---
title: DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung
slug: dsgvo-tom-art-32
topic: datenschutz
authority_level: A
legal_status: in_force
valid_from: 2018-05-25
valid_to: null
last_reviewed: 2026-07-12
status: aktuell
license: CC-BY-4.0
url: https://nexvyra.de/fakten/dsgvo-tom-art-32.md
wikidata_subjects: [Q1172506, Q60520997]
factcheck_status: ok
---

# DSGVO Art. 32 (VO 2016/679) – Technische und organisatorische Maßnahmen (TOM), Sicherheit der Verarbeitung

## Kurzantwort

**Art. 32 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679)** verpflichtet **Verantwortliche und Auftragsverarbeiter**, ein dem Risiko **angemessenes Schutzniveau** für personenbezogene Daten sicherzustellen. Sie müssen dazu **geeignete technische und organisatorische Maßnahmen (TOM)** treffen – unter Berücksichtigung von **Stand der Technik**, **Implementierungskosten**, **Art, Umfang, Umständen und Zwecken** der Verarbeitung sowie der **Eintrittswahrscheinlichkeit und Schwere** des Risikos für die Rechte betroffener Personen (Art. 32 Abs. 1).

Das Gesetz nennt beispielhaft vier Maßnahmengruppen: **Pseudonymisierung und Verschlüsselung** (lit. a), Sicherstellung von **Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit** der Systeme (lit. b), rasche **Wiederherstellbarkeit** nach einem Zwischenfall (lit. c) sowie ein **Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung** der Wirksamkeit der TOM (lit. d).

Die DSGVO ist als **EU-Verordnung unmittelbar in Deutschland anwendbar** – ein nationales Umsetzungsgesetz ist nicht erforderlich. Verstöße gegen Art. 32 fallen in den **niedrigeren** Bußgeldrahmen des **Art. 83 Abs. 4 lit. a DSGVO**: bis zu **10 Mio. € oder 2 % des weltweiten Jahresumsatzes** (der höhere Betrag zählt). Die **Nachweislast**, dass die getroffenen TOM angemessen waren, trägt nach dem Rechenschaftsprinzip (Art. 5 Abs. 2, Art. 24) der **Verantwortliche** – das hat der EuGH mit Urteil vom **14.12.2023 (C-340/21)** ausdrücklich bestätigt.

## Kernfakten

| Punkt | Wert |
|---|---|
| Rechtsakt | Verordnung (EU) 2016/679 (DSGVO), Artikel 32 [EUR-Lex, CELEX:32016R0679] |
| Rechtsnatur | **EU-Verordnung → unmittelbar anwendbar** in Deutschland (kein Umsetzungsgesetz nötig) |
| Geltung ab | **25. Mai 2018** [Art. 99 Abs. 2 DSGVO] |
| Verpflichtete | **Verantwortlicher UND Auftragsverarbeiter** (Art. 32 Abs. 1) |
| Maßstab | dem Risiko **angemessenes Schutzniveau** – risikobasierter Ansatz |
| Abwägungskriterien | Stand der Technik, Implementierungskosten, Art/Umfang/Umstände/Zwecke, Eintrittswahrscheinlichkeit + Schwere des Risikos |
| lit. a | **Pseudonymisierung und Verschlüsselung** personenbezogener Daten |
| lit. b | **Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit** der Systeme und Dienste |
| lit. c | Fähigkeit zur **raschen Wiederherstellung** der Verfügbarkeit nach einem Zwischenfall |
| lit. d | **Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung** der Wirksamkeit |
| Risikobewertung (Abs. 2) | insb. Risiken durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung/Zugang |
| Nachweis (Abs. 3) | Einhaltung durch **genehmigte Verhaltensregeln (Art. 40)** oder **Zertifizierung (Art. 42)** darlegbar |
| Weisungsbindung (Abs. 4) | unterstellte Personen dürfen Daten nur auf **Weisung** verarbeiten |
| Nachweislast Angemessenheit | **Verantwortlicher** (Art. 5 Abs. 2, Art. 24; EuGH C-340/21) |
| Bußgeldrahmen | **bis zu 10 Mio. € oder 2 % weltweiter Jahresumsatz** [Art. 83 Abs. 4 lit. a] |
| Verhältnis Datenpanne | Datenschutzverletzung ↔ Meldepflichten **Art. 33/34**; TOM-Verstoß eigenständig sanktionierbar |

## Geltungsbereich

Art. 32 DSGVO gilt für **jede** ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung in einem Dateisystem (Art. 2 Abs. 1 DSGVO). Anders als die meisten Grundpflichten adressiert Art. 32 **ausdrücklich sowohl den Verantwortlichen als auch den Auftragsverarbeiter** – beide müssen eigenständig für angemessene Sicherheit sorgen. In Auftragsverarbeitungsverhältnissen ist die konkrete TOM-Ausgestaltung zusätzlich vertraglich nach **Art. 28 Abs. 3 lit. c DSGVO** festzulegen.

Räumlich erfasst die DSGVO nach dem **Marktortprinzip** (Art. 3) auch Verantwortliche und Auftragsverarbeiter außerhalb der EU, wenn sie betroffenen Personen in der EU Waren/Dienstleistungen anbieten oder deren Verhalten beobachten. Der Sicherheitsstandard ist **kein starrer Katalog**, sondern **risikobasiert**: Je höher das Risiko für die Rechte und Freiheiten der betroffenen Personen, desto strenger die Anforderungen an die TOM.

## Die vier Maßnahmengruppen im Detail (Art. 32 Abs. 1 lit. a–d)

**lit. a – Pseudonymisierung und Verschlüsselung.** Das Gesetz hebt diese beiden Techniken ausdrücklich hervor. **Pseudonymisierung** (Art. 4 Nr. 5) ersetzt identifizierende Merkmale so, dass eine Zuordnung nur mit gesondert aufbewahrten Zusatzinformationen möglich ist. **Verschlüsselung** schützt Daten bei Speicherung („at rest") und Übertragung („in transit"). Beide sind **Beispiele**, keine Pflicht in jedem Fall – ihre Erforderlichkeit hängt vom Risiko ab.

**lit. b – Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit.** Klassische Schutzziele der Informationssicherheit: **Vertraulichkeit** (kein unbefugter Zugriff), **Integrität** (keine unbefugte Veränderung), **Verfügbarkeit** (Daten sind bei Bedarf zugänglich) und **Belastbarkeit** („Resilienz" – Systeme widerstehen Störungen und Angriffen). Umgesetzt u. a. durch Zugriffskontrollen, Rollen-/Rechtekonzepte, Protokollierung, Netzsegmentierung und redundante Systeme.

**lit. c – Wiederherstellbarkeit.** Nach einem physischen oder technischen Zwischenfall (z. B. Ransomware, Hardwaredefekt) muss die Verfügbarkeit und der Zugang zu den Daten **rasch wiederhergestellt** werden können. Kernmaßnahme sind **getestete Back-up- und Recovery-Konzepte** (Notfallmanagement, Business Continuity).

**lit. d – Regelmäßige Überprüfung und Evaluierung.** TOM sind **kein Einmalprojekt**: Es ist ein Verfahren einzurichten, das die Wirksamkeit der Maßnahmen **regelmäßig überprüft, bewertet und evaluiert** (z. B. Penetrationstests, Audits, Reviews). Sicherheit ist ein **fortlaufender Prozess**, der an neue Bedrohungen und den Stand der Technik anzupassen ist.

## Risikobewertung und Nachweis (Art. 32 Abs. 2–4)

Nach **Abs. 2** ist bei der Beurteilung des angemessenen Schutzniveaus **insbesondere** den Risiken Rechnung zu tragen, die mit der Verarbeitung verbunden sind – vor allem durch **Vernichtung, Verlust, Veränderung** oder **unbefugte Offenlegung von bzw. unbefugten Zugang zu** übermittelten, gespeicherten oder anderweitig verarbeiteten Daten (ob unbeabsichtigt oder unrechtmäßig).

**Abs. 3** stellt klar, dass die Einhaltung des Art. 32 durch **genehmigte Verhaltensregeln (Art. 40)** oder ein **genehmigtes Zertifizierungsverfahren (Art. 42)** als Nachweis (**Faktor**, nicht Freibrief) herangezogen werden kann.

**Abs. 4** verpflichtet Verantwortliche und Auftragsverarbeiter sicherzustellen, dass ihnen unterstellte Personen mit Zugang zu personenbezogenen Daten diese **nur auf Weisung** verarbeiten – es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.

## EuGH-Rechtsprechung: Beweislast und Haftung

**EuGH, 14.12.2023 – C-340/21 (Natsionalna agentsia za prihodite).** Nach einem Hackerangriff auf die bulgarische Steuerbehörde klagten Betroffene auf immateriellen Schadensersatz. Der EuGH entschied:

1. Die **Angemessenheit der TOM** ist durch das nationale Gericht **konkret und inhaltlich** zu prüfen – nicht bloß abstrakt.
2. **Beweislast:** Der **Verantwortliche** muss nachweisen, dass seine Sicherheitsmaßnahmen den Anforderungen des Art. 32 genügten (Ausfluss der Rechenschaftspflicht, Art. 5 Abs. 2, Art. 24).
3. Allein die Tatsache, dass Dritte unbefugt Daten offengelegt oder Zugang erlangt haben, **genügt nicht**, um die TOM automatisch als „ungeeignet" zu bewerten.
4. Der Verantwortliche kann sich von der Haftung nach **Art. 82 Abs. 3** nur befreien, wenn er nachweist, dass er für den Schaden **in keinerlei Hinsicht verantwortlich** ist.

**EuGH, 25.01.2024 – C-687/21 (MediaMarktSaturn).** Ein Mitarbeiter hatte Vertragsunterlagen versehentlich an einen falschen Kunden ausgehändigt. Der EuGH stellte klar, dass ein **rein hypothetisches Missbrauchsrisiko** für sich genommen **keinen** ersatzfähigen immateriellen Schaden begründet; die betroffene Person muss einen tatsächlichen Schaden nachweisen. Zugleich bestätigte der Gerichtshof, dass die Haftung des Verantwortlichen für **Fehler eigener Beschäftigter** grundsätzlich in Betracht kommt.

## Häufige Fehler

- **TOM als statische Checkliste** behandeln: Art. 32 verlangt ein **fortlaufendes** Verfahren zur Überprüfung und Anpassung (lit. d) – einmal dokumentiert und vergessen genügt nicht.
- **Verschlüsselung/Pseudonymisierung für zwingend halten:** Sie sind gesetzliche **Beispiele**, keine Pflicht in jedem Fall; maßgeblich ist die **risikobasierte** Abwägung.
- **Auftragsverarbeiter ausblenden:** Art. 32 verpflichtet den Auftragsverarbeiter **eigenständig** – nicht nur den Verantwortlichen.
- **Falscher Bußgeldrahmen:** Verstöße gegen Art. 32 fallen unter **Art. 83 Abs. 4** (bis 10 Mio. €/2 %), **nicht** unter den höheren Rahmen des Abs. 5 (20 Mio. €/4 %).
- **Fehlende Dokumentation der TOM:** Ohne nachvollziehbare Risikoanalyse und dokumentierte Maßnahmen scheitert der Verantwortliche an der **Beweislast** (EuGH C-340/21).
- **TOM mit der Meldepflicht verwechseln:** Art. 32 (Prävention) und **Art. 33/34** (Meldung/Benachrichtigung bei Datenpanne) sind eigenständige Pflichten; ein TOM-Verstoß ist auch ohne meldepflichtige Verletzung sanktionierbar.
- **Back-ups ungetestet lassen:** lit. c verlangt **rasche Wiederherstellbarkeit** – ein nie getestetes Back-up erfüllt die Anforderung nicht.

## Quellen

- Verordnung (EU) 2016/679 (DSGVO) – Art. 32, Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e3527-1-1
- Verordnung (EU) 2016/679 (DSGVO) – Art. 83 (Geldbußen, Abs. 4 lit. a), Volltext (EUR-Lex):
  https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679#d1e6666-1-1
- Europäische Kommission – Datensicherheit / Verpflichtungen zur Datensicherheit (What does data protection ‚by design' and ‚by default' mean?):
  https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_de
- EuGH, Urteil v. 14.12.2023, C-340/21 (Natsionalna agentsia za prihodite) – Beweislast für Angemessenheit der TOM (dejure.org):
  https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=14.12.2023&Aktenzeichen=C-340%2F21
- EuGH, Urteil v. 25.01.2024, C-687/21 (MediaMarktSaturn) – immaterieller Schaden, hypothetisches Risiko (dejure.org):
  https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=EuGH&Datum=25.01.2024&Aktenzeichen=C-687%2F21
- BfDI – Technischer Datenschutz / Datensicherheit (Grundlagen):
  https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/GrundlagenDatenschutzrecht.html
- BSI – IT-Grundschutz (Stand der Technik als Orientierung für TOM):
  https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

## Änderungsverlauf

- 2026-07-12: Erstveröffentlichung der Faktenseite. Art. 32 Abs. 1 lit. a–d (Pseudonymisierung/Verschlüsselung, Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellbarkeit, regelmäßige Evaluierung), Abs. 2–4 (Risikobewertung, Nachweis via Art. 40/42, Weisungsbindung) sowie Bußgeldrahmen Art. 83 Abs. 4 lit. a gegen EUR-Lex und EU-Kommission gegengeprüft; EuGH-Rechtsprechung C-340/21 (14.12.2023) und C-687/21 (25.01.2024) über dejure.org-Permalinks eingebunden. | change_type=initial_publication reviewed_by="Andreas Warkentin" field="topic_lifecycle" new="published"

## Stand

- Stand: 2026-07-12
- Gültig ab: 2018-05-25 (Geltungsbeginn der DSGVO)
- Status: aktuell
- Quellenautorität: A (EUR-Lex, EU-Kommission, EuGH, BfDI, BSI)
- Lizenz: CC BY 4.0
