Gemäß Art. 32 DS-GVO sind datenverarbeitende Stellen verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere vor unbefugtem Zugriff (Vertraulichkeit), unbefugter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit). Sie müssen unter Berücksichtigung festgelegter Faktoren wie dem Stand der Technik oder dem bestehenden Risiko für Betroffene durch die Datenverarbeitung Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Diese Maßnahmen können sowohl organisatorischer als auch technischer Natur sein. Sie müssen in allen Bereichen, Abläufen, Systemen usw. im Unternehmen umgesetzt werden, um einen ganzheitlichen Schutz personenbezogener Daten zu gewährleisten.

Erfüllen die Technisch-Organisatorischen Maßnahmen (TOMs) die Anforderungen des Art. 32 DS-GVO nicht, handelt es sich um einen bußgeldbewährten Datenschutzverstoß und zwar unabhängig davon, ob die unzureichenden Schutzvorkehrungen weitere Datenpannen wie Hackerangriffe verursacht haben oder nicht. Was aber ist ein „dem Risiko angemessenes Schutzniveau“? Mit dieser Frage mussten sich neben den Aufsichtsbehörden auch die Gerichte beschäftigen: