Compliance & Standards
DSGVO-Compliance für Unternehmen: Anforderungen, Bußgelder und Umsetzung
Chris Wojzechowski16 Min.
Regulierung & Compliance
DSGVO & IT-Sicherheit:
Technische Maßnahmen nach Art. 32
Die DSGVO ist kein reines Datenschutzthema - sie stellt konkrete Anforderungen an Ihre IT-Sicherheit. Art. 32 verpflichtet Unternehmen zu nachweisbaren technischen und organisatorischen Maßnahmen (TOMs). Wer dies ignoriert, riskiert Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Zuletzt aktualisiert: März 2026 Von zertifizierten Experten geprüft
Inkrafttreten
25.05.2018
EU-weit verbindlich
Geltungsbereich
DACH + EU
Auch außereuropäische Unternehmen bei EU-Marktbezug
Aufsichtsbehörden
17
Länderbehörden in Deutschland (LDIs)
Gesamtbußgelder DE
> 50 Mio.
EUR seit 2018 verhängt
- Maximales Bußgeld
-
- Technische Maßnahmen
- Art. 32
- Meldepflicht
-
- des Jahresumsatzes
-
Grundlagen
DSGVO und IT-Sicherheit: Warum Datenschutz technische Sicherheit voraussetzt
Die Datenschutz-Grundverordnung (Verordnung EU 2016/679) gilt seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Sie schützt die Grundrechte natürlicher Personen bei der Verarbeitung ihrer personenbezogener Daten. Was viele Unternehmen unterschätzen: Die DSGVO enthält konkrete Sicherheitsanforderungen, die weit über eine Datenschutzerklärung auf der Website hinausgehen.
Datenpannen entstehen fast ausnahmslos durch IT-Schwachstellen: ungesicherte Datenbanken, fehlende Verschlüsselung, mangelhaftes Zugriffsmanagement, erfolgreiche Phishing-Angriffe oder ungepatchte Schwachstellen. Die DSGVO macht den Verantwortlichen für diese Schwachstellen haftbar - und das mit erheblichen Bußgeldrahmen.
Entscheidend: Die DSGVO fordert keine spezifischen Technologien, sondern ein risikobasiertes Vorgehen. Die eingesetzten Maßnahmen müssen dem Risiko für betroffene Personen angemessen sein - das bedeutet, Unternehmen müssen die Risiken ihrer Verarbeitungstätigkeiten kennen und systematisch mitigieren.
Art. 5
Grundsätze der Verarbeitung
Integrität und Vertraulichkeit als explizites Datenschutzprinzip - technische Sicherheit ist kein Annex, sondern Grundlage.
Art. 25
Privacy by Design und Default
Datenschutz muss von Anfang an in Systeme eingebaut werden, nicht nachträglich aufgestülpt.
Art. 32
Technisch-organisatorische Maßnahmen
Konkrete Pflicht zu Verschlüsselung, Pseudonymisierung, Belastbarkeit und regelmäßiger Überprüfung der Sicherheitsmaßnahmen.
Art. 33/34
Meldepflichten bei Datenpannen
72-Stunden-Frist zur Meldung an Aufsichtsbehörde, ggf. Benachrichtigung der Betroffenen.
Art. 35
Datenschutz-Folgenabschätzung
Risikoanalyse vor Inbetriebnahme hochriskanter Verarbeitungen - vergleichbar einer Security-Risk-Assessment-Methodik.
Art. 32 DSGVO
Technisch-organisatorische Maßnahmen (TOMs): Was Ihr Unternehmen konkret umsetzen muss
Art. 32 DSGVO nennt vier explizite technische Maßnahmen und fordert darüber hinaus einen risikobasierten Ansatz. Die folgenden Bereiche sind für jedes Unternehmen, das personenbezogene Daten verarbeitet, unmittelbar relevant.
Verschlüsselung
Personenbezogene Daten müssen at-rest (Datenbank, Backups) und in-transit (TLS 1.2+, HTTPS) verschlüsselt sein. AES-256 für gespeicherte Daten, korrekte Zertifikatsverwaltung, keine schwachen Cipher-Suites.
Art. 32 Abs. 1 lit. a
Pseudonymisierung
Trennung von Identifikationsmerkmalen und Nutzdaten durch technische Maßnahmen. Re-Identifikation nur mit gesondertem, sicher verwahrtem Schlüssel möglich. Reduziert das Bußgeldrisiko bei Datenpannen.
Art. 32 Abs. 1 lit. a
Belastbarkeit der Systeme
Dauerhaft sichergestellte Verfügbarkeit, Integrität und Vertraulichkeit. Redundanzkonzepte, DDoS-Schutz, Hochverfügbarkeitsarchitekturen. Keine einzelnen Failure Points für kritische Systeme.
Art. 32 Abs. 1 lit. b
Wiederherstellbarkeit
Fähigkeit zur raschen Wiederherstellung der Verfügbarkeit nach einem Sicherheitsvorfall. Getestete Backupkonzepte (3-2-1-Regel), dokumentierte Wiederherstellungsprozeduren, regelmäßige Restore-Tests.
Art. 32 Abs. 1 lit. c
Regelmäßige Überprüfung
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs. Penetration Tests, Schwachstellenscans, interne Audits und Risikoreviews sind anerkannte Methoden.
Art. 32 Abs. 1 lit. d
Zugangs- & Zugriffskontrolle
Rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung für sensible Systeme, regelmäßige Berechtigungsreviews, sicheres Passwortmanagement und vollständige Protokollierung von Zugriffen.
Erweitert: Art. 5 + Art. 32
Art. 35 DSGVO
Datenschutz-Folgenabschätzung (DSFA)
Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine strukturierte Risikoanalyse, die vor der Inbetriebnahme bestimmter Verarbeitungsvorgänge durchgeführt werden muss. Sie ist methodisch vergleichbar einer IT-Security-Risk-Assessment-Methodik - und profitiert daher erheblich von Sicherheits-Expertise.
Die Datenschutzkonferenz (DSK) hat eine verbindliche Liste von 17 Verarbeitungstypen veröffentlicht, die immer eine DSFA erfordern - darunter systematisches Profiling, biometrische Verarbeitung und die Nutzung neuer Technologien bei Gesundheitsdaten. Darüber hinaus gilt die Pflicht immer dann, wenn voraussichtlich ein hohes Risiko für betroffene Personen entsteht.
Eine DSFA muss mindestens enthalten: systematische Beschreibung der Verarbeitungsvorgänge, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Bewertung der Risiken, vorgesehene Abhilfemaßnahmen. Eine unzureichende oder fehlende DSFA ist eigenständig bußgeldbewehrt.
Wann ist eine DSFA verpflichtend?
- Systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung, einschließlich Profiling
- Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO: Gesundheit, Religion, Ethnie, politische Meinungen, biometrische Daten)
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung)
- Einsatz neuer Technologien mit nicht ausreichend bekannten Risikoprofilen (KI, IoT, Verhaltensanalyse)
- Verarbeitung von Daten vulnerabler Personengruppen (Kinder, psychisch Kranke, Arbeitnehmer)
- Matching oder Kombination von Datensätzen aus verschiedenen Quellen
- Verarbeitung biometrischer oder genetischer Daten zur eindeutigen Identifikation
Quelle: DSK-Beschluss "Muss-Liste" (veröffentlicht gemäß Art. 35 Abs. 4 DSGVO) sowie Kurzpapier Nr. 5 der Datenschutzkonferenz.
Art. 33 & 34 DSGVO
Meldepflichten bei Datenpannen
Bei einer Verletzung des Schutzes personenbezogener Daten beginnt mit der Entdeckung eine strikte 72-Stunden-Uhr. Ohne vorbereitete Incident-Response-Prozesse ist diese Frist kaum einzuhalten.
0-72 Stunden
Meldung an Aufsichtsbehörde
- Art und Umfang der Verletzung
- Betroffene Datenkategorien
- Ungefähre Anzahl betroffener Personen
- Kontaktdaten des DSB
- Wahrscheinliche Folgen
- Ergriffene Abhilfemaßnahmen
Art. 33 DSGVO - Meldung über BfDI-Portal oder zuständige LDI
Ohne unnötige Verzögerung
Benachrichtigung Betroffener
- Wenn hohes Risiko für Betroffene besteht
- Klare und einfache Sprache
- Beschreibung der Verletzung
- Kontaktdaten des DSB
- Wahrscheinliche Folgen
- Empfehlungen für Betroffene
Art. 34 DSGVO - Ausnahme bei wirksamer Verschlüsselung der betroffenen Daten
Dauerhaft
Interne Dokumentation
- Vollständige Dokumentation aller Datenpannen
- Auch meldepflichtfreie Vorfälle erfassen
- Ursachenanalyse und Behebungsmaßnahmen
- Entscheidungsgrundlage für Meldepflicht
- Nachweis gegenüber Aufsichtsbehörden
- Mindestens 3 Jahre aufbewahren
Art. 33 Abs. 5 DSGVO - Rechenschaftspflicht nach Art. 5 Abs. 2
Durchsetzung
Bußgelder und aktuelle DSGVO-Fälle in Deutschland
Die deutschen Datenschutzbehörden haben seit 2018 erhebliche Bußgelder verhängt. Diese Fälle zeigen, welche technischen Mängel besonders häufig zu Sanktionen führen.
BlnBDI Berlin · 2019
Deutsche Wohnen SE
14,5 Mio. EUR
Archivierungssystem ohne Löschmöglichkeit für nicht mehr notwendige Mieterdaten. Personenbezogene Daten wurden über die Verarbeitungsdauer hinaus aufbewahrt, ohne technische Möglichkeit zur Löschung.
Rechtsgrundlage: Art. 5, 25 DSGVO
LfD Niedersachsen · 2021
Notebooksbilliger.de
10,4 Mio. EUR
Videoüberwachung von Mitarbeitern ohne ausreichende Rechtsgrundlage - über sechs Jahre lang. Fehlende Zweckbeschränkung und mangelnde Verhältnismäßigkeit.
Rechtsgrundlage: Art. 5, 6, 13 DSGVO
BfDI · 2019/21
1&1 Telecom GmbH
9,55 Mio. EUR
Unzureichende Authentifizierungsverfahren im Callcenter: Kundendaten konnten durch einfache Angabe von Name und Geburtsdatum abgefragt werden - ohne hinreichende Verifikation der Identität.
Rechtsgrundlage: Art. 32 DSGVO
LDI NRW · 2023
Bochumer Einzelhandelsunternehmen
525.000 EUR
Unverschlüsselte Speicherung von Kundendaten auf einem Server ohne hinreichende Zugangssicherung. Datenpanne durch Fehlkonfiguration, verzögerte Meldung an die Behörde.
Rechtsgrundlage: Art. 32, 33 DSGVO
Hinweis: Die DSGVO-Enforcement-Tracker der Organisation noyb dokumentiert europaweit über 2.400 Bußgeldentscheidungen mit einem Gesamtvolumen von über 4,5 Mrd. EUR (Stand: 2025). Deutsche Behörden zählen zu den aktivsten in der EU. Quellen: Bescheide der jeweiligen Datenschutzbehörden, DSGVO-Enforcement-Tracker (enforcementtracker.com).
AWARE7 Leistungen
Wie AWARE7 bei DSGVO-Compliance unterstützt
DSGVO-Compliance erfordert technisches Know-how, nicht nur Rechtswissen. Unsere Cybersecurity-Spezialisten decken genau die technischen Anforderungen ab, die Art. 32 DSGVO vorschreibt.
Penetration Testing
Regelmäßige Penetration Tests erfüllen direkt die Art.-32-Abs.-1-lit.-d-Pflicht zur Überprüfung der Wirksamkeit der TOMs. Wir decken Schwachstellen auf, bevor sie zu meldepflichtigen Datenpannen werden.
Pentest anfragen
ISMS / ISO 27001
Ein ISO-27001-konformes Informationssicherheits-Managementsystem adressiert systematisch alle wesentlichen Art.-32-Anforderungen und liefert den dokumentierten Nachweis der TOMs gegenüber Aufsichtsbehörden.
Zur ISO-Beratung
Schwachstellenscan
Automatisierte, regelmäßige Schwachstellenscans ergänzen manuelle Penetration Tests und stellen die kontinuierliche Überprüfung der IT-Systeme sicher - zu vertretbaren Kosten.
Scan kennenlernen
Security Awareness Schulungen
Über 90% aller Datenpannen beginnen mit menschlichem Versagen. Unsere Schulungen und Phishing-Simulationen reduzieren das Risiko nachweislich und stärken die TOMs im Bereich Mitarbeitersensibilisierung.
Zu den Schulungen
Datenschutz-Technikberatung
Wir unterstützen bei der technischen Umsetzung von Privacy by Design und Default, bei der Konzeption sicherer Architekturen und bei der Auswahl geeigneter Kryptographie-Verfahren.
Beratung anfragen
KMU Sicherheitsanalyse
Für Unternehmen ohne dediziertes Sicherheitsteam: eine strukturierte Analyse des DSGVO-Sicherheitsniveaus mit konkretem Maßnahmenplan und klarer Priorisierung nach Risikoexposition.
Analyse anfragen
Warum AWARE7 für DSGVO-Compliance
Was uns von anderen Anbietern unterscheidet
Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.
Forschung und Lehre als Fundament
Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.
Digitale Souveränität - keine Kompromisse
Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.
Festpreis in 24h - planbare Projektzeiträume
Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.
Ihr fester Ansprechpartner - jederzeit erreichbar
Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.
Für wen sind wir der richtige Partner?
Mittelstand mit 50–2.000 MA
Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.
IT-Verantwortliche & CISOs
Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.
Regulierte Branchen
KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.
Mitwirkung an Industriestandards
LLM
OWASP · 2023
OWASP Top 10 for Large Language Models
Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.
BSI
BSI · Allianz für Cyber-Sicherheit
Management von Cyber-Risiken
Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).
„Art. 32 DSGVO wird von vielen Unternehmen systematisch unterschätzt. Er verlangt keine spezifischen Technologien - aber er verlangt nachweisbare, risikobasierte Sicherheitsmaßnahmen. Wer das ignoriert, haftet nicht nur rechtlich, sondern trägt echte Verantwortung für die Daten Dritter.“
Jan Hornemann
Forscher im Bereich Privacy und GDPR · AWARE7 GmbH
Häufige Fragen zur DSGVO
Antworten auf die häufigsten Fragen rund um DSGVO-Compliance und technische Sicherheitsmaßnahmen.
Was fordert Art. 32 DSGVO von Unternehmen?
Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen (TOMs) zu implementieren, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Konkret genannt werden: Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit zur dauerhaften Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die Möglichkeit zur raschen Wiederherstellung nach Vorfällen sowie ein Verfahren zur regelmäßigen Überprüfung der Maßnahmen. Die Norm gibt keine spezifischen Technologien vor - das Schutzniveau muss dem Risiko für die betroffenen Personen entsprechen.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) und wann ist sie Pflicht?
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine systematische Risikoanalyse für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Sie ist Pflicht bei: systematischer und umfassender Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung (inkl. Profiling), umfangreicher Verarbeitung besonderer Datenkategorien nach Art. 9, sowie systematischer Überwachung öffentlich zugänglicher Bereiche. Die Datenschutzkonferenz (DSK) hat eine Liste von Verarbeitungsvorgängen veröffentlicht, die immer eine DSFA erfordern.
Welche Bußgelder drohen bei DSGVO-Verstößen?
Die DSGVO sieht zwei Bußgeldrahmen vor: Für weniger schwere Verstöße (z. B. Verletzung technischer und organisatorischer Maßnahmen nach Art. 32) bis zu 10 Millionen EUR oder 2% des weltweiten Jahresumsatzes. Für schwerwiegende Verstöße (z. B. Verletzung der Grundprinzipien, unzulässige Datenverarbeitung) bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes. In Deutschland sind bisher folgende Bußgelder verhängt worden: Deutsche Wohnen SE (14,5 Mio. EUR, 2019), 1&1 AG (9,55 Mio. EUR, 2019), Notebooksbilliger.de (10,4 Mio. EUR, 2021). Die Aufsichtsbehörden werden zunehmend aktiver.
Was ist im Fall einer Datenpanne innerhalb von 72 Stunden zu tun?
Bei einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) gilt nach Art. 33 DSGVO eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Die Meldung muss enthalten: Art der Verletzung, betroffene Datenkategorien und Personenanzahl, Kontaktdaten des Datenschutzbeauftragten, wahrscheinliche Folgen, ergriffene oder geplante Abhilfemaßnahmen. Bei hohem Risiko für betroffene Personen ist zusätzlich eine Benachrichtigung der Betroffenen nach Art. 34 erforderlich. Ein dokumentiertes Incident-Response-Verfahren ist daher essenziell - eine Reaktionszeit von 72 Stunden erfordert vollständige Prozesse ab dem Moment der Entdeckung.
Müssen wir einen Datenschutzbeauftragten (DSB) benennen?
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO und dem BDSG. Sie ist verpflichtend wenn: die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht, die Kerntätigkeit in der umfangreichen und regelmäßigen Überwachung von Personen besteht, oder wenn mehr als 20 Mitarbeitende regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG - eine deutsche Besonderheit, die über die DSGVO-Anforderungen hinausgeht). Der DSB kann intern oder extern bestellt werden. AWARE7 bietet qualifizierte externe DSB-Dienste an.
Was versteht man unter Datenschutz durch Technikgestaltung (Privacy by Design)?
Privacy by Design (Art. 25 DSGVO) verlangt, dass Datenschutzgrundsätze bereits bei der Planung von Verarbeitungsvorgängen und IT-Systemen berücksichtigt werden - nicht erst nach der Implementierung. Konkret bedeutet das: Datenminimierung vom Entwurf an, standardmäßig datenschutzfreundliche Voreinstellungen, Pseudonymisierung als Grundprinzip, granulare Zugriffskonzepte ab dem ersten Code-Commit. Privacy by Default (Art. 25 Abs. 2) ergänzt dies: voreingestellte Verarbeitungen sollen nur personenbezogene Daten umfassen, die für den jeweiligen Zweck erforderlich sind. Technische Umsetzung bedeutet: sichere Authentifizierung, Verschlüsselung at-rest und in-transit, Protokollierung, sichere Löschkonzepte.
Wie hängen DSGVO und Informationssicherheit (ISO 27001) zusammen?
DSGVO und ISO 27001 ergänzen sich: DSGVO definiert das Schutzziel (personenbezogene Daten), ISO 27001 liefert den methodischen Rahmen (ISMS) zur systematischen Erreichung dieses Ziels. Ein ISO-27001-zertifiziertes Unternehmen hat bereits viele Art.-32-Anforderungen strukturiert adressiert - Risikobewertung, Zugangskontrolle, Kryptographie, Business Continuity, Sicherheit bei der Entwicklung. Umgekehrt erfüllt ein DSGVO-konformes Unternehmen damit noch keine ISO 27001, da der Standard deutlich breiter ist und alle Informationswerte (nicht nur personenbezogene Daten) schützt. Wir empfehlen eine integrierte Herangehensweise, die beide Anforderungen gemeinsam adressiert.
Ist Penetration Testing für die DSGVO-Compliance relevant?
Ja, direkt. Art. 32 Abs. 1 lit. d DSGVO fordert ausdrücklich "ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen". Regelmäßige Penetration Tests und Schwachstellenscans sind ein anerkanntes Mittel, dieser Pflicht nachzukommen. Zudem decken Pentests technische Schwachstellen auf, die zu einer meldepflichtigen Datenpanne führen könnten - ein erfolgreicher Angriff auf eine bekannte, nicht behobene Schwachstelle kann die Haftung des Verantwortlichen erhöhen. Gerichte und Aufsichtsbehörden bewerten fehlende Sicherheitstests zunehmend als Fahrlässigkeit.
DSGVO-Sicherheitscheck vereinbaren
Wir analysieren Ihre technischen Maßnahmen nach Art. 32 DSGVO und zeigen Ihnen, wo Handlungsbedarf besteht - konkret, priorisiert und mit Festpreisangebot.
Kostenlos · 30 Minuten · Unverbindlich
