DSGVO-Anforderungen an IT-Sicherheit

Was die Datenschutz-Grundverordnung von Ihrer IT-Sicherheit verlangt - und warum Datenschutz ohne Cybersicherheit nicht möglich ist

Seit 25. Mai 2018 in Kraft

DSGVO & IT-Sicherheit: Untrennbar verbunden

Warum DSGVO IT-Sicherheit erfordert

Die DSGVO schützt personenbezogene Daten. Aber Datenschutz ohne IT-Sicherheit ist wie ein Safe ohne Schloss. Artikel 32 DSGVO verlangt ausdrücklich "technische und organisatorische Maßnahmen" (TOMs) zum Schutz der Daten.

20 Mio €
oder 4% Umsatz
Max. Bußgeld
72 h
Meldepflicht bei
Datenpannen
100%
der Unternehmen
mit Kundendaten betroffen

Artikel 32 DSGVO - Sicherheit der Verarbeitung

Art. 32 Was das Gesetz verlangt:

"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."

Die vier Schutzziele nach Art. 32:

🔐
Vertraulichkeit

Nur berechtigte Personen haben Zugriff auf die Daten

Integrität

Daten sind korrekt und vor Manipulation geschützt

Verfügbarkeit

Daten sind bei Bedarf zugänglich

🔄
Belastbarkeit

Systeme funktionieren auch unter Belastung

Konkret geforderte Maßnahmen:

🔒 Pseudonymisierung

Personenbezogene Daten so verarbeiten, dass sie ohne zusätzliche Informationen nicht mehr einer Person zugeordnet werden können.

🔐 Verschlüsselung

Daten sowohl bei der Übertragung (in transit) als auch bei der Speicherung (at rest) verschlüsseln.

🛡️ Systemresilienz

Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen.

💾 Wiederherstellung

Rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu Daten nach einem Zwischenfall.

📊 Regelmäßige Tests

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.

📋 Risikobewertung

Bewertung der Risiken unter Berücksichtigung von Vernichtung, Verlust, Veränderung und unbefugter Offenlegung.

Technische und Organisatorische Maßnahmen (TOMs)

Diese Maßnahmen müssen Sie dokumentieren und umsetzen:

Technische Maßnahmen

Bereich Maßnahmen Beispiele
Zugangskontrolle Unbefugten Zugang zu Verarbeitungsanlagen verwehren Schließsysteme, Zutrittskontrollen, Videoüberwachung
Zugriffskontrolle Nur berechtigte Nutzung ermöglichen Passwortrichtlinien, MFA, Berechtigungskonzepte
Weitergabekontrolle Daten bei Übertragung schützen Verschlüsselung, VPN, sichere E-Mail
Eingabekontrolle Nachvollziehbarkeit von Änderungen Logging, Audit-Trails, Versionierung
Verfügbarkeitskontrolle Schutz vor Verlust Backups, USV, Notfallpläne
Trennungsgebot Getrennte Verarbeitung verschiedener Zwecke Mandantentrennung, Datenbankisolierung

Organisatorische Maßnahmen

  • Verarbeitungsverzeichnis: Dokumentation aller Verarbeitungstätigkeiten
  • Datenschutzrichtlinien: Interne Vorgaben für den Umgang mit Daten
  • Mitarbeiterschulungen: Regelmäßige Sensibilisierung aller Mitarbeiter
  • Vertraulichkeitsverpflichtung: Schriftliche Verpflichtung aller Mitarbeiter
  • Auftragsverarbeiter-Verträge: AVV mit allen externen Dienstleistern
  • Datenschutz-Folgenabschätzung: Bei risikoreichen Verarbeitungen
  • Notfallpläne: Verfahren für Datenpannen und Cyberangriffe

Meldepflicht bei Datenschutzverletzungen (Art. 33 & 34)

72-Stunden-Regel

Bei einer Datenschutzverletzung müssen Sie innerhalb von 72 Stunden die zuständige Aufsichtsbehörde informieren - es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Betroffenen.

Was ist eine meldepflichtige Datenpanne?

🔓 Unbefugter Zugriff

Hacker greifen auf Kundendaten zu, Mitarbeiter sieht Daten, die er nicht sehen sollte

💾 Datenverlust

Backup versagt, Ransomware verschlüsselt Daten, Hardware-Defekt ohne Backup

📧 Versehentliche Offenlegung

E-Mail an falschen Empfänger, Dokument öffentlich zugänglich

📱 Geräteverlust

Laptop oder Smartphone mit unverschlüsselten Daten gestohlen/verloren

Inhalt der Meldung:

  • Beschreibung der Art der Verletzung
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Kategorien und ungefähre Zahl der betroffenen Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen

Auch die Betroffenen informieren!

Bei hohem Risiko für die Rechte und Freiheiten der betroffenen Personen müssen auch diese unverzüglich informiert werden (Art. 34 DSGVO).

Cyberangriff = DSGVO-Verstoß?

Die entscheidende Frage

Bei einem Cyberangriff mit Datendiebstahl prüft die Aufsichtsbehörde: Haben Sie angemessene Schutzmaßnahmen getroffen? Wenn nicht, droht neben dem Schaden durch den Angriff auch noch ein DSGVO-Bußgeld.

So schützen Sie sich:

📋 Dokumentation

Alle Maßnahmen dokumentieren - bei einer Prüfung müssen Sie nachweisen können, was Sie getan haben.

🔄 Stand der Technik

Maßnahmen müssen dem "Stand der Technik" entsprechen - was vor 5 Jahren reichte, reicht heute nicht mehr.

📊 Risikobewertung

Dokumentierte Risikobewertung zeigt, dass Sie sich Gedanken gemacht haben - auch wenn dann etwas passiert.

🎓 Schulungen

Nachweisbare Mitarbeiterschulungen sind Gold wert, wenn ein Mitarbeiter auf Phishing hereinfällt.

Verarbeitungsverzeichnis (Art. 30)

Praktisch jedes Unternehmen mit Kundendatenbank oder Mitarbeiterverwaltung benötigt ein Verarbeitungsverzeichnis. Es muss enthalten:

Information Beispiel
Name und Kontaktdaten des Verantwortlichen Firma GmbH, Geschäftsführer Max Mustermann
Zwecke der Verarbeitung Kundenbetreuung, Rechnungsstellung, Marketing
Kategorien betroffener Personen Kunden, Mitarbeiter, Lieferanten
Kategorien personenbezogener Daten Name, Adresse, E-Mail, Bankdaten
Empfänger der Daten Steuerberater, Cloud-Anbieter, Versand-Dienstleister
Löschfristen Kundendaten: 10 Jahre nach letztem Auftrag
Technische und organisatorische Maßnahmen Verschlüsselung, Zugriffskontrollen, Backups

DSGVO-konform mit AIM-IT

Unsere Lösungen helfen Ihnen, die technischen Anforderungen der DSGVO zu erfüllen - von der Zugangskontrolle bis zur Dokumentation.

Zur Compliance-Checkliste Zur GF-Präsentation

Offizielle Quellen:

Stand: November 2025 | Hinweis: Diese Informationen dienen der Übersicht und ersetzen keine rechtliche Beratung.

AIM-IT Cyberschutz Präsentations-System

Version 4.4 | November 2025

Kontakt: michael.volgger@aim-it.at | www.cyberschutz.it