Zuletzt aktualisiert: 9. Juli 2026 — Peter Fürsicht, zertifizierter DSB
TOM – Technische und organisatorische Massnahmen (Art. 32 DSGVO)
Technische und organisatorische Massnahmen (TOM) nach Artikel 32 DSGVO sind die Schutzmassnahmen, die ein Unternehmen ergreift, um die Sicherheit personenbezogener Daten zu gewaehrleisten. Die TOM sind risikoorientiert – je sensibler die Daten und groesser die Verarbeitung, desto hoeher die Anforderungen.
Welche TOM sind Pflicht?
Artikel 32 nennt keine abschliessende Liste, sondern nennt Beispiele:
- Pseudonymisierung und Verschluesselung – Daten bei Speicherung und Uebertragung schuetzen
- Vertraulichkeit, Integritaet, Verfuegbarkeit – die drei Schutzziel-Kerne
- Zugangskontrolle – Rollen, Passwoerter, Zwei-Faktor-Authentifizierung
- Eingabekontrolle, Auftragskontrolle, Trennung – organisatorische Prozesse
- Wiederherstellbarkeit – Backups und Notfallplannung
Risiko-orientiert
Die Massnahmen muessen dem Stand der Technik entsprechen und angemessen sein – gemessen am Risiko fuer betroffene Personen. Eine kleine Web-Agentur mit Newsletter-Anmeldung braucht weniger TOM als ein Krankenhaus mit Gesundheitsdaten.
Praxis-Beispiel
Ein Steuerberater speichert Mandantendaten in einer Cloud ohne Zwei-Faktor-Authentifizierung. Ein Phishing-Angriff kompromittiert das Passwort. Die Aufsichtsbehoerde wertet das als unzureichende TOM – die Zugangskontrolle entsprach nicht dem Stand der Technik. Bussgelder drohen.
Was sind typische TOM?
Typische TOM sind Verschluesselung (TLS, AES-256), Passwort-Policies, 2FA, Zugriffsprotokollierung, Backups, Firewall, Schulungen und Clean-Desk-Policy.
Muessen TOM im VVT dokumentiert werden?
Ja, die TOM sollten im Verzeichnis von Verarbeitungstaetigkeiten vermerkt sein – sie sind Teil der Verarbeitungsdokumentation.
Wann sind TOM ausreichend?
Wenn sie dem Stand der Technik entsprechen und das Risiko angemessen begrenzen. Eine 100-%-Sicherheit fordert die DSGVO nicht.
Gelten TOM auch fuer Auftragsverarbeiter?
Ja. AVV-Partner muessen mindestens die gleichen TOM einhalten wie der Verantwortliche.

Leave A Comment