Datenschutz

TOM Muster 2026: Technisch-organisatorische Maßnahmen Art. 32 DSGVO + Checkliste

TOM-Muster 2026 nach Art. 32 DSGVO: vollständige Vorlage der technisch-organisatorischen Maßnahmen zum Kopieren, Checkliste und Anpassungsanleitung.

In einem Satz. Ein TOM-Muster dokumentiert die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO — also Verschlüsselung, Zugriffs- und Zutrittskontrolle, Pseudonymisierung, Verfügbarkeit und Belastbarkeit —, mit denen Sie ein dem Risiko angemessenes Schutzniveau nachweisen; es ist Pflichtanlage jedes Auftragsverarbeitungsvertrags.

Art. 32 verlangt keine bestimmte Technik, sondern ein risikoangemessenes Schutzniveau nach dem Stand der Technik. Die TOM-Dokumentation ist der Nachweis, dass Sie diese Abwägung getroffen haben. Diese Vorlage folgt den bewährten Schutzzielen der deutschen Aufsichtspraxis. Grundlagen im Leitfaden zu Art. 32.

Wichtige Punkte

  • Pflicht nach Art. 32 für Verantwortliche und Auftragsverarbeiter.
  • Kein Katalog vorgeschrieben — risikoangemessen und nach Stand der Technik.
  • Pflichtanlage jedes AVV.
  • Nachweispflicht liegt beim Verantwortlichen (EuGH C-340/21).
  • Bußgeld bis 10 Mio. € / 2 % (Art. 83 Abs. 4).

Das TOM-Muster (nach Schutzzielen)

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (Art. 32 DSGVO)
Verantwortlicher: [Firma] | Stand: [Datum]

1. VERTRAULICHKEIT
1.1 Zutrittskontrolle
    - Zutritt zu Serverräumen nur für autorisierte Personen
    - Schließsystem / Chipkarte, Besucherprotokoll, Alarmanlage
1.2 Zugangskontrolle (System)
    - Individuelle Benutzerkonten, keine Sammelkonten
    - Passwortrichtlinie (Länge, Komplexität, Wechsel)
    - Zwei-Faktor-Authentifizierung für Admin- und Remotezugänge
    - Automatische Bildschirmsperre
1.3 Zugriffskontrolle (Daten)
    - Berechtigungskonzept nach Need-to-know
    - Rollenbasierte Rechtevergabe, regelmäßige Rezertifizierung
    - Protokollierung von Zugriffen auf sensible Daten
1.4 Pseudonymisierung / Verschlüsselung
    - Verschlüsselung mobiler Datenträger (Laptops, USB)
    - Transportverschlüsselung (TLS 1.2+)
    - Verschlüsselung ruhender Daten, wo verhältnismäßig

2. INTEGRITÄT
2.1 Weitergabekontrolle
    - Verschlüsselter E-Mail-/Dateiversand
    - Dokumentierte Schnittstellen, sichere Löschung/Vernichtung
2.2 Eingabekontrolle
    - Protokollierung von Eingabe, Änderung, Löschung
    - Nachvollziehbarkeit über Benutzer-IDs

3. VERFÜGBARKEIT UND BELASTBARKEIT
3.1 Verfügbarkeitskontrolle
    - Regelmäßige Backups, getrennte Aufbewahrung
    - USV, Brandschutz, Klimatisierung
    - Notfallplan / Wiederanlaufkonzept (RTO/RPO definiert)
3.2 Belastbarkeit
    - Redundante Systeme, Monitoring, Lasttests

4. VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG (Art. 32 Abs. 1 lit. d)
4.1 Datenschutz-Management
    - Zuständigkeiten definiert, jährliche Überprüfung der TOM
    - Meldeprozess für Datenpannen (Art. 33/34)
4.2 Auftragskontrolle
    - AVV mit allen Auftragsverarbeitern, TOM-Prüfung
4.3 Trennungskontrolle
    - Mandantentrennung, Trennung Test-/Produktivsystem

Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c): Test der Backup-
Wiederherstellung mindestens [halbjährlich].

Checkliste: 12 Kernpunkte

# Maßnahme Umgesetzt?
1 Individuelle Benutzerkonten
2 Zwei-Faktor-Authentifizierung
3 Berechtigungskonzept (Need-to-know)
4 Festplatten-/Laptopverschlüsselung
5 TLS-Transportverschlüsselung
6 Regelmäßige, getestete Backups
7 Protokollierung sensibler Zugriffe
8 Zutrittskontrolle Serverraum
9 Sichere Datenträgervernichtung
10 Notfall-/Wiederanlaufplan
11 AVV + TOM-Prüfung Dienstleister
12 Jährliche TOM-Überprüfung

So passen Sie das Muster an

  1. Risiko bestimmen. Art. 32 ist risikobasiert. Verarbeiten Sie Gesundheits- oder Finanzdaten (Art. 9), setzen Sie strengere Maßnahmen an als bei reinen Kontaktdaten.
  2. Stand der Technik referenzieren. Orientieren Sie sich an ISO 27001 oder BSI-Grundschutz und benennen Sie konkrete Standards statt Floskeln.
  3. Konkret statt generisch. „Verschlüsselung" reicht nicht — nennen Sie Verfahren (AES-256, TLS 1.3) und Geltungsbereich.
  4. Mit Art. 25 verzahnen. Privacy by Design und by Default (Art. 25) verlangt datenschutzfreundliche Voreinstellungen bereits in der Systemauswahl.
  5. Als AVV-Anlage exportieren. Jeder Auftragsverarbeiter erhält Ihre TOM und legt seine eigenen offen.

Was bedeutet „Stand der Technik"?

Art. 32 verlangt Maßnahmen „unter Berücksichtigung des Stands der Technik". Dieser Begriff liegt zwischen den „allgemein anerkannten Regeln der Technik" (bewährt, aber möglicherweise veraltet) und dem „Stand von Wissenschaft und Technik" (theoretisch möglich, aber kaum verbreitet). Gemeint ist das, was am Markt verfügbar, erprobt und wirtschaftlich vertretbar ist. Praktisch heißt das: Transportverschlüsselung mit aktuellen TLS-Versionen, Multi-Faktor-Authentifizierung für privilegierte Zugänge und regelmäßige Sicherheitsupdates gehören 2026 zum Standard — ihr Fehlen ist kaum noch zu rechtfertigen.

Konkretisierung liefern anerkannte Rahmenwerke: der IT-Grundschutz des BSI, die Normenreihe ISO/IEC 27001/27002 sowie die Handreichungen des TeleTrusT-Verbands zum Stand der Technik. Wer sich an diesen Standards orientiert und die Auswahl dokumentiert, kann im Streitfall belegen, dass die Maßnahmen risikoangemessen waren. Die Verhältnismäßigkeit bleibt dabei zentral: Art. 32 verlangt kein Höchstmaß um jeden Preis, sondern ein zum Risiko passendes Niveau unter Abwägung von Implementierungskosten, Eintrittswahrscheinlichkeit und Schwere möglicher Schäden.

TOM prüfen bei Auftragsverarbeitern

Ihre Verantwortung endet nicht an der eigenen Firewall. Vor der Beauftragung eines Dienstleisters müssen Sie dessen TOM prüfen (Art. 28 Abs. 1) und die Prüfung dokumentieren. In der Praxis geschieht das über einen TOM-Fragebogen, die Anforderung von Zertifikaten (ISO 27001, SOC 2) oder — bei kritischen Verarbeitungen — ein Vor-Ort-Audit. Diese geprüften Dienstleister-TOM werden Anlage des jeweiligen AVV. Bleibt die Prüfung aus und kommt es beim Dienstleister zu einem Vorfall, trifft auch den Verantwortlichen der Vorwurf mangelhafter Auswahl und Kontrolle.

Häufige Fehler

  • TOM als Textbaustein einmalig ablegen. Ohne jährliche Überprüfung veralten Maßnahmen. Art. 32 Abs. 1 lit. d verlangt ausdrücklich ein Verfahren zur regelmäßigen Evaluierung.
  • Authentifizierung vernachlässigen. 1&1 Telecom wurde 2019 mit 9,55 Mio. € sanktioniert, weil im Callcenter eine unzureichende Authentifizierung Auskünfte an Unbefugte ermöglichte — ein klassischer Art.-32-Verstoß.
  • Nur technische, keine organisatorischen Maßnahmen. Berechtigungskonzept, Schulung und Vertraulichkeitsverpflichtung sind ebenso Pflicht wie Verschlüsselung.
  • Backups nie testen. Ein nicht wiederherstellbares Backup erfüllt Art. 32 Abs. 1 lit. c nicht. Notebooksbilliger.de zeigt mit 10,4 Mio. € (2021), wie teuer unverhältnismäßige bzw. schlecht kontrollierte Maßnahmen — dort dauerhafte Videoüberwachung — werden.
  • Verhältnismäßigkeit ignorieren. Übermaß (etwa Dauerüberwachung) ist ebenso rechtswidrig wie Untermaß.

Für die laufende Pflege verknüpft Legiscope Ihre TOM mit jeder Verarbeitung und jedem Auftragsverarbeiter, erinnert an die jährliche Überprüfung und erzeugt die AVV-Anlage automatisch.

FAQ

Gibt es einen verbindlichen TOM-Katalog?

Nein. Art. 32 nennt nur Beispiele (Pseudonymisierung, Verschlüsselung, Verfügbarkeit, Wiederherstellbarkeit, regelmäßige Überprüfung) und verlangt ein risikoangemessenes Niveau nach dem Stand der Technik. Die in Deutschland verbreitete Gliederung nach Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit) ist Praxis, nicht Gesetz.

Wie oft muss ich die TOM überprüfen?

Mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen (neue Systeme, neue Verarbeitungen, nach einem Sicherheitsvorfall). Die Überprüfung ist selbst eine Pflichtmaßnahme nach Art. 32 Abs. 1 lit. d und sollte dokumentiert werden.

Wer muss die TOM nachweisen?

Der Verantwortliche trägt die Beweislast (bestätigt durch EuGH C-340/21). Es genügt nicht, Maßnahmen zu behaupten — Sie müssen deren Umsetzung dokumentieren und im Streitfall belegen können. Deshalb ist die schriftliche TOM-Dokumentation unverzichtbar.

Muss ich alle Daten verschlüsseln?

Nicht zwingend, aber Verschlüsselung ist in Art. 32 Abs. 1 lit. a ausdrücklich als geeignete Maßnahme genannt und in vielen Konstellationen der wirksamste Schutz. Transportverschlüsselung (TLS) ist praktisch immer Pflicht. Die Verschlüsselung ruhender Daten und mobiler Datenträger ist bei sensiblen Daten kaum verzichtbar. Ein wichtiger Nebeneffekt: Sind Daten stark verschlüsselt und der Schlüssel sicher, kann bei einem Verlust das Risiko für Betroffene so gering sein, dass eine Benachrichtigung nach Art. 34 entfällt.

Wie detailliert muss die TOM-Dokumentation sein?

Detailliert genug, um die Umsetzung nachweisen zu können, aber nicht so detailliert, dass das Dokument selbst zum Sicherheitsrisiko wird. Ein guter Mittelweg beschreibt je Schutzziel die konkreten Verfahren (etwa „Multi-Faktor-Authentifizierung für alle Administrations- und Fernzugänge", „Transportverschlüsselung TLS 1.2 oder höher", „tägliche Backups mit halbjährlichem Wiederherstellungstest"), verzichtet aber auf sensible Konfigurationsdetails wie konkrete Schlüssel, Passwortregeln im Klartext oder Netzwerktopologien. Für die AVV-Anlage genügt diese allgemeine, aber konkrete Beschreibung. Interne Detaildokumentationen (Systemhandbücher, Konfigurationen) gehören getrennt und zugriffsbeschränkt abgelegt. So erfüllen Sie die Nachweispflicht, ohne einem Angreifer eine Landkarte Ihrer Schwachstellen zu liefern.

Fazit

Das TOM-Muster übersetzt die abstrakte Vorgabe des Art. 32 in konkrete, prüfbare Maßnahmen. Wählen Sie sie risikobasiert, benennen Sie Verfahren statt Floskeln und überprüfen Sie jährlich. Die Dokumentation dient doppelt: als Nachweis gegenüber der Aufsicht und als Anlage jedes AVV. Den Normtext des Art. 32 finden Sie bei EUR-Lex, Orientierung zum Stand der Technik beim BSI.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →