Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
TOMArt. 32 DSGVODatensicherheit

TOMs erstellen: technisch-organisatorische Maßnahmen (Art. 32)

Technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO dokumentieren: Kategorien, Beispiel-Maßnahmen zum Abschreiben, Vorlage für die AVV-Anlage — für Hamburger KMU.

Jens Hagel
Jens Hagel
Co-Founder · IT-Unternehmer
20. Mai 2026

Inhalt in Kürze

  • Technisch-organisatorische Maßnahmen (TOM) sind nach Art. 32 DSGVO Pflicht — sie sichern die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit Ihrer Systeme ab.
  • Acht Kategorien strukturieren die TOMs: Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle — plus Pseudonymisierung/Verschlüsselung und regelmäßige Überprüfung.
  • Der Ansatz ist risikobasiert: gefordert ist ein zum Schutzbedarf angemessenes Niveau nach Stand der Technik und Kosten — kein Goldstandard für jeden.
  • TOMs sind Pflicht-Anlage jeder AVV und werden im VVT referenziert — ein sauberes TOM-Dokument ist bei Behördenprüfung und Kunden-Audit das Erste, was vorgelegt werden muss.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 10 Minuten

Sie sollen Ihre technisch-organisatorischen Maßnahmen dokumentieren — für die Anlage zu einem Auftragsverarbeitungsvertrag, ein anstehendes Kunden-Audit oder eine Anfrage der Aufsichtsbehörde. Und im Netz finden Sie entweder 40-seitige Juristen-Muster oder leere Häkchen-Listen ohne Substanz. Dieser Artikel gibt Ihnen die acht Kategorien nach Art. 32 DSGVO, konkrete Beispiel-Maßnahmen zum Abschreiben und eine Anleitung, wie Sie das Ganze risikobasiert — also angemessen statt überzogen — halten.

Hamburg-Praxis:

Wenn der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) oder ein Großkunde Ihres Betriebs ein Datensicherheitskonzept anfordert, wird fast immer das TOM-Dokument verlangt — gemeinsam mit dem Verzeichnis von Verarbeitungstätigkeiten. Wir erleben es bei Hamburger Mandanten regelmäßig: Eine Reederei oder ein IT-Dienstleister bekommt vom Auftraggeber einen Lieferanten-Fragebogen, und die erste Zeile lautet „Bitte fügen Sie Ihre technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO bei." Wer dann ein gepflegtes Dokument zückt, ist sofort im Geschäft.

Was sind technisch-organisatorische Maßnahmen (TOM)?

Technisch-organisatorische Maßnahmen sind alle Vorkehrungen, mit denen Sie personenbezogene Daten vor Verlust, Diebstahl, Veränderung und unbefugtem Zugriff schützen. Die Rechtsgrundlage ist Art. 32 DSGVO — „Sicherheit der Verarbeitung”.

Der Begriff steckt schon im Namen:

  • Technische Maßnahmen sind alles, was an Hard- und Software hängt: Verschlüsselung, Firewall, Multi-Faktor-Authentifizierung, Backup, Zutrittssysteme mit Chipkarte.
  • Organisatorische Maßnahmen sind Regeln, Prozesse und Richtlinien: eine Passwortrichtlinie, ein Berechtigungskonzept, Mitarbeiterschulungen, ein Clean-Desk-Prinzip, der Vertraulichkeitsvertrag mit Dienstleistern.

Beides greift ineinander. Eine Festplattenverschlüsselung (technisch) nützt wenig, wenn niemand die Regel kennt, dass Laptops nicht offen im Auto liegen bleiben dürfen (organisatorisch).

Art. 32 Abs. 1 nennt vier konkrete Bausteine ausdrücklich: die Pseudonymisierung und Verschlüsselung personenbezogener Daten (lit. a), die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen (lit. b), die rasche Wiederherstellbarkeit nach einem Zwischenfall (lit. c) und ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit (lit. d).

Die Schutzziele — worauf alles einzahlt

Jede einzelne Maßnahme dient am Ende einem von diesen Schutzzielen:

  • Vertraulichkeit. Nur Befugte sehen die Daten. Schutz vor unbefugtem Zugriff.
  • Integrität. Daten bleiben unverändert und korrekt. Schutz vor heimlicher Manipulation.
  • Verfügbarkeit. Daten und Systeme sind da, wenn man sie braucht. Schutz vor Ausfall und Verlust.
  • Belastbarkeit (Resilienz). Systeme funktionieren auch unter Last und erholen sich nach Störungen.
  • Wiederherstellbarkeit. Nach einem Zwischenfall sind Daten und Zugang rasch wieder hergestellt.
Das Wichtigste: TOMs sind keine Bürokratie um ihrer selbst willen. Sie sind der dokumentierte Beweis, dass Sie Datensicherheit ernst nehmen. Bei einer Datenpanne oder Prüfung ist die erste Frage der Behörde: „Welche Maßnahmen hatten Sie getroffen?" Wer dann ein gepflegtes TOM-Dokument vorlegt, steht deutlich besser da als jemand mit leeren Händen.

Die acht TOM-Kategorien mit Beispiel-Maßnahmen

Für die Strukturierung hat sich ein bewährtes Kategorien-Raster durchgesetzt — die acht „Kontrollen”, die ursprünglich aus der Anlage zum alten BDSG stammen und bis heute jedes seriöse Muster (IHK, Stiftung Datenschutz, Aufsichtsbehörden) prägen. Sie sind das Gerüst Ihres Dokuments. Hier die Kategorien mit konkreten Maßnahmen zum Abschreiben:

KategorieSchutzzielBeispiel-Maßnahmen (zum Abschreiben)
ZutrittskontrolleVertraulichkeitAbschließbare Büros, Chipkarten-/Schlüsselsystem, Alarmanlage, Besucher melden sich an und werden begleitet, Serverraum separat gesichert
ZugangskontrolleVertraulichkeitPersönliche Benutzerkonten, Multi-Faktor-Authentifizierung (MFA), Passwortrichtlinie (Länge, Komplexität), automatische Bildschirmsperre, kein Admin-Recht im Tagesgeschäft
ZugriffskontrolleVertraulichkeitRollen- und Berechtigungskonzept (Need-to-know), regelmäßige Rechte-Reviews, Protokollierung von Zugriffen auf sensible Daten, sicheres Löschen ausgemusterter Datenträger
WeitergabekontrolleVertraulichkeit, IntegritätTLS-Verschlüsselung für Web/E-Mail, VPN für Fernzugriff, verschlüsselte mobile Datenträger, Verbot privater USB-Sticks, sichere Entsorgung (Aktenvernichter, DIN 66399)
EingabekontrolleIntegritätProtokollierung von Eingabe, Änderung und Löschung in Fachverfahren, nachvollziehbare Benutzer-IDs, Logs revisionssicher und vor Manipulation geschützt
AuftragskontrolleVertraulichkeitAuftragsverarbeitungsverträge (AVV) mit allen Dienstleistern, Prüfung von deren TOMs vor Beauftragung, Weisungsbindung dokumentiert, Kontrollrechte vereinbart
VerfügbarkeitskontrolleVerfügbarkeit, BelastbarkeitBackup-Konzept (3-2-1-Regel), regelmäßige Restore-Tests, USV/Notstrom für Server, Firewall und aktueller Virenschutz, Notfallplan
TrennungskontrolleVertraulichkeitGetrennte Mandanten/Datenbanken, Trennung von Produktiv- und Testsystemen, getrennte Verarbeitung nach Zweck, Mandantenfähigkeit in Software

Dazu kommen die beiden in Art. 32 Abs. 1 wörtlich genannten Querschnitts-Maßnahmen:

  • Pseudonymisierung und Verschlüsselung — etwa Festplattenverschlüsselung (BitLocker/FileVault), verschlüsselte Backups, Pseudonymisierung in Auswertungen und Testdaten.
  • Verfahren zur regelmäßigen Überprüfung — die jährliche Wirksamkeitsprüfung Ihrer Maßnahmen, dokumentiert (lit. d).
8
Kontroll-Kategorien
5
Schutzziele Art. 32
3-2-1
Backup-Regel
jährlich
Wirksamkeitsprüfung
Tipp:

Drei dieser Kategorien sind in der Praxis die größten Lücken bei Hamburger KMU: fehlende MFA (Zugangskontrolle), kein getesteter Restore (Verfügbarkeitskontrolle) und ungeprüfte Dienstleister-AVVs (Auftragskontrolle). Wir haben dazu eigene Leitfäden: MFA im Unternehmen einführen, IT-Sicherheitskonzept erstellen und AVV prüfen — Muster.

Der risikobasierte Ansatz: angemessen statt Gold für jeden

Hier liegt der größte Denkfehler, den wir bei Mandanten sehen: Viele glauben, sie müssten jede denkbare Sicherheitsmaßnahme umsetzen. Das fordert Art. 32 DSGVO ausdrücklich nicht. Gefordert ist ein dem Risiko angemessenes Schutzniveau — nicht das Maximum.

Der Gesetzgeber nennt in Art. 32 Abs. 1 die Faktoren, gegen die Sie abwägen:

  • Stand der Technik. Bewährte, am Markt verfügbare Verfahren — nicht das Labor-Maximum.
  • Implementierungskosten. Aufwand und Kosten dürfen im Verhältnis stehen.
  • Art, Umfang, Umstände und Zwecke der Verarbeitung. Wer ein einfaches Kontaktformular betreibt, hat ein anderes Risiko als eine Arztpraxis.
  • Eintrittswahrscheinlichkeit und Schwere des Risikos. Wie wahrscheinlich ist ein Schaden, wie hart trifft er Betroffene?

Praktisch heißt das: Ein Steuerbüro mit sensiblen Mandantendaten braucht stärkere Maßnahmen als ein Handwerksbetrieb mit reinen Kontaktdaten. Wer Gesundheitsdaten (Art. 9) verarbeitet — eine Arztpraxis etwa — landet automatisch im hohen Schutzbedarf. Das ist der Kern des „risikobasierten Ansatzes”: Sie schätzen den Schutzbedarf je Verarbeitung ein und dimensionieren die Maßnahmen danach.

Was bedeutet „Stand der Technik”?

Der Begriff liegt rechtlich zwischen dem „allgemein anerkannten Stand” (gestern) und dem „Stand der Wissenschaft” (übermorgen) — also bewährte, wirksame und am Markt verfügbare Verfahren. Der BfDI und die TeleTrusT-Handreichung konkretisieren ihn fortlaufend. Heute heißt Stand der Technik zum Beispiel: TLS für Datenübertragung, MFA für Fernzugriffe, aktuelle Verschlüsselungsstandards für mobile Geräte, zeitnahe Sicherheitsupdates.

Achtung:

„Risikobasiert" ist keine Ausrede für „wir machen nichts". Ein verschlüsselungsfreier E-Mail-Versand von Gesundheitsdaten oder fehlende Backups sind nie angemessen — egal wie klein der Betrieb. Die Untergrenze sind die Maßnahmen, die heute Standard und mit vertretbarem Aufwand verfügbar sind. Erst oberhalb dieser Linie beginnt das Abwägen.

TOMs als AVV-Anlage und VVT-Verweis

TOMs leben nicht im luftleeren Raum. Sie sind an zwei Stellen des Datenschutz-Systems fest verankert:

1. Als Anlage zum Auftragsverarbeitungsvertrag (Art. 28 DSGVO). Jeder Auftragsverarbeiter — Ihr Cloud-Anbieter, Ihr Lohnbüro, Ihr IT-Dienstleister — muss seine TOMs der AVV als Anlage beifügen. Und Sie müssen diese vor der Beauftragung prüfen. Umgekehrt: Sobald Sie selbst für Kunden als Auftragsverarbeiter arbeiten, fügen Sie Ihre TOMs jeder eigenen AVV bei. Wie Sie eine AVV samt TOM-Anlage prüfen, zeigt unser AVV-Muster-Leitfaden. Die offizielle BfDI-Mustervereinbarung zur Auftragsverarbeitung enthält eine eigene Anlage für die TOMs.

2. Als Verweis im Verzeichnis von Verarbeitungstätigkeiten. Art. 30 Abs. 1 lit. g verlangt im VVT „eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen”. Sie schreiben die TOMs nicht in jede VVT-Zeile — Sie pflegen ein zentrales TOM-Dokument und verweisen aus dem VVT darauf. Mehr dazu im Beitrag VVT erstellen — Muster.

Das Wichtigste: Pflegen Sie ein einziges, zentrales TOM-Dokument. Dieses dient zugleich als AVV-Anlage und als VVT-Beschreibung. Doppelpflege ist Fehlerquelle Nummer eins — ändert sich eine Maßnahme, muss sie nur an einer Stelle aktualisiert werden.

In vier Schritten zu dokumentierten TOMs

So gehen wir bei Mandanten vor — und so machen Sie es selbst, ohne sich in 40 Seiten zu verlieren:

  1. Schritt 1 — Schutzbedarf einschätzen. Gehen Sie Ihre Verarbeitungen aus dem VVT durch und ordnen Sie jeder einen Schutzbedarf zu (normal / hoch / sehr hoch). Verarbeiten Sie besondere Daten nach Art. 9 (Gesundheit, Religion) oder große Datenmengen? Dann steigt der Schutzbedarf — und mit ihm das geforderte Maßnahmenniveau.
  2. Schritt 2 — Maßnahmen je Kategorie festlegen. Gehen Sie die acht Kategorien durch und notieren Sie pro Kategorie, was Sie konkret tun. Nutzen Sie die Tabelle oben als Vorlage. Ehrlich bleiben: Nur eintragen, was tatsächlich gelebt wird — nicht, was schön klingt.
  3. Schritt 3 — Schriftlich dokumentieren. Halten Sie alles in einem strukturierten Dokument fest (Word, PDF oder Datenschutz-Software). Mit Stand-Datum und Versionsnummer. Dieses Dokument ist Ihre AVV-Anlage und Ihr VVT-Verweis.
  4. Schritt 4 — Jährlich prüfen und nachweisen. Setzen Sie sich einen jährlichen Termin und prüfen Sie: Stimmen die Maßnahmen noch? Neue Systeme, neue Dienstleister, neue Risiken? Dokumentieren Sie das Prüfdatum — das ist das von Art. 32 Abs. 1 lit. d verlangte Verfahren.
Wichtig:

Dokumentieren Sie nur, was Sie wirklich umsetzen. Ein TOM-Dokument, das MFA und tägliche Backups behauptet, die es nicht gibt, ist im Schadensfall ein Eigentor — die Diskrepanz zwischen Papier und Realität verschärft die Lage gegenüber der Aufsichtsbehörde. Lieber ehrlich „in Umsetzung bis Q3" eintragen als unwahre Häkchen setzen.

Aus der Praxis

Fünf Tage vor der TÜV-Rezertifizierung ISO 9001 kam die E-Mail: Können Sie uns helfen? Es fehlte ein sauberes Datensicherheitskonzept mit dokumentierten Maßnahmen. Wir haben die TOMs entlang der acht Kategorien strukturiert, an die real gelebte IT angepasst — und der Auditor war am Ende begeistert. Genau das ist der Punkt: TOMs müssen zur Realität passen, nicht zu einem Mustertext.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Das deckt sich mit dem, was wir bei Hamburger Betrieben immer wieder erleben. Ein TOM-Dokument von der Stange, kopiert aus einem PDF, hilft im Ernstfall nichts. Die Aufsichtsbehörde und ein guter Auditor merken sofort, ob die Maßnahmen zur tatsächlichen IT passen. Für IT-getriebene Unternehmen lohnt der Blick in unseren Beitrag zum IT-Sicherheitskonzept für KMU und — bei Software-Häusern — in die Branchenseite Datenschutz für IT & SaaS.

Hamburg-Praxis:

Wir betreuen Mandate quer durch die Stadt — vom Software-Haus in der HafenCity bis zum Mittelständler in Altona. Das Muster ist überall gleich: Die TOMs entstehen nicht am grünen Tisch, sondern im Gespräch mit der IT. Wer macht das Backup? Gibt es MFA? Wer hat Admin-Rechte? Aus diesen Antworten wird ein TOM-Dokument, das einer Prüfung standhält — und das ein Großkunde im Lieferanten-Audit akzeptiert.

Häufige Fehler bei TOMs

Damit Ihr Dokument keine Angriffsfläche bietet, hier die Klassiker aus unserer Prüfpraxis:

  • Mustertext ohne Anpassung. Ein PDF aus dem Netz mit fremdem Firmennamen drin — fällt sofort auf.
  • Keine Wirksamkeitsprüfung. Erstellt 2019, nie wieder angefasst. Art. 32 Abs. 1 lit. d verlangt regelmäßige Überprüfung.
  • Backup ohne Restore-Test. Ein Backup, das nie zurückgespielt wurde, ist im Ernstfall oft wertlos.
  • Dienstleister-AVVs ungeprüft. TOMs der Auftragsverarbeiter nicht angefordert oder nicht gelesen.
  • Übertreibung. Maßnahmen dokumentiert, die nicht existieren — verschärft jeden Schadensfall.

TOMs dokumentieren — ohne Mustertext-Bürokratie

Wir erstellen mit Ihnen ein TOM-Dokument, das zu Ihrer realen IT passt und Behörden- wie Kunden-Audits standhält — inklusive AVV-Anlage und VVT-Verweis. In unserem Tarif ist die TOMs-Bibliothek der Plattform „Hugo DSB" enthalten (ab Lite 79 € netto/Monat). 15 Minuten Erstgespräch, dann wissen Sie, wo Sie stehen.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Was sind technisch-organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO?

TOMs sind alle technischen und organisatorischen Vorkehrungen, mit denen Sie personenbezogene Daten schützen — von der Zutrittskontrolle über Verschlüsselung und Multi-Faktor-Authentifizierung bis zum Backup. Art. 32 DSGVO verlangt sie, um die Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen. Technisch sind Maßnahmen an Hard- und Software, organisatorisch sind Regeln, Prozesse und Richtlinien.

Welche Kategorien von TOMs gibt es?

Bewährt haben sich acht Kategorien: Zutrittskontrolle (physischer Zugang), Zugangskontrolle (Systemzugang, MFA), Zugriffskontrolle (Berechtigungen), Weitergabekontrolle (Verschlüsselung, VPN), Eingabekontrolle (Logging), Auftragskontrolle (AVV mit Dienstleistern), Verfügbarkeitskontrolle (Backup, USV) und Trennungskontrolle. Hinzu kommen Pseudonymisierung/Verschlüsselung und ein Verfahren zur regelmäßigen Überprüfung, beides ausdrücklich in Art. 32 Abs. 1 genannt.

Muss ich für die AVV-Anlage eigene TOMs dokumentieren?

Ja. Bei jedem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO muss der Auftragsverarbeiter seine TOMs als Anlage beifügen — und Sie als Verantwortlicher müssen diese vor der Beauftragung prüfen. Auch Ihre eigenen TOMs gehören als Anlage in Ihre AVVs, wenn Sie für Kunden als Auftragsverarbeiter tätig werden. Dasselbe TOM-Dokument verlinken Sie im Verzeichnis von Verarbeitungstätigkeiten.

Was bedeutet der risikobasierte Ansatz bei TOMs?

Art. 32 DSGVO verlangt keine Maximalsicherheit, sondern ein dem Risiko angemessenes Schutzniveau. Sie wägen ab zwischen Stand der Technik, Implementierungskosten, Art und Umfang der Verarbeitung und der Eintrittswahrscheinlichkeit und Schwere des Risikos. Wer Gesundheitsdaten verarbeitet, braucht stärkere Maßnahmen als ein reiner Newsletter-Versand. Ein Goldstandard für jeden ist weder gefordert noch verhältnismäßig.

Was heißt Stand der Technik bei Art. 32 DSGVO?

Stand der Technik ist ein Niveau zwischen dem allgemein anerkannten Stand und dem Stand der Wissenschaft — also bewährte, am Markt verfügbare und wirksame Verfahren, die nicht erst im Labor existieren. Konkret heißt das heute zum Beispiel: TLS-Verschlüsselung für Web und E-Mail, MFA für Fernzugriffe, aktuelle Verschlüsselungsstandards für mobile Datenträger. Der BfDI und die TeleTrusT-Handreichung konkretisieren den Begriff.

Wie oft muss ich meine TOMs überprüfen?

Art. 32 Abs. 1 lit. d verlangt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen. In der Praxis hat sich eine jährliche Überprüfung etabliert — zusätzlich anlassbezogen, etwa nach einem Sicherheitsvorfall, einem neuen IT-System oder einem Dienstleisterwechsel. Wichtig ist, die Prüfung zu dokumentieren, damit Sie sie gegenüber dem HmbBfDI nachweisen können.

Recherche-Stand: verifiziert am 20. Mai 2026 über dsgvo-gesetz.de (Art. 32), bfdi.bund.de (Stand der Technik) und die BfDI-Mustervereinbarung zur Auftragsverarbeitung.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot