TOM nach Art. 32 DSGVO: 14 prüffeste Maßnahmen für KMU

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026 · Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

TOMs nach Art. 32 DSGVO sind Pflicht für jeden Verantwortlichen — risikoangemessen
Keine Mindestliste — Stand der Technik (BSI Grundschutz, ISO 27002, ENISA)
14 typische TOMs für 30-Personen-Maschinenbauer als Beispiel
ISO 27001 deckt 80-90 % ab, Lücken bei Beschäftigtendatenschutz + Pseudonymisierung
Aufsichten prüfen TOMs primär nach Datenpannen — vorab dokumentieren ist Pflicht

1. Was sind TOMs?

Technische und Organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO sind Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Sie umfassen technische Mittel (Verschlüsselung, MFA, Backup) und organisatorische Verfahren (Berechtigungen, Schulungen, Vier-Augen-Prinzip).

Im DSGVO-Kit finden Sie ein TOM-Konzept mit 14 Standard-Maßnahmen + ISO-27001-Mapping + jährliche Review-Vorlage — einmalig 490–1.490 €.

2. Risikobasiert: was 'angemessen' bedeutet

Art. 32 Abs. 1 nennt 4 Kriterien für die Angemessenheit:

Stand der Technik
Implementierungskosten
Art, Umfang, Umstände, Zwecke der Verarbeitung
Eintrittswahrscheinlichkeit + Schwere des Risikos für Rechte/Freiheiten

3. 14 typische TOMs für KMU

Kurzantwort: Vierzehn TOM-Maßnahmen bilden den Praxis-Standard für KMU: MFA für Admin-Konten, VPN für Remote-Zugriff, Festplattenverschlüsselung, tägliches Backup nach 3-2-1-Prinzip, Need-to-Know-Berechtigungskonzept, jährliche Schulung, Patch-Management mit 30-Tage-Frist für Critical, Vier-Augen-Prinzip, Server-Raum-Zutrittskontrolle, TLS 1.3, Pseudonymisierung in Test-Umgebungen, DIN-66399-Aktenvernichtung, jährlicher Penetrationstest sowie Notfall-Plan mit halbjährlicher Tabletop-Übung.

#	TOM	Schutzziel	Standard-Lösung
1	MFA für alle Admin-Konten	Vertraulichkeit	FIDO2 / TOTP
2	VPN für Remote-Zugriff	Vertraulichkeit, Integrität	WireGuard / OpenVPN
3	Festplattenverschlüsselung	Vertraulichkeit	BitLocker, FileVault
4	Tägliches Backup	Verfügbarkeit	3-2-1-Prinzip, 30-Tage-Retention
5	Berechtigungskonzept Need-to-Know	Vertraulichkeit, Zweckbindung	RBAC + jährlicher Review
6	Schulung jährlich	Organisation	40-Slides-E-Learning + Quiz
7	Patch-Management	Integrität, Verfügbarkeit	30-Tage-Frist für Critical, 90 für High
8	Vier-Augen-Prinzip	Integrität	Bei Sub-Vergabe, Auszahlungen, Datenexport
9	Server-Raum-Zutritt	Vertraulichkeit	Verschlossener Schrank/Raum + Zutrittsprotokoll
10	SSL/TLS für Web-Services	Vertraulichkeit, Integrität	TLS 1.3, BSI TR-02102
11	Pseudonymisierung Test-Umgebung	Datenminimierung	Faker-Tools, hash-basiert
12	Akten-Vernichtung	Vertraulichkeit	DIN 66399 (P-4 oder höher)
13	Penetrationstest	Wirksamkeit	Jährlich, Stichprobe
14	Notfall-Plan + Tabletop	Resilienz	Halbjährlich Übung

4. ISO 27001-Mapping

Kurzantwort: DSGVO-TOMs lassen sich direkt auf ISO-27001-Annex-A-Controls abbilden: Zugangskontrolle entspricht A.9, Verschlüsselung A.10, physische Sicherheit A.11, Backup A.12.3, Schulung A.7.2.2, Vorfallmanagement A.16 und Lieferantenmanagement A.15. Wer ISO 27001 zertifiziert ist, deckt damit die meisten Art.-32-Anforderungen bereits ab.

TOM-Bereich	ISO 27001 Annex A
Zugangskontrolle	A.9 (Access Control)
Verschlüsselung	A.10 (Cryptography)
Physische Sicherheit	A.11 (Physical Security)
Backup	A.12.3
Schulung	A.7.2.2
Vorfälle	A.16
Lieferanten	A.15

5. Review-Zyklus + Aufsichts-Praxis

Aufsichten prüfen TOMs primär in zwei Konstellationen:

Nach einer gemeldeten Datenpanne (Art. 33): waren TOMs angemessen?
Bei einer DSFA-Konsultation (Art. 36): sind TOMs für das Hochrisiko ausreichend?

Praxis-Standard: jährlicher Review + ad-hoc nach Vorfällen + nach wesentlichen IT-Änderungen.

6. TOM-Anpassung nach Vorfall

Nach jeder Datenpanne MÜSSEN TOMs überprüft werden. Dokumentation der Anpassung ist Audit-relevant. Häufige Anpassungen 2024-2026:

MFA-Rollout nach Phishing-Vorfall
Berechtigungs-Reduktion nach Insider-Vorfall
Backup-Test nach Ransomware-Vorfall
Schulung nach 'menschlichem Versagen'-Vorfall

Häufig gestellte Fragen

Reicht ISO 27001 als TOM-Nachweis?

ISO 27001 deckt 80-90 % der DSGVO-TOM-Anforderungen ab. Lücken: Beschäftigtendatenschutz (§ 26 BDSG), Pseudonymisierung, sektorale Spezifika.

Wie oft TOMs aktualisieren?

Mindestens jährlich + nach Vorfällen + bei wesentlichen Änderungen. Aufsichts-Standard: dokumentierter Review-Zyklus.

Wer prüft die TOMs des Auftragsverarbeiters?

Verantwortlicher trägt Auswahl- und Kontrollpflicht (Art. 28 Abs. 1). Praxis: jährlich AV-TOM-Bewertung anhand Fragebogen.

Was bedeutet 'Stand der Technik'?

Aufsichten orientieren sich an: BSI Grundschutz, ISO 27002, ENISA Empfehlungen. Kein statischer Standard — laufende Aktualisierung Pflicht.

MFA für alle Mitarbeitenden Pflicht?

Risikobasiert. BSI-Empfehlung: alle Admin-Konten + alle externen Zugänge (VPN, Cloud) mit MFA. Reine Office-Nutzung: begründbar ohne MFA.

Was ist mit Pseudonymisierung?

Art. 32 Abs. 1 lit. a nennt Pseudonymisierung explizit als Schutzmaßnahme. Pflicht bei besonderen Kategorien Art. 9 oder bei Hochrisiko-Verarbeitungen.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
EDPB Leitlinien 04/2022 zur Berechnung von Geldbußen (Stand: 02.05.2026)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.