Datenschutz

DSGVO Artikel 32: Sicherheit der Verarbeitung

DSGVO Artikel 32 verlangt angemessene technische und organisatorische Sicherheitsmaßnahmen: Verschlüsselung, Pseudonymisierung, Integrität, Verfügbarkeit, regelmäßige Tests.

Auch verfügbar in:English
TD
Dr. Thiébaut Devergranne
17. Mai 20265 min read

In einem Satz. DSGVO Artikel 32 verpflichtet Verantwortliche und Auftragsverarbeiter, angemessene technische und organisatorische Maßnahmen (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich (a) Pseudonymisierung und Verschlüsselung, (b) dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, © Fähigkeit zur Wiederherstellung nach einem Vorfall, (d) regelmäßige Tests und Bewertungen. Der Maßstab ist risikoangemessen — keine feste Checkliste — aber EDPB und nationale Behörden haben zunehmend detaillierte Leitlinien veröffentlicht.

Artikel 32 ist die am häufigsten zitierte DSGVO-Bestimmung in Datenschutzverletzungs-Meldungen. Bei einer Verletzung lautet die erste Frage immer: Waren die Sicherheitsmaßnahmen angemessen? Wenn ja, ist die Verletzung Unglück. Wenn nein, ist sie Fahrlässigkeit — und eine separate Sanktion.

Für die Meldepflichten selbst siehe Datenpanne melden DSGVO. Für verwandte Verpflichtungen, Datenschutz durch Technikgestaltung.

Wichtige Punkte

  • Artikel 32 Absatz 1 nennt vier illustrative Maßnahmen: Pseudonymisierung/Verschlüsselung, dauerhafte CIA + Belastbarkeit, Wiederherstellungsfähigkeit, regelmäßige Tests.
  • Der Maßstab ist risikoangemessen — nicht “best possible”.
  • Artikel 32 Absatz 2 verlangt die Berücksichtigung der Risiken durch versehentliche oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder Zugang.
  • Artikel 32 Absatz 4 verlangt vom Verantwortlichen sicherzustellen, dass jede Person mit Zugang Daten nur auf Anweisung verarbeitet.
  • ISO 27001/27701 + BSI-Empfehlungen bieten den praktischen Mindeststandard.

1. Artikel 32 Text — die vier illustrativen Maßnahmen

Artikel 32 Absatz 1 nennt technische und organisatorische Maßnahmen soweit angemessen:

  • (a) Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • (b) Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • © Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • (d) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

2. Risikoangemessen — was es bedeutet

Das Schutzniveau muss angemessen sein zu:

  • Stand der Technik
  • Implementierungskosten
  • Art, Umfang, Umstände, Zwecke der Verarbeitung
  • Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen

Übersetzung:

  • Verarbeitung von 50 Kunden-E-Mails für eine kleine E-Commerce → grundlegende Maßnahmen (HTTPS, MFA auf Admin, verschlüsselte Backups)
  • Verarbeitung von 10 Mio. Gesundheitsdaten für ein Krankenhaus → Enterprise-Grade (Verschlüsselung mit HSM-Schlüsseln, ISO 27001 zertifiziert, 24/7 SOC, jährliche Penetrationstests)

3. Praktischer Mindeststandard

Für jede Organisation, die personenbezogene Daten verarbeitet, unabhängig von der Größe, der praktische Mindeststandard:

Bereich Mindestmaßnahme
Verschlüsselung in Übertragung TLS 1.2 Mindest (TLS 1.3 bevorzugt)
Verschlüsselung im Ruhezustand AES-256 für sensible Daten
Authentifizierung MFA verpflichtend für Admin- und Fernzugriff
Zugangskontrolle Rollenbasiert, Least Privilege, periodische Überprüfung
Protokollierung Zugriff auf sensible Daten protokolliert, Logs ≥1 Jahr
Patch Management Sicherheitspatches innerhalb angemessener SLA
Backups Getestete Wiederherstellung, ≥30 Tage aufbewahrt, isoliert
Vorfallsreaktion Dokumentiertes Playbook, Verletzungsmeldung innerhalb 72h
Lieferantensicherheit AV-Vertrag + Due Diligence (ISO 27001, SOC 2)
Sensibilisierung Jährliche Sicherheitsschulung dokumentiert

4. Verschlüsselung — die am häufigsten zitierte Maßnahme

Artikel 32 Absatz 1 Buchstabe a nennt Verschlüsselung ausdrücklich. BfDI und EDPB betrachten Verschlüsselung als “Stand der Technik” — das Versäumnis, sensible Daten zu verschlüsseln, wenn die Technologie weit verbreitet ist, wird allgemein als unzureichende Sicherheit behandelt.

Datenklasse Verschlüsselungserwartung
Authentifizierungsdaten Hashed (bcrypt, argon2)
Besondere Kategorien (Gesundheit, Biometrie) Verschlüsselung im Ruhezustand obligatorisch
Finanz-/Zahlungsdaten Verschlüsselung im Ruhezustand obligatorisch + PCI DSS
Allgemeine personenbezogene Daten Verschlüsselung im Ruhezustand stark erwartet
Backups Verschlüsselung im Ruhezustand obligatorisch
Daten in Übertragung TLS 1.2+ universell

5. Pseudonymisierung — die unterausgenutzte Maßnahme

Pseudonymisierung (Artikel 4 Nr. 5) bedeutet, Daten so zu verarbeiten, dass sie nicht mehr einer bestimmten Person zugeordnet werden können ohne zusätzliche Informationen, die separat aufbewahrt werden.

6. Regelmäßige Tests (Artikel 32 Absatz 1 Buchstabe d)

Die Fähigkeit, die TOM-Wirksamkeit im Laufe der Zeit zu überprüfen. Praktische Umsetzungen:

  • Penetrationstests: jährlich mindestens, häufiger bei hohem Risiko
  • Schwachstellenscans: kontinuierlich
  • Zugangsüberprüfung: vierteljährlich mindestens
  • Backup-Wiederherstellungstest: monatlich
  • Vorfallsreaktions-Übung: jährliches Table-Top
  • Interne Prüfung: jährlich

7. Artikel 32 Absatz 4 — Anweisungen an Mitarbeiter

Der Verantwortliche muss sicherstellen, dass jede unterstellte natürliche Person mit Zugang zu personenbezogenen Daten diese nur auf Anweisung des Verantwortlichen verarbeitet.

Übersetzung:

  • Nutzungscharta von Mitarbeitern unterzeichnet
  • Dokumentierte Datenverarbeitungsverfahren
  • Schulung
  • Sanktionen für unbefugte Verarbeitung

8. ISO 27001 und ISO 27701 Abstimmung

  • ISO 27001: Informationssicherheits-Management — eng mit Artikel 32 abgestimmt
  • ISO 27701: Datenschutz-Informationsmanagement — Erweiterung von 27001 speziell für DSGVO
  • Zertifizierung beweist Artikel 32-Compliance nicht automatisch, ist aber starker Nachweis in Audits.

9. Sanktionen bei Artikel 32-Verstößen

Jahr Sanktion Artikel 32-Unzulänglichkeit
2019 British Airways (ICO) — 20 Mio. £ Keine MFA, schwache Netzwerksegmentierung
2020 1&1 (BfDI) — 9,55 Mio. € Authentifizierungsmängel
2020 Marriott (ICO) — 18,4 Mio. £ Unzureichende Due Diligence bei Starwood-IT
2022 Vodafone Deutschland (BfDI) — 1,4 Mio. € Mängel bei Partner-Authentifizierung

Artikel 83 Absatz 4 Buchstabe a setzt Artikel 32-Verstöße auf die niedrigere Bußgeldstufe — bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.

10. Implementierungs-Checkliste

  • ☐ Risikobewertung pro Verarbeitungstätigkeit dokumentiert
  • ☐ TOM im Verzeichnis-Anhang dokumentiert
  • ☐ Verschlüsselung: im Ruhezustand (AES-256), in Übertragung (TLS 1.2+), in Backups
  • ☐ MFA verpflichtend für Admin + sensible Konten
  • ☐ Zugangsprotokolle für sensible Daten, ≥1 Jahr aufbewahrt
  • ☐ Patch-Management-SLA dokumentiert und eingehalten
  • ☐ Backup mit getesteter Wiederherstellung
  • ☐ Vorfallsreaktions-Playbook + 72h-Meldeprozess
  • ☐ Jährlicher Penetrationstest durchgeführt
  • ☐ Jährliche Sicherheitsschulung für alle Mitarbeiter
  • ☐ Nutzungscharta von Mitarbeitern unterzeichnet (Artikel 32 Absatz 4)
  • ☐ Lieferanten-AVV + Due Diligence (ISO 27001 / SOC 2)

11. Werkzeuge

Legiscope führt die TOM-Dokumentation parallel zum Verzeichnis, alarmiert bei fehlenden Maßnahmen pro Verarbeitungstätigkeit und integriert sich in Lieferanten-Sicherheitsfragebögen.

Für verwandte Themen: Datenpanne melden DSGVO, Datenschutz durch Technikgestaltung, Datenschutz-Folgenabschätzung.

Fazit

Artikel 32 ist risikoangemessen, aber nicht optional. Der praktische Mindeststandard — TLS, MFA, Verschlüsselung, Logs, Backups, Tests — ist für jede Organisation erreichbar. Artikel 32-Sanktionen folgen, nachdem eine Verletzung unzureichende Sicherheit offengelegt hat; vorher angemessene Maßnahmen aufzubauen ist erheblich günstiger.

FAQ

Was verlangt DSGVO Artikel 32?

Angemessene technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung — risikoangemessen. Illustrative Maßnahmen sind Pseudonymisierung, Verschlüsselung, dauerhafte Vertraulichkeit/Integrität/Verfügbarkeit/Belastbarkeit, Wiederherstellungsfähigkeit und regelmäßige Tests.

Ist Verschlüsselung nach DSGVO verpflichtend?

Artikel 32 Absatz 1 Buchstabe a nennt Verschlüsselung als Beispiel einer angemessenen Maßnahme. Während nicht strikt obligatorisch, betrachtet der EDPB Verschlüsselung als Stand der Technik.

Wie oft muss ich Sicherheitsmaßnahmen testen?

Artikel 32 Absatz 1 Buchstabe d verlangt “regelmäßige” Tests — typischerweise jährliche Penetrationstests, monatliche Backup-Wiederherstellungstests, vierteljährliche Zugangsüberprüfungen.

Erfüllt eine ISO 27001-Zertifizierung Artikel 32?

Sie ist starker Nachweis, aber keine automatische Compliance. Die Behörde bewertet immer noch die tatsächliche Umsetzung, insbesondere in Verletzungskontexten.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →