Viele KMU verbinden die DSGVO vor allem mit rechtlichen Anforderungen und Datenschutzerklärungen.
Dabei spielen technische und organisatorische Maßnahmen – kurz TOMs – eine genauso wichtige Rolle.
In diesem Beitrag zeigen wir dir, welche technischen Maßnahmen die DSGVO fordert und wie du sie in deiner IT-Infrastruktur umsetzen kannst.
Was fordert die DSGVO technisch von Unternehmen?
Artikel 32 der DSGVO verpflichtet Unternehmen dazu, geeignete technische und organisatorische Maßnahmen umzusetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Konkret nennt die DSGVO unter anderem:
- Verschlüsselung personenbezogener Daten
- Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der Systeme
- Möglichkeit zur Wiederherstellung von Daten nach einem Vorfall
- Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen
Was „angemessen" bedeutet, hängt vom jeweiligen Risiko ab – und liegt letztlich in der Verantwortung des Unternehmens.
Die wichtigsten technischen Maßnahmen im Überblick
1.) Zugriffskontrolle und Benutzerrechte
Nur wer Daten für seine Arbeit benötigt, sollte auch Zugriff darauf haben.
Das Prinzip der minimalen Rechte (Least Privilege) schützt vor internen und externen Zugriffen auf Daten, die nicht zugänglich sein sollten.
2.) Verschlüsselung sensibler Daten
Personenbezogene Daten sollten sowohl bei der Übertragung als auch bei der Speicherung verschlüsselt sein.
Das gilt besonders für E-Mails mit sensiblem Inhalt, Datenbanken und mobile Geräte.
3.) Sichere Passwörter und Multi-Faktor-Authentifizierung
Unbefugter Zugriff auf Systeme mit personenbezogenen Daten ist eine der häufigsten Ursachen für meldepflichtige Datenschutzverstöße. MFA und sichere Passwortrichtlinien reduzieren dieses Risiko erheblich.
4.) Regelmäßige Datensicherung
Die DSGVO fordert die Fähigkeit, Daten nach einem Vorfall wiederherstellen zu können.
Eine zuverlässige Backup-Strategie – idealerweise nach der 3-2-1-Regel – ist dafür die Grundlage.
5.) Patch-Management und Updates
Ungepatchte Systeme sind ein häufiges Einfallstor für Angreifer.
Regelmäßige Updates schließen bekannte Sicherheitslücken und sind ein wesentlicher Bestandteil der DSGVO-Compliance.
6.) Protokollierung und Monitoring
Um Datenschutzvorfälle erkennen und dokumentieren zu können, müssen Zugriffsaktivitäten auf Systemen mit personenbezogenen Daten protokolliert werden.
Das ist auch die Grundlage für die gesetzlich vorgeschriebene Meldepflicht innerhalb von 72 Stunden.
7.) Sichere E-Mail-Kommunikation
E-Mails mit personenbezogenen Daten sollten verschlüsselt übertragen werden.
TLS-Verschlüsselung für die Übertragung und bei Bedarf Ende-zu-Ende-Verschlüsselung für besonders sensible Inhalte sind empfehlenswert.
8.) Mobile Geräte absichern
Smartphones und Laptops, auf denen personenbezogene Daten verarbeitet werden, müssen durch Geräteverschlüsselung, Bildschirmsperren und Remote-Wipe-Funktionen geschützt sein.
9.) Datenlöschung und Entsorgung
Nicht mehr benötigte Daten müssen sicher gelöscht werden.
Das gilt auch für ausgemusterte Hardware – eine einfache Formatierung reicht nicht aus.
10.) Dokumentation der Maßnahmen
Die DSGVO verlangt Nachweisbarkeit. Halte fest, welche Maßnahmen du umgesetzt hast – idealerweise in einem Verzeichnis von Verarbeitungstätigkeiten und einer TOMs-Dokumentation.
Was passiert bei einem Datenschutzvorfall?
Wenn personenbezogene Daten unbefugt offengelegt, verändert oder vernichtet werden, liegt ein meldepflichtiger Datenschutzvorfall vor.
Du hast dann 72 Stunden Zeit, diesen bei der zuständigen Datenschutzbehörde zu melden.
Ohne Monitoring, Protokollierung und dokumentierte Prozesse ist eine fristgerechte Meldung kaum möglich.
Fazit: DSGVO-Compliance und IT-Sicherheit gehen Hand in Hand
Wer seine IT-Sicherheit strukturiert aufstellt, erfüllt viele Anforderungen der DSGVO fast automatisch.
Beide Themen verfolgen dasselbe Ziel: den Schutz von Daten und Systemen.
Du möchtest wissen, ob eure IT die technischen Anforderungen der DSGVO erfüllt – oder möchtest du deine Maßnahmen dokumentieren lassen?
Wir unterstützen dich dabei gerne.