Cybernotfall
Datenschutzrecht · Stand: Juni 2026

Technische und organisatorische Maßnahmen

Verpflichtung des Verantwortlichen und Auftragsverarbeiters, geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung umzusetzen.

Auch bekannt als: TOM, Art. 32 DSGVO

Rechtsgrundlagen
  • Art. 32 DSGVO
  • Art. 5 Abs. 1 lit. f DSGVO

Regelungsgehalt

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art, Umfang, Umständen und Zwecken der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Norm benennt beispielhaft Pseudonymisierung und Verschlüsselung, Fähigkeit zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, Fähigkeit zur raschen Wiederherstellung nach einem Vorfall und ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Maßnahmen.

Bezug zum Stand der Technik

Stand der Technik ist ein bewegliches Konzept. Was 2018 ausreichte, kann 2026 unzureichend sein. Verbindliche Orientierung geben die jährliche Handreichung des TeleTrusT, das BSI-Grundschutzkompendium, ENISA-Leitfäden sowie die ISO-27001-Familie. Diese Quellen werden in Aufsichtsverfahren regelmäßig als Maßstab herangezogen.

Beispielhafte Maßnahmen

Zutrittskontrolle und Zugriffskontrolle, Verschlüsselung von Datenträgern und Datenübertragung, Multi-Faktor-Authentifizierung für privilegierte Zugänge und Fernzugriff, regelmäßiges Patch-Management, Backup nach der 3-2-1-Regel mit getesteten Wiederherstellungen, Protokollierung sicherheitsrelevanter Ereignisse, EDR-Lösungen, Notfallpläne, Schulungen, Berechtigungskonzepte und vertragliche Absicherung externer Dienstleister.

Dokumentations- und Rechenschaftspflicht

Aus Art. 5 Abs. 2 DSGVO folgt die Pflicht, die Einhaltung nachweisen zu können. TOM sind daher schriftlich zu dokumentieren, regelmäßig zu prüfen und bei Änderungen anzupassen. Eine schriftliche TOM-Aufstellung gehört zu den Pflichtdokumenten und ist Anlage jedes Auftragsverarbeitungsvertrags.

Folgen mangelhafter TOM

Mangelhafte TOM führen regelmäßig zu Bußgeldern bis 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO. Sie sind zudem oft Auslöser der Datenpanne selbst. Ein erfolgreicher Ransomware-Angriff durch nicht installierte Patches oder fehlende Multi-Faktor-Authentifizierung wird als Verstoß gegen Art. 32 DSGVO gewürdigt und in die Bußgeldzumessung einbezogen.

Häufige Fragen

Häufige Fragen

Gibt es eine verbindliche Liste an TOM
Nein. Die Norm ist risikobasiert. Die genannten Beispielmaßnahmen und die Standards des BSI dienen als Orientierung, sind aber an die konkrete Verarbeitung anzupassen.
Wie oft sollten TOM überprüft werden
Mindestens jährlich und anlassbezogen, etwa nach Vorfällen, bei wesentlichen technischen Änderungen oder bei neuen Verarbeitungstätigkeiten.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil