GDPR Compliance

GDPR Compliance:
Technical Measures
per Art. 32

Art. 32 GDPR demands more than ticking boxes. We implement TOMs that genuinely protect - and test their effectiveness with penetration testing and gap analysis. From a single source, on a fixed-price basis.

Free initial consultation +49 209 8830 6760

ISO 27001 certified Fixed-price commitment GDPR expertise since 2018

Art. 32 GDPR - Four Pillars

Art. 32(1)(a)

Pseudonymisation & Encryption

Render personal data technically unreadable

Art. 32(1)(b)

Confidentiality & Integrity

Ongoing assurance through technical measures

Art. 32(1)(c)

Availability & Resilience

Backup strategy, business continuity, restorability

Art. 32(1)(d)

Regular Testing

Effectiveness testing of measures - penetration test

Trusted by our clients

Security analyses: 500+; Security analyses
Years of experience: 8+; Years of experience
To fixed-price quote: 24h; To fixed-price quote
Permanent staff experts: 100%; Permanent staff experts

Our Services

Technical GDPR compliance from a single source

We combine data protection expertise with offensive security know-how - unique in this form. Our services cover all technical requirements of the GDPR.

TOM Gap Analysis & Implementation

Systematic review of all existing technical and organisational measures against Art. 32 GDPR requirements. Implementation of missing controls: encryption, pseudonymisation, access management, backup, incident response.

Art. 32 GDPR

DPIA (Data Protection Impact Assessment)

Systematic assessment of high-risk processing operations per Art. 35 GDPR: description of processing, necessity and proportionality assessment, risk assessment, and concrete mitigating measures. Mandatory for video surveillance, profiling, and special category data.

Art. 35 GDPR

External Data Protection Officer

External DPO as a managed service per Art. 37 GDPR - immediately available, independently advising, and with contractual liability. Expert contact for supervisory authorities and data subjects. Available from EUR 800/month.

Art. 37-39 GDPR

Penetration Test for Art. 32(1)(d)

Regular penetration test as evidence of TOM effectiveness - directly satisfying Art. 32(1)(d) GDPR. We test whether personal data is genuinely protected against unauthorised access: web applications, databases, access controls, network segmentation.

Art. 32(1)(d) GDPR

Synergies

GDPR & ISO 27001 - integrated compliance

ISO 27001 and GDPR complement each other ideally. A certified ISMS per ISO 27001 covers large parts of the GDPR's technical and organisational requirements - and provides documented evidence for supervisory authorities.

Art. 32 - TOMs

ISO 27001 Annex A (93 controls)

Art. 32(1)(a) - Encryption

ISO 27001 A.8.24

Art. 33 - 72h breach notification

ISO 27001 A.6.8 (Incident Reporting)

Art. 17 - Right to erasure

ISO 27001 A.8.10 (Data deletion)

Art. 5(1)(f) - Integrity & confidentiality

ISO 27001 core objective

Our integrated approach

TOM gap analysis

Current-state assessment of all technical measures against Art. 32 GDPR and ISO 27001 controls simultaneously.

ISMS build-out

Build or extend the ISMS per ISO 27001 - as the documented foundation for GDPR TOMs.

DPIA for high-risk operations

Systematic assessment of all processing operations requiring a DPIA per Art. 35 GDPR.

Penetration test

Annual test of TOM effectiveness per Art. 32(1)(d) - the most important evidence for data protection authorities.

External DPO

On request: take on all DPO functions per Art. 37-39 GDPR as a managed service.

Why AWARE7 for GDPR compliance

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter - mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI und BMBF. Unsere Studien analysieren Millionen von Websites und Zehntausende Phishing-E-Mails - publiziert auf ACM- und Springer-Konferenzen. Drei unserer Führungskräfte sind gleichzeitig Professoren an deutschen Hochschulen.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen - ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen - und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA - wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des international anerkannten OWASP LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Your GDPR experts

Our certified consultants combine data protection expertise with offensive security knowledge - unique in this form.

Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

Vollständiges Profil ansehen

Jan Hörnemann

Chief Operating Officer · Prokurist

E-Mail

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)

Vollständiges Profil ansehen

Referenzen aus der Praxis

Beratung Informationssicherheit

brainbits GmbH

Ausbau und Begleitung des ISMS zur ISO 27001 Zertifizierung

Monate bis zur Zertifizierungsreife

Mitarbeitende im Team

Pentesting & Schwachstellenscans

Institut für Verwaltungswissenschaften gGmbH

Externe Schwachstellenanalyse

Frequently asked questions about GDPR consulting

Answers to the most common questions about our GDPR consulting offering, costs, and our approach.

What does GDPR consulting cost?

Costs depend on your starting level and the desired scope of services. An initial TOM gap analysis starts from EUR 3,500 as a fixed price. A complete GDPR compliance engagement including TOM implementation, DPIA, and data protection concept typically falls between EUR 8,000 and EUR 25,000 for mid-sized organisations. We provide a binding fixed-price quote within 24 hours - no hidden consultant days.

Do we need an external DPO?

An external Data Protection Officer (DPO) is mandatory under Art. 37 GDPR if your organisation: (1) is a public body, (2) carries out large-scale processing of special categories of data (health, biometrics, political opinions) as a core activity, or (3) carries out large-scale regular and systematic monitoring of individuals. Even without a legal obligation, we recommend a DPO - as liability protection for management and as evidence for supervisory authorities and customers.

What does a penetration test cover for Art. 32 GDPR?

Art. 32(1)(d) GDPR explicitly requires "a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures". A penetration test is the most effective method of satisfying this requirement. It specifically tests: can unauthorised parties access personal data? Are encryption measures effective? Are there vulnerabilities in web applications holding customer data? Are access controls correctly configured?

How do GDPR and ISO 27001 relate to each other?

ISO 27001 and GDPR complement each other ideally: a certified ISMS per ISO 27001 provides evidence for Art. 32 GDPR (technical and organisational measures) and Art. 5(1)(f) (integrity and confidentiality). Specifically: ISO 27001 control A.8.24 (cryptography) corresponds to the GDPR encryption requirement; A.6.8 (incident reporting) corresponds to Art. 33 (72-hour notification); A.8.10 (data deletion) corresponds to Art. 17 (right to erasure). AWARE7 builds GDPR compliance and ISO 27001 as an integrated programme.

What is a Data Protection Impact Assessment (DPIA)?

A Data Protection Impact Assessment (DPIA) per Art. 35 GDPR is mandatory for processing operations "likely to result in a high risk to the rights and freedoms of natural persons". Typical cases: video surveillance, profiling, processing of special categories of data, systematic monitoring of employees. The DPIA covers: description of the processing, assessment of necessity and proportionality, risk assessment, and concrete mitigating measures.

How does AWARE7 assist with technical GDPR compliance?

AWARE7 brings the unique combination of data protection expertise and offensive security know-how: we do not only check whether your TOMs are documented - we test whether they work. Our approach: TOM gap analysis (current-state assessment of all technical measures), penetration test for effectiveness testing per Art. 32(1)(d), DPIA for high-risk processing, external DPO as a managed service, and ongoing support with data breaches (72-hour notification to the supervisory authority). All from a single source, on a fixed-price basis.

Aus dem Blog

Alle Artikel

Compliance & Standards

GDPR compliance - done properly.

We implement TOMs that genuinely protect and provide a fixed-price quote within 24 hours. No open consultant days, no surprises.

Book a free initial consultation

Kostenlos · 30 Minuten · Unverbindlich

GDPR Compliance: Technical Measuresper Art. 32