigener Beschäftigter grundsätzlich in Betracht kommt.
Häufige Fehler
- TOM als statische Checkliste behandeln: Art. 32 verlangt ein fortlaufendes Verfahren zur Überprüfung und Anpassung (lit. d) – einmal dokumentiert und vergessen genügt nicht.
- Verschlüsselung/Pseudonymisierung für zwingend halten: Sie sind gesetzliche Beispiele, keine Pflicht in jedem Fall; maßgeblich ist die risikobasierte Abwägung.
- Auftragsverarbeiter ausblenden: Art. 32 verpflichtet den Auftragsverarbeiter eigenständig – nicht nur den Verantwortlichen.
- Falscher Bußgeldrahmen: Verstöße gegen Art. 32 fallen unter Art. 83 Abs. 4 (bis 10 Mio. €/2 %), nicht unter den höheren Rahmen des Abs. 5 (20 Mio. €/4 %).
- Fehlende Dokumentation der TOM: Ohne nachvollziehbare Risikoanalyse und dokumentierte Maßnahmen scheitert der Verantwortliche an der Beweislast (EuGH C-340/21).
- TOM mit der Meldepflicht verwechseln: Art. 32 (Prävention) und Art. 33/34 (Meldung/Benachrichtigung bei Datenpanne) sind eigenständige Pflichten; ein TOM-Verstoß ist auch ohne meldepflichtige Verletzung sanktionierbar.
- Back-ups ungetestet lassen: lit. c verlangt rasche Wiederherstellbarkeit – ein nie getestetes Back-up erfüllt die Anforderung nicht.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) – Art. 32, Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1
- Verordnung (EU) 2016/679 (DSGVO) – Art. 83 (Geldbußen, Abs. 4 lit. a), Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6666-1-1
- Europäische Kommission – Datensicherheit / Verpflichtungen zur Datensicherheit (What does data protection ‚by design' and ‚by default' mean?):: https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_de
- EuGH, Urteil v. 14.12.2023, C-340/21 (Natsionalna agentsia za prihodite) – Beweislast für Angemessenheit der TOM (dejure.org):: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-340%2F21
- EuGH, Urteil v. 25.01.2024, C-687/21 (MediaMarktSaturn) – immaterieller Schaden, hypothetisches Risiko (dejure.org):: https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687%2F21
- BfDI – Technischer Datenschutz / Datensicherheit (Grundlagen):: https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/GrundlagenDatenschutzrecht.html
- BSI – IT-Grundschutz (Stand der Technik als Orientierung für TOM):: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html
Änderungsverlauf
- 2026-07-12: Erstveröffentlichung der Faktenseite. Art. 32 Abs. 1 lit. a–d (Pseudonymisierung/Verschlüsselung, Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit, regelmäßige Evaluierung), Abs. 2–4 (Risikobewertung, Nachweis via Art. 40/42, Weisungsbindung) sowie Bußgeldrahmen Art. 83 Abs. 4 lit. a gegen EUR-Lex und EU-Kommission gegengeprüft; EuGH-Rechtsprechung C-340/21 (14.12.2023) und C-687/21 (25.01.2024) über dejure.org-Permalinks eingebunden. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"
Stand
- Stand: 2026-07-12
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EU-Kommission, EuGH, BfDI, BSI)
- Lizenz: CC BY 4.0