TOMs-Checkliste nach Art. 32 DSGVO: Konkrete technische und organisatorische Maßnahmen

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" — sagt aber nicht, welche. Wer im Streit oder bei Aufsichts-Prüfung keine dokumentierten TOMs vorlegen kann, riskiert nicht nur ein Bußgeld nach Art. 83 DSGVO, sondern bekommt das Mitverschulden bei jedem Datenschutz-Vorfall obendrauf. Hier eine konkrete Checkliste mit Stand der Technik 2026 — Du nutzt sie als Selbstprüfung oder hängst sie als Anlage an Deine AV-Verträge:

Art. 32 DSGVO verpflichtet zu „geeigneten technischen und organisatorischen Maßnahmen" — was das konkret heißt, sagt das Gesetz nicht. Diese Checkliste übersetzt die abstrakte Pflicht in eine konkrete Liste von Maßnahmen, geordnet nach den klassischen Schutzzielen: Vertraulichkeit (Zutritts-, Zugangs-, Zugriffs-, Trennungskontrolle), Pseudonymisierung, Integrität (Weitergabe- und Eingabekontrolle), Verfügbarkeit und Belastbarkeit (Backups, USV, Notfallplan), Datenschutz-Management (Verzeichnis nach Art. 30, Folgenabschätzung nach Art. 35, Schulungen), Management bei Datenschutzverletzungen (Meldeprozess nach Art. 33/34), Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO) und Auftragskontrolle (AV-Vertrag, Weisungsprozesse, Unterauftragnehmer-Management). Stand der Technik 2026: AES-256, TLS 1.3, Multi-Faktor-Authentifizierung, Orientierung am BSI IT-Grundschutz-Kompendium Edition 2024 und ISO/IEC 27001:2022. KI-Einsatz mit personenbezogenen Daten erfordert zusätzlich Prompt-Injection-Schutz und Trainings-Datentrennung nach DSGVO und EU AI Act (Verordnung 2024/1689). Du nutzt sie als Selbstprüfung — oder hängst sie als Anlage an Deine Auftragsverarbeitungs-Verträge.

Beispiele für TOMs (technische und organisatorische Maßnahmen)

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:

☐ Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte) ☐ Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.) ☐ Sicherheitstüren / -fenster ☐ Gitter vor Fenstern/Türen ☐ Zaunanlagen ☐ Schlüsselverwaltung/Dokumentation der Schlüsselvergabe ☐ Werkschutz, Pförtner ☐ Alarmanlage ☐ Videoüberwachung ☐ Spezielle Schutzvorkehrungen des Serverraums ☐ Spezielle Schutzvorkehrungen für die Aufbewahrung von Backups und anderen Datenträgern ☐ Nicht-reversible Vernichtung von Datenträgern ☐ Mitarbeiter- und Berechtigungsausweise ☐ Sperrbereiche ☐ Besucherregelung (z. B. Abholung am Empfang, Dokumentation von Besuchszeiten, Besucherausweis, Begleitung nach dem Besuch bis zum Ausgang) ☐ Andere Maßnahmen: [Bitte ergänzen]

Zugangskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:

☐ Persönlicher und individueller Login bei Anmeldung am System/Netzwerk ☐ Autorisierungsprozess für Zugangsberechtigungen ☐ Begrenzung der befugten Benutzer ☐ Single Sign-On ☐ BIOS-Passwörter ☐ Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) ☐ Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff ☐ Personalisierte Chipkarten, Token, PIN-/TAN, etc. ☐ Protokollierung des Zugangs ☐ Zusätzlicher Login für bestimmte Anwendungen ☐ Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität ☐ Firewall ☐ Andere Maßnahmen: [Bitte ergänzen]

Zugriffskontrolle

Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:

☐ Verwaltung und Dokumentation von differenzierten Berechtigungen ☐ Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist ☐ Auswertungen/Protokollierungen von Datenverarbeitungen ☐ Autorisierungsprozess für Berechtigungen ☐ Genehmigungsroutinen ☐ Profile/Rollen ☐ Verschlüsselung von Datenträgern ☐ Maßnahmen zur Verhinderung unbefugten Überspielens von Daten auf mobile Datenträger (z. B. Kopierschutz, Sperrung von USB-Ports, Data Loss Prevention System/DLP) ☐ Mobile Device Management (MDM) ☐ Vier-Augen-Prinzip ☐ Funktionstrennung (Segregation of Duties) ☐ Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399 ☐ Nicht-reversible Löschung von Datenträgern ☐ Sichtschutzfolien für mobile Datenverarbeitungsanlagen ☐ Andere Maßnahmen: [Bitte ergänzen]

Trennungskontrolle

Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

☐ Speicherung der Datensätze in physikalisch getrennten Datenbanken ☐ Verarbeitung auf mindestens logisch getrennten Systemen ☐ Zugriffsberechtigungen nach funktioneller Zuständigkeit ☐ Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen ☐ Mandantenfähigkeit von IT-Systemen ☐ Verwendung von Testdaten ☐ Trennung von Entwicklungs- und Produktionsumgebung ☐ Andere Maßnahmen: [Bitte ergänzen]

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

[Bitte das Verfahren zur Pseudonymisierung kurz und verständlich darstellen]

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

☐ Verschlüsselung von E-Mail oder E-Mail-Anhängen ☐ Verschlüsselung von Datenträgern ☐ Gesicherter File Transfer oder sonstiger Datentransport ☐ Physikalische Transportsicherung ☐ Verpackungs- und Versandvorschriften ☐ Qualifizierte elektronische Signatur ☐ Verschlüsseltes WLAN ☐ Fernwartungskonzept (z. B. Verschlüsselung, Ereignisauslösung durch Auftraggeber, Challenge-Response, Rückrufautomatik, Einmal-Passwort) ☐ Mobile Device Management (MDM) ☐ Data Loss Prevention System (DLP) ☐ Regelung zum Umgang mit mobilen Datenträgern (z. B. Laptop, USB-Stick, Mobiltelefon) ☐ Protokollierung von Datenübertragung oder Datentransport ☐ Protokollierung von lesenden Zugriffen ☐ Protokollierung des Kopierens, Veränderns oder Entfernens von Daten ☐ Andere Maßnahmen: [Bitte ergänzen]

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

☐ Zugriffsrechte ☐ Systemseitige Protokollierungen ☐ Dokumenten Management System (DMS) / Enterprise Content Management System (ECMS) mit Änderungshistorie ☐ Sicherheits-/Protokollierungssoftware ☐ Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten ☐ Vieraugenprinzip ☐ Data Loss Prevention System (DLP) ☐ Andere Maßnahmen: [Bitte ergänzen]

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Auftraggeber stets verfügbar sind:

☐ Sicherheitskonzept für Software- und IT-Anwendungen ☐ Backup-Verfahren ☐ Aufbewahrungsprozess für Backups (z. B. brandgeschützter Safe, getrennter Brandabschnitt) ☐ Gewährleistung der Datenspeicherung im gesicherten Netzwerk ☐ Bedarfsgerechtes Einspielen von Sicherheits-Updates ☐ Spiegeln von Festplatten ☐ Unterbrechungsfreie Stromversorgung (USV) ☐ Geeignete Archivierungsräumlichkeiten für Papierdokumente ☐ Brand- und/oder Löschwasserschutz des Serverraums ☐ Brand- und/oder Löschwasserschutz der Archivierungsräumlichkeiten ☐ Klimatisierter Serverraum ☐ Virenschutz ☐ Firewall ☐ Notfallplan ☐ Erfolgreiche Notfallübungen ☐ Redundante, örtlich getrennte Datenaufbewahrung (Offsite Storage) ☐ Andere Maßnahmen: [Bitte ausführen]

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

☐ Datenschutzleitbild des Anbieters ☐ Datenschutz-Richtlinie des Anbieters ☐ Richtlinien/Anweisungen zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit ☐ Benennung eines Datenschutzbeauftragten ☐ Verpflichtung der Mitarbeiter auf die Vertraulichkeit ☐ Hinreichende Schulungen der Mitarbeiter im Datenschutz ☐ Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO) ☐ Durchführung von Datenschutzfolgenabschätzungen, soweit erforderlich (Art. 35 DSGVO) ☐ Externe Prüfung oder Auditierung ☐ Andere Maßnahmen: [Bitte ausführen]

Management bei Datenschutzverletzungen

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

☐ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO) ☐ Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber betroffenen Personen (Art. 34 DSGVO) ☐ Andere Maßnahmen: [Bitte ausführen]

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.

[Bitte Beispiele benennen]

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Auftraggebers verarbeitet werden:

☐ Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten der Parteien ☐ Prozess zur Erteilung und/oder Befolgung von Weisungen ☐ Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern ☐ Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung ☐ Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter beim Anbieter ☐ Unabhängige Auditierung der Weisungsgebundenheit ☐ Verpflichtung der Beschäftigten auf die Vertraulichkeit ☐ Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen ☐ Formalisiertes Auftragsmanagement ☐ Dokumentiertes Verfahren zur Auswahl von Unterauftragnehmern ☐ Standardisiertes Vertragsmanagement zur Kontrolle von Unterauftragnehmern ☐ Andere Maßnahmen: [Bitte ergänzen]

Update 2026 (Stand der Technik konkretisiert): Die obigen Schutzziele bleiben unverändert — die konkreten technischen Mindeststandards wandern aber jedes Jahr. Stand 2026 sind: AES-256 für Vollverschlüsselung von Endgeräten (BitLocker, FileVault, LUKS); TLS 1.3 für Transportverschlüsselung; S/MIME oder OpenPGP für vertrauliche E-Mails; Multi-Faktor-Authentifizierung für administrative Zugänge als Standard. Orientierungs-Rahmen: BSI IT-Grundschutz-Kompendium (Edition 2024), ISO/IEC 27001:2022, NIS-2-Richtlinie (EU 2022/2555).

Update 2026 (KI-Tools — neue TOMs-Kategorie): Wer KI-Tools mit personenbezogenen Daten einsetzt (Chatbots, Coding-Assistenten, Übersetzungs-Tools), muss zusätzliche Maßnahmen ergreifen: Prompt-Injection-Schutz bei Chatbots, Datenminimierung beim Modell-Training, klare Trennung von „Nicht-trainings-Daten" gegenüber „darf für Training verwendet werden", Zugriffsbeschränkungen für KI-Werkzeuge mit Zugang zu Kunden-/Mitarbeiterdaten. Grundlage: EU AI Act (Verordnung 2024/1689) plus DSGVO-Rechtsprechung zur Verantwortlichkeit beim KI-Einsatz.

Häufige Fragen zu TOMs nach Art. 32 DSGVO

Was sind TOMs nach Art. 32 DSGVO?

TOMs sind technische und organisatorische Maßnahmen, die nach Art. 32 DSGVO zur Sicherheit der Datenverarbeitung erforderlich sind. Das Gesetz schreibt „geeignete" Maßnahmen vor — die Konkretisierung erfolgt nach den klassischen Schutzzielen: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Zur Vertraulichkeit gehören Zutritts-, Zugangs-, Zugriffs- und Trennungskontrolle; zur Integrität Weitergabe- und Eingabekontrolle; zur Verfügbarkeit Backup, USV, Notfallplan.

Was bedeutet Zutrittskontrolle?

Zutrittskontrolle umfasst Maßnahmen, die verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben. Typische Maßnahmen: Zutrittskontrollsystem mit Ausweisleser, Türsicherungen (elektrische Türöffner, Zahlenschlösser), Sicherheitstüren und -fenster, Schlüsselverwaltung mit Dokumentation, Alarmanlage, Videoüberwachung, spezielle Schutzvorkehrungen des Serverraums, Sperrbereiche, Besucherregelung mit Dokumentation der Besuchszeiten.

Was ist der Unterschied zwischen Zugangskontrolle und Zugriffskontrolle?

Zugangskontrolle verhindert, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben — typisch: persönlicher Login, Autorisierungsprozess, Single Sign-On, Kennwortverfahren mit Komplexitäts- und Aktualisierungs-Parametern, Chipkarten/Token/PIN/TAN, Protokollierung, automatische Client-Sperrung, Firewall. Zugriffskontrolle stellt sicher, dass unbefugte Dritte keinen Zugriff auf die Daten selbst haben — typisch: differenzierte Berechtigungen, Profile/Rollen, Verschlüsselung von Datenträgern, USB-Port-Sperrung, Mobile Device Management, Vier-Augen-Prinzip, fachkundige Vernichtung nach DIN 66399.

Was ist Trennungskontrolle?

Trennungskontrolle stellt sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. Maßnahmen: Speicherung in physikalisch getrennten Datenbanken oder mindestens auf logisch getrennten Systemen, Zugriffsberechtigungen nach funktioneller Zuständigkeit, Mandantenfähigkeit von IT-Systemen, Verwendung von Testdaten, Trennung von Entwicklungs- und Produktionsumgebung.

Welche Maßnahmen gehören zur Weitergabekontrolle?

Weitergabekontrolle sichert ab, dass Daten bei Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Maßnahmen: E-Mail- und Anhang-Verschlüsselung, Datenträger-Verschlüsselung, gesicherter File Transfer, qualifizierte elektronische Signatur, verschlüsseltes WLAN, Fernwartungskonzepte mit Verschlüsselung und Challenge-Response, Mobile Device Management, Data Loss Prevention, Protokollierung von Datenübertragungen und lesenden Zugriffen.

Was muss zur Verfügbarkeit und Belastbarkeit dokumentiert werden?

Maßnahmen zur Verfügbarkeit schützen Daten gegen zufällige Zerstörung oder Verlust: Sicherheitskonzept für Software und IT-Anwendungen, Backup-Verfahren, Aufbewahrungsprozess für Backups (brandgeschützter Safe, getrennter Brandabschnitt), bedarfsgerechtes Einspielen von Sicherheits-Updates, Spiegeln von Festplatten, unterbrechungsfreie Stromversorgung (USV), Klimatisierung des Serverraums, Brand- und Löschwasserschutz, Virenschutz, Firewall, Notfallplan, erfolgreiche Notfallübungen, redundante örtlich getrennte Datenaufbewahrung (Offsite Storage).

Was ist „Stand der Technik" für TOMs konkret 2026?

Die Schutzziele bleiben unverändert — die konkreten technischen Mindeststandards wandern aber jedes Jahr. Stand 2026 sind: AES-256 für Vollverschlüsselung von Endgeräten (BitLocker, FileVault, LUKS); TLS 1.3 für Transportverschlüsselung; S/MIME oder OpenPGP für vertrauliche E-Mails; Multi-Faktor-Authentifizierung für administrative Zugänge als Standard. Orientierungs-Rahmen: BSI IT-Grundschutz-Kompendium (Edition 2024), ISO/IEC 27001:2022, NIS-2-Richtlinie (EU 2022/2555).

Welche zusätzlichen TOMs gelten beim Einsatz von KI-Tools?

Wer KI-Tools mit personenbezogenen Daten einsetzt (Chatbots, Coding-Assistenten, Übersetzungs-Tools), muss zusätzliche Maßnahmen ergreifen: Prompt-Injection-Schutz bei Chatbots, Datenminimierung beim Modell-Training, klare Trennung von „Nicht-trainings-Daten" gegenüber „darf für Training verwendet werden", Zugriffsbeschränkungen für KI-Werkzeuge mit Zugang zu Kunden- oder Mitarbeiterdaten. Grundlage: EU AI Act (Verordnung 2024/1689) plus DSGVO-Rechtsprechung zur Verantwortlichkeit beim KI-Einsatz.

Was gehört in das Datenschutz-Management nach Art. 32 Abs. 1 lit. d DSGVO?

Maßnahmen zum Datenschutz-Management: Datenschutz-Leitbild und -Richtlinien, Anweisungen zur Gewährleistung von TOMs, Benennung eines Datenschutzbeauftragten (sofern erforderlich), Vertraulichkeits-Verpflichtung der Mitarbeiter, hinreichende Datenschutz-Schulungen, Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO), Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO), externe Prüfung oder Auditierung.

Wie melde ich Datenschutzverletzungen?

Bei Datenschutzverletzungen sind nach DSGVO zwei Meldeprozesse zu unterscheiden: (1) Meldung gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO — binnen 72 Stunden nach Kenntnis; (2) Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO — wenn voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Du brauchst hierfür dokumentierte interne Meldeprozesse.

Verwandte Themen im Gründer-Cluster:

• DSGVO für Gründer — Verarbeitungsverzeichnis, Datensicherheit, Auftragsverarbeitung (Pillar 6, Hauptseite)
• Datenschutzerklärung für die Website (Pillar 8, Spoke)

Du brauchst einen AV-Vertrag, dem diese TOMs als Anlage beiliegen können? Im easyRechtssicher Starterpaket ist der Standard-AV-Vertrag bereits mit dieser TOMs-Checkliste verknüpft.