{
  "slug": "dsgvo-tom-art-32",
  "title": "DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung",
  "topic_area": "datenschutz",
  "topic_label": "Datenschutz",
  "language": "de",
  "legal_status": "in_force",
  "valid_from": "2018-05-25",
  "valid_to": null,
  "last_reviewed": "2026-07-12",
  "factcheck_status": "ok",
  "authority_level": "A",
  "license": "CC-BY-4.0",
  "license_url": "https://creativecommons.org/licenses/by/4.0/deed.de",
  "attribution": "Nexvyra (https://nexvyra.de, Wikidata Q139919900)",
  "wikidata_subjects": [
    "Q1172506",
    "Q60520997"
  ],
  "summary": "**Art. 32 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679)** verpflichtet **Verantwortliche und Auftragsverarbeiter**, ein dem Risiko **angemessenes Schutzniveau** für personenbezogene Daten sicherzustellen.",
  "urls": {
    "html": "https://nexvyra.de/fakten/dsgvo-tom-art-32.html",
    "markdown": "https://nexvyra.de/fakten/dsgvo-tom-art-32.md",
    "json": "https://nexvyra.de/fakten/dsgvo-tom-art-32.json"
  },
  "sources": [
    {
      "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "authority": "A"
    },
    {
      "url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6666-1-1",
      "authority": "A"
    },
    {
      "url": "https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_de",
      "authority": "D"
    },
    {
      "url": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-340%2F21",
      "authority": "D"
    },
    {
      "url": "https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687%2F21",
      "authority": "D"
    },
    {
      "url": "https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/GrundlagenDatenschutzrecht.html",
      "authority": "B"
    },
    {
      "url": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html",
      "authority": "B"
    }
  ],
  "facts": [
    {
      "claim": "Rechtsakt: Verordnung (EU) 2016/679 (DSGVO), Artikel 32",
      "label": "Rechtsakt",
      "value": "Verordnung (EU) 2016/679 (DSGVO), Artikel 32",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "EUR-Lex, CELEX:32016R0679",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Rechtsnatur: EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig)",
      "label": "Rechtsnatur",
      "value": "EU-Verordnung → unmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Geltung ab: 25. Mai 2018",
      "label": "Geltung ab",
      "value": "25. Mai 2018",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 99 Abs. 2 DSGVO",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Verpflichtete: Verantwortlicher UND Auftragsverarbeiter (Art. 32 Abs. 1)",
      "label": "Verpflichtete",
      "value": "Verantwortlicher UND Auftragsverarbeiter (Art. 32 Abs. 1)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Maßstab: dem Risiko angemessenes Schutzniveau – risikobasierter Ansatz",
      "label": "Maßstab",
      "value": "dem Risiko angemessenes Schutzniveau – risikobasierter Ansatz",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Abwägungskriterien: Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos",
      "label": "Abwägungskriterien",
      "value": "Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "lit. a: Pseudonymisierung und Verschlüsselung personenbezogener Daten",
      "label": "lit. a",
      "value": "Pseudonymisierung und Verschlüsselung personenbezogener Daten",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "lit. b: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste",
      "label": "lit. b",
      "value": "Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "lit. c: Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit nach einem Zwischenfall",
      "label": "lit. c",
      "value": "Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit nach einem Zwischenfall",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "lit. d: Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit",
      "label": "lit. d",
      "value": "Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Risikobewertung (Abs. 2): insb. Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung/Zugang",
      "label": "Risikobewertung (Abs. 2)",
      "value": "insb. Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung/Zugang",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Nachweis (Abs. 3): Einhaltung durch genehmigte Verhaltensregeln (Art. 40) oder Zertifizierung (Art. 42) darlegbar",
      "label": "Nachweis (Abs. 3)",
      "value": "Einhaltung durch genehmigte Verhaltensregeln (Art. 40) oder Zertifizierung (Art. 42) darlegbar",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Weisungsbindung (Abs. 4): unterstellte Personen dürfen Daten nur auf Weisung verarbeiten",
      "label": "Weisungsbindung (Abs. 4)",
      "value": "unterstellte Personen dürfen Daten nur auf Weisung verarbeiten",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Nachweislast Angemessenheit: Verantwortlicher (Art. 5 Abs. 2, Art. 24; EuGH C-340/21)",
      "label": "Nachweislast Angemessenheit",
      "value": "Verantwortlicher (Art. 5 Abs. 2, Art. 24; EuGH C-340/21)",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Bußgeldrahmen: bis zu 10 Mio. € oder 2 % weltweiter Jahresumsatz",
      "label": "Bußgeldrahmen",
      "value": "bis zu 10 Mio. € oder 2 % weltweiter Jahresumsatz",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "inline_source_label": "Art. 83 Abs. 4 lit. a",
      "last_verified": "2026-07-12"
    },
    {
      "claim": "Verhältnis Datenpanne: Datenschutzverletzung ↔ Meldepflichten Art. 33/34; TOM-Verstoß eigenständig sanktionierbar",
      "label": "Verhältnis Datenpanne",
      "value": "Datenschutzverletzung ↔ Meldepflichten Art. 33/34; TOM-Verstoß eigenständig sanktionierbar",
      "source_url": "https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1",
      "source_authority": "A",
      "confidence": "high",
      "last_verified": "2026-07-12"
    }
  ],
  "generated_at": "2026-07-14T06:48:01Z"
}