Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DSGVO-Compliance

DSGVO-Compliance:
Technische Maßnahmen
nach Art. 32

Art. 32 DSGVO verlangt mehr als Checkboxen. Wir implementieren TOMs, die wirklich schützen - und testen ihre Wirksamkeit mit Penetrationstest und Gap-Analyse. Aus einer Hand, auf Festpreisbasis.

Kostenlose Erstberatung +49 209 8830 6760
ISO 27001 zertifiziert Festpreisgarantie DSGVO-Expertise seit 2018

Art. 32 DSGVO - Vier Säulen

lit. a

Pseudonymisierung & Verschlüsselung

Personenbezogene Daten technisch unlesbar machen

lit. b

Vertraulichkeit & Integrität

Dauerhafte Sicherstellung durch technische Maßnahmen

lit. c

Verfügbarkeit & Belastbarkeit

Backup-Strategie, Business Continuity, Wiederherstellbarkeit

lit. d

Regelmäßige Überprüfung

Wirksamkeitsprüfung der Maßnahmen - Penetrationstest

Diese Unternehmen vertrauen uns

Sicherheitsanalysen
Jahre Erfahrung
bis zum Festpreis-Angebot
festangestellte Experten

Warum jetzt handeln

DSGVO ist kein Papierprojekt

Aufsichtsbehörden prüfen zunehmend die technische Wirksamkeit - nicht nur die Dokumentation. Bußgelder bis 20 Mio. EUR oder 4 % des weltweiten Umsatzes sind die Folge.

Bußgelder bis 20 Mio. EUR

Art. 83 DSGVO: Verstöße gegen Art. 5 und Art. 32 werden mit bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes geahndet - je nachdem, was höher ist.

72h-Meldepflicht bei Datenpanne

Art. 33 DSGVO: Nach Bekanntwerden einer Datenschutzverletzung bleiben nur 72 Stunden für die Meldung an die Aufsichtsbehörde. Ohne vorbereitete Prozesse fast unmöglich einzuhalten.

Rechenschaftspflicht (Art. 5 II)

Der Verantwortliche muss die Einhaltung der DSGVO nachweisen können - nicht nur behaupten. Technische Maßnahmen müssen dokumentiert und deren Wirksamkeit regelmäßig geprüft werden.

Unsere DSGVO-Leistungen

Technische Compliance mit Offensive-Security-Tiefe - von der Gap-Analyse bis zum laufenden DSB-Service.

TOMs-Umsetzung nach Art. 32

Implementierung technischer und organisatorischer Maßnahmen mit Nachweiswert. Wir prüfen und dokumentieren alle TOMs gegen die vier Anforderungen des Art. 32 DSGVO.

  • Verschlüsselung (TLS, AES-256 at Rest)
  • Pseudonymisierung und Anonymisierung
  • Zugriffskontrollen und Least Privilege
  • Backup-Strategie und Wiederherstellbarkeit
  • TOM-Dokumentation mit Nachweisen

DSFA nach Art. 35

Datenschutz-Folgenabschätzung für Verarbeitungen mit hohem Risiko. Wir führen die DSFA methodisch durch und dokumentieren Risiken und Abhilfemaßnahmen.

  • Identifikation DSFA-pflichtiger Verarbeitungen
  • Beschreibung der Verarbeitungsvorgänge
  • Risikobewertung für Betroffenenrechte
  • Maßnahmen zur Risikoreduzierung
  • Konsultation der Aufsichtsbehörde (falls nötig)

Externer DSB nach Art. 37

Datenschutzbeauftragter als Managed Service - ob gesetzlich verpflichtend oder freiwillig. Sofort einsatzbereit, ohne eigene Vollzeitstelle.

  • Beratung der Geschäftsführung und Fachbereiche
  • Überwachung der DSGVO-Compliance
  • Ansprechpartner für Aufsichtsbehörden
  • Bearbeitung von Betroffenenanfragen
  • Meldung bei Datenschutzverletzungen (Art. 33)
AWARE7-Alleinstellungsmerkmal

Pentest für Art. 32 lit. d

Art. 32 lit. d verlangt die "regelmäßige Überprüfung der Wirksamkeit" technischer Maßnahmen. Ein Penetrationstest ist der härteste und nachweiskräftigste Wirksamkeitstest - und unser Kerngeschäft.

  • Web-Applikations-Pentest (OWASP Top 10)
  • Prüfung Datenbankzugriffe auf Kundendaten
  • Validierung von Verschlüsselung und Zugriffskontrollen
  • DSGVO-konformer Bericht mit Nachweisfunktion
  • Jährliche Wiederholung empfohlen

Unser Vorgehen

DSGVO-Compliance in 4 Schritten

Strukturiertes Vorgehen statt Aktionismus - von der Bestandsaufnahme bis zur dauerhaften Compliance.

01

IST-Analyse & Bestandsaufnahme

Erfassung aller personenbezogenen Datenverarbeitungen, vorhandenen TOMs und des Verarbeitungsverzeichnisses (Art. 30 DSGVO). Bewertung des aktuellen Compliance-Stands.

Dauer: 1-2 Wochen

Analyse beauftragen
02

TOMs-Gap-Analyse

Systematischer Vergleich der vorhandenen technischen Maßnahmen gegen Art. 32 DSGVO. Identifikation von Lücken bei Verschlüsselung, Zugriffskontrollen, Backup und Überwachung.

Dauer: 1-3 Wochen

03

Implementierung

Umsetzung der identifizierten Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Backup-Strategie, Incident-Response-Prozesse, Meldeprozeduren für Art. 33.

Dauer: 4-12 Wochen

04

Regelmäßige Überprüfung

Penetrationstest zur Wirksamkeitsprüfung nach Art. 32 lit. d, jährliche Aktualisierung des Verarbeitungsverzeichnisses, Schulungen, Management-Reviews. Nachhaltige Compliance statt einmaliges Projekt.

Jährlich + anlassbezogen

Pentest beauftragen
„AWARE7 verbindet Datenschutz-Know-how mit echtem technischen Tiefgang. Das ist selten: ein Berater, der die juristische Seite des Art. 32 genauso beherrscht wie die technische Wirksamkeitsprüfung per Pentest.“

Jan Hornemann

Forscher im Bereich Privacy und GDPR · AWARE7 GmbH

Unser Unterschied

Warum AWARE7 für DSGVO-Compliance

Offensive Security Expertise

Wir sind Penetration Tester und Datenschutzberater in einem. TOMs, die wir empfehlen, halten auch einem echten Angriffsversuch stand - kein Papiertiger.

ISMS & Datenschutz Synergie

ISO-27001-Zertifizierung und DSGVO-Compliance werden integriert aufgebaut. Doppelter Mehrwert, reduzierter Aufwand - ein Berater für beide Anforderungen.

Festpreise ohne Überraschungen

Kein offenes Beratungsbudget, keine Überraschungsrechnungen. Jede Leistung wird als Festpreis definiert - mit klarem Scope und messbarem Ergebnis.

Warum AWARE7

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Ihre DSGVO-Experten

Unsere zertifizierten Berater verbinden Datenschutz-Know-how mit Offensive-Security-Expertise.

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Jan Hörnemann
Jan Hörnemann

Chief Operating Officer · Prokurist

PGP A3FD64BB96C888E2

M.Sc. Internet-Sicherheit (if(is), Westfälische Hochschule). COO und Prokurist mit Expertise in Informationssicherheitsberatung und Security Awareness. Nachwuchsprofessor für Cyber Security an der FOM Hochschule, CISO-Referent bei der isits AG und Promovend am Graduierteninstitut NRW.

ISO 27001 Lead Auditor (PECB/TÜV) T.I.S.P. (TeleTrusT) ITIL 4 (PeopleCert) BSI IT-Grundschutz-Praktiker (DGI) Ext. ISB (TÜV) BSI CyberRisikoCheck CEH (EC-Council)
Vollständiges Profil ansehen

Für wen wir arbeiten

DSGVO-Compliance für Ihre Branche

Von der Gap-Analyse bis zum laufenden DSB-Service - maßgeschneidert für Ihre Anforderungen.

KMU ohne eigenen DSB

Mittelstaendische Unternehmen ohne Vollzeit-Datenschutzbeauftragten profitieren von unserem externen DSB-Service: sofort einsatzbereit, gesetzeskonform, ohne Personalkosten.

  • Externer DSB als Managed Service
  • TOMs-Basispaket mit Festpreis
  • Verarbeitungsverzeichnis (Art. 30)

Unternehmen mit Kundendaten

Wer personenbezogene Kundendaten in CRM-Systemen, Newslettern oder Support-Portalen verarbeitet, benötigt nachweisbare technische Schutzmaßnahmen nach Art. 32 DSGVO.

  • Datenbankschutz und Zugriffskontrollen
  • Verschluesselung at Rest und in Transit
  • Audit-Trail und Protokollierung

E-Commerce und SaaS-Anbieter

Online-Shops und SaaS-Plattformen sind besonders exponiert: Zahlungsdaten, Bestellhistorien, Nutzerprofile - die DSGVO stellt hier harte Anforderungen an technische Schutzmaßnahmen.

  • Web-Applikations-Pentest (OWASP Top 10)
  • Cookie-Consent und Tracking-Konformitaet
  • DSFA für Profiling und Nutzerdaten

Gesundheitswesen

Gesundheitsdaten gehören zu den besonders schutzwuerdigen Datenkategorien nach Art. 9 DSGVO. Kliniken, Arztpraxen und Healthtech-Unternehmen unterliegen den strengsten Anforderungen.

  • DSFA für Art.-9-Datenverarbeitungen
  • Pflicht-DSB-Bestellung (Art. 37)
  • Datenschutz im Krankenhaussektor (KH-IT)

Finanzdienstleister

Banken, Versicherungen und Fintechs unterliegen neben der DSGVO regulatorischen Vorgaben wie DORA und MaRisk. Wir bringen DSGVO-Compliance und Finanzregulatorik zusammen.

  • DSGVO-DORA-Konformitaetsabgleich
  • Datenschutz bei Kreditscoring / Profiling
  • TOMs-Nachweis für BaFin-Prüfungen
Notfall-Service

Nach einer Datenpanne

Nach einem Datenschutzvorfall laufen die 72 Stunden sofort. Wir unterstützen bei der Meldung an die Aufsichtsbehoerde, der Benachrichtigung Betroffener und der forensischen Analyse.

  • 72h-Meldung Art. 33 (Erstattung)
  • Betroffenenbenachrichtigung Art. 34
  • Forensik und Ursachenanalyse

Synergie-Leistungen

Maximaler Schutz durch Kombination

DSGVO-Compliance entfaltet ihre volle Wirkung in Kombination mit diesen Leistungen - alle aus einer Hand.

Penetrationstest

Art. 32 lit. d DSGVO fordert regelmäßige Wirksamkeitspruefung. Ein Pentest ist der stärkste Nachweis - und unverzichtbar für jede ernst gemeinte DSGVO-Compliance.

Zur Leistung

ISMS ISO 27001

Ein ISMS nach ISO 27001 liefert den Rahmen für Art. 32 DSGVO. Wir bauen beide integriert auf - maximale Synergie, minimaler Mehraufwand, ein Zertifikat als Nachweis.

Zur Leistung

Externer ISB

Externer Informationssicherheitsbeauftragter und DSB aus einer Hand: eine Ansprechperson, ein Festpreis, maximale Entlastung für Ihre Geschäftsführung.

Zur Leistung

Referenzen aus der Praxis

Beratung Informationssicherheit

brainbits GmbH

Ausbau und Begleitung des ISMS zur ISO 27001 Zertifizierung

9

Monate bis zur Zertifizierungsreife

70

Mitarbeitende im Team

Häufige Fragen zur DSGVO-Compliance

Die Kosten hängen von Ihrem Ausgangsniveau und dem gewünschten Leistungsumfang ab. Eine initiale TOMs-Gap-Analyse beginnt ab 3.500 EUR als Festpreis. Eine vollständige DSGVO-Compliance-Beratung inkl. TOMs-Implementierung, DSFA und Datenschutzkonzept liegt typischerweise zwischen 8.000 und 25.000 EUR für mittelständische Unternehmen. Wir erstellen Ihnen innerhalb von 24 Stunden ein verbindliches Festpreisangebot - ohne versteckte Beratertage.
Ein externer Datenschutzbeauftragter (DSB) ist nach Art. 37 DSGVO Pflicht, wenn Ihr Unternehmen: (1) öffentliche Stelle ist, (2) Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie, politische Meinungen) umfasst, oder (3) regelmäßige und systematische Überwachung von Personen in großem Umfang betreibt. Auch ohne gesetzliche Pflicht empfehlen wir einen DSB - als Haftungsschutz für die Geschäftsführung und als Nachweis gegenüber Aufsichtsbehörden und Kunden.
Art. 32 lit. d DSGVO fordert ausdrücklich "ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen". Ein Penetrationstest ist die wirksamste Methode, diese Anforderung zu erfüllen. Er prüft konkret: Können Unbefugte auf personenbezogene Daten zugreifen? Sind Verschlüsselungsmaßnahmen wirksam? Gibt es Schwachstellen in Web-Applikationen mit Kundendaten? Sind Zugriffskontrollen korrekt konfiguriert?
ISO 27001 und DSGVO ergänzen sich ideal: Ein zertifiziertes ISMS nach ISO 27001 liefert den Nachweis für Art. 32 DSGVO (technische und organisatorische Maßnahmen) und Art. 5 Abs. 1 lit. f (Integrität und Vertraulichkeit). Konkret: ISO-27001-Control A.8.24 (Kryptographie) entspricht DSGVO-Anforderung Verschlüsselung; A.6.8 (Incident Reporting) entspricht Art. 33 (72h-Meldepflicht); A.8.10 (Datenlöschung) entspricht Art. 17 (Recht auf Vergessenwerden). AWARE7 baut DSGVO-Compliance und ISO 27001 konsequent integriert auf.
Eine Datenschutz-Folgenabschätzung (DSFA, engl. DPIA - Data Protection Impact Assessment) nach Art. 35 DSGVO ist Pflicht bei Verarbeitungen, die "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringen. Typische Fälle: Videoüberwachung, Profiling, Verarbeitung besonderer Datenkategorien, systematisches Monitoring von Beschäftigten. Die DSFA umfasst: Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikobewertung und konkrete Abhilfemaßnahmen.
AWARE7 bringt die einzigartige Kombination aus Datenschutz-Expertise und Offensive-Security-Know-how: Wir prüfen nicht nur, ob Ihre TOMs dokumentiert sind - wir testen, ob sie wirken. Unser Ansatz: TOMs-Gap-Analyse (Ist-Aufnahme aller technischen Maßnahmen), Penetrationstest zur Wirksamkeitsprüfung nach Art. 32 lit. d, DSFA-Durchführung für riskante Verarbeitungen, externer DSB als Managed Service und laufende Begleitung bei Datenpannen (72h-Meldung an Aufsichtsbehörde). Alles aus einer Hand, auf Festpreisbasis.

Ergänzende Leistungen

Penetrationstest

Wirksamkeitsprüfung Ihrer TOMs nach Art. 32 lit. d DSGVO.

ISO 27001 Beratung

ISMS als Fundament für DSGVO Art. 32 - integriert und effizient.

NIS-2 Beratung

NIS-2 und DSGVO gemeinsam umsetzen - maximale Synergie.

Phishing-Simulation

Awareness-Schulung als organisatorische TOM nach Art. 32 DSGVO.

Internes Audit

Regelmäßige Prüfung der DSGVO-Compliance und TOMs-Wirksamkeit.

Externer ISB

Informationssicherheitsbeauftragter und DSB aus einer Hand.

Aus dem Blog

Weiterführende Artikel

DSGVO-Compliance mit Substanz?

In einem kostenlosen 30-Minuten-Erstgespräch analysieren wir Ihren aktuellen DSGVO-Stand und zeigen konkrete Schritte zur Art.-32-Compliance - auf Festpreisbasis.

Kostenlose DSGVO-Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung