Von Hakan Akcan · Reepa Solutions
DSGVO Artikel 32 verlangt „angemessene technische und organisatorische Maßnahmen" — was das konkret bedeutet, bleibt im Gesetzestext bewusst offen. Diese Unschärfe ist gewollt, weil die Pflicht risiko-proportional ausgelegt sein muss. Für die Praxis ist sie aber unbequem: Mittelständler bekommen keine fertige Liste, die sie abhaken können. Diese Checkliste schließt die Lücke. Vierzehn Punkte, die im DACH-Mittelstand auditiert werden, in jeder Aufsichts-Prüfung relevant sind und vor Bußgeldern schützen. Der breitere Cybersecurity-Kontext steht im Cybersecurity-Guide für den Mittelstand; zur Abgrenzung gegen NIS2 siehe unseren Artikel NIS2 Mittelstand.
Was DSGVO Artikel 32 wirklich verlangt
Artikel 32 nennt vier Schutzziele für personenbezogene Daten: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Zur Erreichung sind „angemessene Maßnahmen" zu treffen, „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos".
In klare Sprache übersetzt: die Maßnahmen müssen zum Risiko passen. Eine kleine Steuerkanzlei mit 200 Mandanten braucht weniger als ein Versicherungs-Mittelständler mit 50.000 Kunden-Datensätzen. Aber jede Organisation braucht etwas — und muss die Auswahl der Maßnahmen begründen und dokumentieren können.
Artikel 32 nennt vier konkrete Beispiele: Pseudonymisierung und Verschlüsselung, dauerhafte Vertraulichkeit und Verfügbarkeit, rasche Wiederherstellung nach einem Vorfall, und Verfahren zur regelmäßigen Überprüfung der Wirksamkeit. Diese vier sind nicht abschließend, sondern Mindeststandard.
Die 14-Punkte-Selbst-Check-Liste
Diese Checkliste deckt die TOM-Erwartung der deutschen Aufsichts-Behörden ab. Wer alle vierzehn Punkte mit „erfüllt" beantworten kann und das durch Dokumentation belegen, ist gegen mittelschwere Audit-Befunde abgesichert.
- 1. Verschlüsselung gespeicherter DatenFestplatten-Vollverschlüsselung auf allen Laptops (BitLocker, FileVault, LUKS), Datenbank-Verschlüsselung für sensible Spalten, verschlüsselte Backups. Ohne diese Basis ist jeder Diebstahl eines Laptops automatisch ein meldepflichtiger Datenschutz-Vorfall.
- 2. Verschlüsselung der ÜbertragungTLS 1.2+ für alle Web-Verbindungen, S/MIME oder PGP für sensiblen E-Mail-Verkehr, VPN für Remote-Zugriff. Selbst-signierte oder abgelaufene Zertifikate sind in Aufsichts-Prüfungen Auffälligkeit Nummer eins.
- 3. Multi-Faktor-AuthentisierungMFA für alle Cloud-Dienste, alle administrativen Zugänge, alle VPN-Zugänge und idealerweise auch alle internen Anwendungen mit Personen-Daten. Hardware-Token sind Standard für privilegierte Konten.
- 4. Rollen- und Berechtigungs-KonzeptDokumentiertes Konzept mit Need-to-Know-Prinzip, regelmäßiger Überprüfung (mindestens halbjährlich), automatisierter Provisionierung und Deprovisionierung bei Mitarbeiter-Wechsel.
- 5. Backup-Strategie mit Restore-Test3-2-1-Regel (3 Kopien, 2 Medien, 1 offline), regelmäßige dokumentierte Restore-Tests (mindestens quartalsweise), Backups verschlüsselt und gegen Ransomware-Verschlüsselung geschützt.
- 6. Patch-ManagementDokumentierter Patch-Prozess mit definierter Reaktions-Zeit (kritische Patches binnen 14 Tagen, hohe Risiken binnen 30 Tagen), Inventar aller patchbaren Komponenten, automatisierte Erkennung neuer Sicherheits-Updates.
- 7. Antivirus und EDREndpoint-Protection auf allen Geräten, idealerweise mit EDR-Fähigkeiten (Endpoint Detection and Response), zentrale Monitoring-Konsole, Alarmierung bei verdächtigen Aktivitäten.
- 8. Logging und MonitoringZentrale Protokollierung sicherheitsrelevanter Ereignisse (Login, Berechtigungs-Änderungen, Datenzugriffe), Mindest-Aufbewahrung sechs Monate, regelmäßige Auswertung auf Anomalien.
- 9. Asset-InventarVollständige Liste aller IT-Assets mit Personen-Daten-Bezug (Server, Datenbanken, Cloud-Dienste, Endgeräte), aktualisiert mindestens jährlich, mit Verantwortlichkeiten pro Asset.
- 10. Verfahrensverzeichnis nach Artikel 30Dokumentation aller Verarbeitungs-Tätigkeiten mit Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Speicherdauer, TOM. Ist bei Aufsichts-Prüfung die erste Anforderung der Behörde.
- 11. Auftragsverarbeiter-VerträgeSchriftliche Verträge nach Artikel 28 mit allen externen Dienstleistern, die personenbezogene Daten verarbeiten — inklusive Cloud-Anbieter, E-Mail-Provider, IT-Dienstleister. TOM-Anlage als Pflichtteil.
- 12. Mitarbeiter-SensibilisierungRegelmäßige Schulungen (mindestens jährlich), dokumentierte Teilnahme, Schwerpunkte Phishing-Erkennung, Umgang mit personenbezogenen Daten, Verhalten bei Sicherheits-Vorfällen.
- 13. Incident-Response-ProzessDokumentiertes Vorgehen bei Verdacht auf Datenschutz-Vorfall, definierte Eskalations-Wege, Vorbereitung der 72-Stunden-Meldung, Übungs-Szenario mindestens jährlich. Vertieft in unserem Artikel Incident-Response-Plan.
- 14. Wirksamkeits-ÜberprüfungRegelmäßige Audits der TOM, mindestens jährlich extern, idealerweise ergänzt durch Penetration-Tests oder kontinuierliche Validierung. Dokumentation der Befunde und Behebung.
Ihre DSGVO-TOM in einem strukturierten Audit prüfen lassen
Wir auditieren Ihre 14 TOM-Bereiche in einem zwei- bis vierwöchigen Engagement und liefern einen schriftlichen Befunde-Report mit priorisierten Maßnahmen. Geeignet als Vorbereitung für Aufsichts-Prüfung oder Cyber-Versicherungs-Nachweis.
DSGVO-Audit anfragenHäufige Audit-Befunde aus der Praxis
Aus unseren Audits in deutschen Mittelständlern wiederholen sich bestimmte Befunde immer wieder. Wer diese Klassiker vermeidet, eliminiert die wahrscheinlichsten Audit-Findings.
Fehlende Festplatten-Verschlüsselung auf älteren Laptops. Neue Geräte werden meist korrekt provisioniert, ältere aus 2019-2021 oft nicht nachgerüstet. Bei Verlust eines unverschlüsselten Laptops mit Kunden-Daten ist die Meldepflicht obligatorisch und das Bußgeld-Risiko erheblich.
Cloud-Storage ohne Berechtigungs-Konzept. SharePoint, OneDrive, Google Drive werden oft als geteilte Ablage genutzt, ohne strukturierte Rechte-Vergabe. Mitarbeiter haben Zugriff auf alles, weil das initial bequem war. Bei Personalwechsel oder Insider-Vorfall ist die Beweislast schwer.
Backup ohne Restore-Test. Backups laufen täglich — aber niemand hat in den letzten zwei Jahren geprüft, ob sie tatsächlich wiederherstellbar sind. Im Ernstfall stellt sich heraus, dass Backups inkonsistent sind oder die Wiederherstellungs-Schlüssel verloren wurden.
Auftragsverarbeiter-Verträge mit dem falschen Inhalt. Standardverträge der Cloud-Anbieter (Microsoft, Google, AWS) werden ungeprüft akzeptiert, ohne die TOM-Anlage zu validieren oder die deutsche Datenresidenz zu prüfen. Bei Schrems-II-bezogenen Aufsichts-Prüfungen ist das eine der häufigsten Auffälligkeiten.
Keine dokumentierte Wirksamkeits-Prüfung. TOM sind dokumentiert, aber niemand hat geprüft, ob sie noch passen. Das Verfahrensverzeichnis ist von 2019 und beschreibt eine IT-Landschaft, die es nicht mehr gibt. Die Behörde wertet das als „mangelnde Sorgfalt" und kann den Aufschlag auf das Bußgeld begründen.
Verfahrensverzeichnis nach Artikel 30 — die Pflicht-Dokumentation
Das Verfahrensverzeichnis ist die zentrale Compliance-Dokumentation. Bei jeder Aufsichts-Prüfung ist es die erste Anforderung — wer es nicht hat, hat sofort einen meldepflichtigen Mangel.
Pflicht-Inhalte pro Verarbeitungs-Tätigkeit: Name und Zweck der Verarbeitung, Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht), Kategorien betroffener Personen und Daten, Empfänger der Daten (intern und extern), Übermittlung in Drittländer, Lösch-Fristen, technisch-organisatorische Maßnahmen.
In der Praxis sind 30 bis 80 Verarbeitungs-Tätigkeiten typisch für einen Mittelständler. Personalverwaltung, Lohnabrechnung, Kundenverwaltung, Newsletter, Bewerbermanagement, Lieferantenmanagement, IT-Logging, Videoüberwachung, Zeiterfassung — jede dieser Tätigkeiten ist eine eigene Verarbeitung mit eigener Dokumentation. Wir liefern bei DSGVO-Audits eine Excel-Vorlage mit allen typischen Verarbeitungs-Tätigkeiten als Startpunkt.
Datenpannen melden — die 72-Stunden-Pflicht
Bei einem Datenschutz-Vorfall mit Risiko für die Betroffenen verlangt Artikel 33 eine Meldung an die Aufsichts-Behörde binnen 72 Stunden nach Kenntnis des Vorfalls. Bei hohem Risiko zusätzlich Information der Betroffenen nach Artikel 34.
Was zählt als meldepflichtige Datenpanne? Verlust oder Diebstahl von Datenträgern mit personenbezogenen Daten, unautorisierter Zugriff durch interne oder externe Personen, versehentliche Veröffentlichung (etwa falsche E-Mail-Verteiler-Liste), Ransomware-Verschlüsselung wenn die Verfügbarkeit der Daten betroffen ist, technische Fehler mit Datenleak.
Die 72-Stunden-Frist beginnt mit Kenntnis des Vorfalls — nicht mit Bestätigung. Wer am Freitagabend von einem Vorfall erfährt und bis Montag wartet, hat die Frist gerissen. Praktisch sinnvoll: ein dokumentiertes Vorgehen, das auch am Wochenende greift, mit klaren Verantwortlichkeiten und einem vorbereiteten Meldeformular der zuständigen Aufsichts-Behörde.
Wichtig: Wenn ein Vorfall sowohl DSGVO- als auch NIS2-Relevanz hat (etwa weil personenbezogene Daten kompromittiert wurden und gleichzeitig ein NIS2-pflichtiger Sektor betroffen ist), greifen beide Meldepflichten parallel — mit unterschiedlichen Behörden, unterschiedlichen Fristen und unterschiedlichen Inhalten.
DSGVO versus NIS2 — was wo gilt
Beide Regelwerke schützen unterschiedliche Werte und folgen unterschiedlicher Logik. Die Abgrenzung ist für Mittelständler in NIS2-Sektoren entscheidend.
DSGVO schützt personenbezogene Daten — Kundennamen, Mitarbeiter-Daten, Lieferanten-Kontakte, Newsletter-Empfänger. Jedes Unternehmen, das solche Daten verarbeitet, ist DSGVO-pflichtig. Aufsicht: die jeweilige Landes-Datenschutz-Behörde. Bußgeld-Rahmen: bis 20 Millionen Euro oder 4 Prozent vom Jahresumsatz.
NIS2 schützt die Funktionsfähigkeit kritischer Dienste — die Verfügbarkeit der IT-Infrastruktur, die ein Sektor zur Aufgabenerfüllung braucht. Nur für mittlere und große Unternehmen in 18 definierten Sektoren. Aufsicht: in Deutschland das BSI. Bußgeld-Rahmen: bis 10 Millionen Euro oder 2 Prozent vom Jahresumsatz.
Schnittmenge: viele NIS2-Pflichten überschneiden sich mit DSGVO-TOM-Erwartungen. Wer eine ordentliche DSGVO-Umsetzung hat, ist auch ein gutes Stück NIS2-konform. Wer NIS2 vollständig umsetzt, erfüllt fast automatisch die DSGVO-TOM-Pflichten. Genau diese Synergie nutzen wir in unseren Compliance-Paketen — ein konsolidierter Aufbau-Plan statt zwei parallelen Projekten.
Häufige Fragen
Was sind technisch-organisatorische Maßnahmen (TOM)?
TOM sind alle Maßnahmen zum Schutz personenbezogener Daten, die nach DSGVO Artikel 32 verpflichtend sind. Technische Maßnahmen umfassen Verschlüsselung, Zugriffskontrolle und Backup. Organisatorische Maßnahmen umfassen Schulungen, Berechtigungs-Konzepte und Verträge mit Auftragsverarbeitern. Beide müssen dokumentiert und regelmäßig auf Wirksamkeit überprüft werden.
Wie hoch sind DSGVO-Bußgelder bei IT-Sicherheits-Mängeln?
Der maximale Bußgeld-Rahmen liegt bei 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (je nachdem, was höher ist). Bei mittelschweren TOM-Mängeln werden in der Praxis 50.000 bis 500.000 Euro verhängt — abhängig von Schwere, Anzahl Betroffener, Vorsatz und Kooperation mit der Behörde.
Müssen wir jede Datenpanne melden?
Nein — Meldepflicht besteht nur, wenn ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Bei verschlüsselten Daten ohne Schlüssel-Verlust oder bei rein internen Vorfällen ohne Datenabfluss kann die Meldung entfallen. Die Bewertung sollte dokumentiert sein und im Zweifel meldet man — die Aufsichtsbehörde sanktioniert nicht zu viele, sondern fehlende Meldungen.
Wie unterscheiden sich DSGVO und NIS2?
DSGVO schützt personenbezogene Daten und gilt für jeden Datenverarbeiter. NIS2 schützt die Funktionsfähigkeit kritischer Dienste und gilt für mittlere und große Unternehmen in 18 Sektoren. Bei einem Sicherheitsvorfall können beide Meldepflichten gleichzeitig greifen — DSGVO nach Artikel 33 binnen 72 Stunden an die Datenschutz-Behörde, NIS2 dreistufig an die BSI-Meldestelle.
Brauchen wir einen Datenschutz-Beauftragten?
Pflicht ist ein Datenschutz-Beauftragter ab 20 Mitarbeitern mit ständiger Verarbeitung personenbezogener Daten oder bei Kerntätigkeiten mit umfangreichen, sensiblen Daten — unabhängig von der Mitarbeiter-Zahl. Auch wenn nicht pflichtig, ist die Bestellung in der Praxis oft sinnvoll, um die Beweislast gegenüber Behörden zu erleichtern.
Wie oft sollten TOM überprüft werden?
Mindestens einmal jährlich und nach jeder wesentlichen organisatorischen oder technischen Änderung. Bei sicherheitsrelevanten Änderungen (neue Anwendung, neuer Auftragsverarbeiter, Cloud-Migration) sollte die TOM-Überprüfung Teil des Change-Prozesses sein. Wir empfehlen halbjährliche Reviews als guten Mittelweg.
DSGVO und NIS2 in einem Projekt umsetzen — statt zwei parallel
Wir liefern konsolidierte Compliance-Pakete, die die TOM-Pflichten beider Regelwerke gemeinsam umsetzen. Ein Asset-Inventar, ein Risikoregister, eine Kontroll-Matrix. Statt zwei Beratern parallel: ein Partner mit konsolidiertem Reporting.
Compliance-Beratung anfragen
IT-Sicherheits- und Cloud-Architekt mit über zehn Jahren Erfahrung. Entwickelt mit seinem Team Reepa Security, eine offensive Audit-Plattform für den Mittelstand. Schreibt regelmäßig über DSGVO, NIS2, Cloud-Security und Pentest-Methodik.
Geprüft am: 22. Mai 2026 · Mehr über Hakan