Der technische Datenschutz im Unternehmen entscheidet darüber, ob die rechtlichen Pflichten der DSGVO im Tagesgeschäft tatsächlich eingehalten werden oder ob ein Datenschutzkonzept nur auf dem Papier existiert. Während die juristischen Grundlagen oft gut dokumentiert sind, klaffen in der technischen Umsetzung – also bei den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO – in vielen mittelständischen Organisationen erhebliche Lücken. Verschlüsselung wird punktuell eingesetzt, Zugriffsrechte sind historisch gewachsen, Protokollierung fehlt oder ist nicht auswertbar. Dieser Beitrag beschreibt das technische Pflichtenheft, das Geschäftsführungen, IT-Leitungen und Datenschutzkoordinatoren zur Verfügung stehen muss, wenn sie die Anforderungen aus Rechenschaftspflicht, Stand der Technik und Auditierbarkeit erfüllen wollen. Im Mittelpunkt stehen die operativen Bausteine: Schutzbedarfsfeststellung, Verschlüsselungskonzept, Zugriffsmanagement, Protokollierung und Wirksamkeitsprüfung.
Vom Schutzziel zur Maßnahme: das Pflichtenheft nach Art. 32 DSGVO
Art. 32 DSGVO verlangt vom Verantwortlichen ein angemessenes Schutzniveau, das sich am Stand der Technik, den Implementierungskosten und dem Risiko für die betroffenen Personen orientiert. Drei Schutzziele bilden den Rahmen, an dem sich jede technische Maßnahme messen lassen muss: Vertraulichkeit, Integrität und Verfügbarkeit. Hinzu kommen die Belastbarkeit der Systeme sowie die Möglichkeit, die Daten nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
In der Praxis bedeutet das: Es genügt nicht, eine Liste von Maßnahmen zu führen. Jede Maßnahme muss einem konkreten Schutzziel zugeordnet, regelmäßig auf Wirksamkeit überprüft und im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein. Wer hier strukturiert vorgeht, schafft die Grundlage für eine prüffeste Datenschutzorganisation – und entlastet zugleich die IT, weil unnötige oder doppelte Kontrollen vermieden werden.
Schutzbedarfsfeststellung: das fehlende Fundament
Bevor technische Maßnahmen ausgewählt werden, muss der Schutzbedarf der jeweiligen Verarbeitung ermittelt sein. Das BSI-Grundschutz-Vorgehen unterscheidet drei Stufen – normal, hoch, sehr hoch – und bewertet diese getrennt für Vertraulichkeit, Integrität und Verfügbarkeit. In der Praxis wird dieser Schritt oft übersprungen, was zu zwei typischen Fehlern führt: Überschutz banaler Daten und Unterschutz sensibler Verarbeitungen.
Typische Schutzbedarfsklassen
| Datenkategorie | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|
| Allgemeine Geschäftskorrespondenz | normal | normal | normal |
| Personalakten | hoch | hoch | normal |
| Gesundheitsdaten (BEM, Schwerbehindertenstatus) | sehr hoch | hoch | hoch |
| Lohnabrechnungsdaten | hoch | sehr hoch | hoch |
| Bewerberdaten | hoch | normal | normal |
| Bestandskundenstammdaten | normal | hoch | hoch |
Die Schutzbedarfsfeststellung sollte gemeinsam mit der Fachabteilung erfolgen, nicht in der IT allein. Die Frage „Was passiert, wenn diese Daten in die falschen Hände geraten oder unbemerkt verändert werden?“ muss aus der Geschäftslogik beantwortet werden – nicht aus dem Bauchgefühl der Systemadministration.
Verschlüsselung: Konzept statt Punktlösung
Verschlüsselung ist die wichtigste Einzelmaßnahme zur Wahrung der Vertraulichkeit. Sie wirkt nur, wenn sie als Konzept umgesetzt wird, das alle relevanten Zustände der Daten abdeckt: Daten in Bewegung (Transport), Daten in Ruhe (Speicher) und Daten in Verarbeitung (Arbeitsspeicher, Logs, temporäre Dateien).
Transportverschlüsselung
Für die Kommunikation gilt TLS 1.2 als Mindestanforderung, TLS 1.3 als Stand der Technik. Veraltete Cipher Suites müssen serverseitig deaktiviert sein. E-Mail-Kommunikation mit personenbezogenen Daten erfordert je nach Schutzbedarf zusätzlich Ende-zu-Ende-Verschlüsselung (S/MIME oder PGP) oder einen abgesicherten Versandweg über ein Portal. Die transportverschlüsselte Übergabe an einen Cloud-Speicher genügt nicht, wenn die Daten dort unverschlüsselt abgelegt werden.
Festplatten- und Container-Verschlüsselung
Die Festplattenverschlüsselung mobiler Endgeräte ist heute Mindeststandard und sollte zentral verwaltet werden – inklusive Wiederherstellungsschlüssel im Sicherheitsverwahr. Für Datenbanken empfiehlt sich Transparent Data Encryption auf Tablespace-Ebene, für besonders sensible Inhalte zusätzlich eine spaltenbasierte Verschlüsselung mit getrennter Schlüsselverwaltung.
Schlüsselmanagement
Der häufigste Fehler in der Praxis liegt nicht in fehlender Verschlüsselung, sondern in mangelhaftem Schlüsselmanagement. Schlüssel, die auf demselben System wie die Daten liegen, oder Master-Passwörter, die mehreren Administratoren bekannt sind, entwerten die kryptografische Schutzwirkung. Ein professionelles Schlüsselmanagement umfasst dokumentierte Verfahren zur Erzeugung, Rotation, Hinterlegung und Vernichtung von Schlüsseln. In sicherheitskritischen Umgebungen kommen Hardware-Security-Module (HSM) zum Einsatz.
Zugriffskontrolle: Prinzipien, Rollen und das Need-to-know
Zugriffskontrolle ist die zweite Säule des technischen Datenschutzes. Drei Prinzipien strukturieren das Vorgehen: Need-to-know, Least Privilege und Funktionstrennung. Need-to-know bedeutet, dass Zugriff nur dort gewährt wird, wo er für die Aufgabenerfüllung tatsächlich erforderlich ist. Least Privilege beschränkt den Umfang der eingeräumten Rechte auf das fachlich Notwendige. Funktionstrennung verhindert, dass kritische Vorgänge von einer einzigen Person allein abgewickelt werden können – etwa Stammdatenpflege und Zahlungsfreigabe.
Rollenbasierte Zugriffskontrolle (RBAC)
Statt individueller Berechtigungen werden Rollen definiert, denen Rechte zugeordnet sind. Nutzer erhalten Rollen, keine Einzelrechte. Vorteile dieses Ansatzes: deutlich reduzierte Verwaltungskomplexität, leichtere Auditierbarkeit, klar dokumentierte Berechtigungsbäume. Die Rollen sollten sich an den fachlichen Funktionen orientieren, nicht an organisatorischen Hierarchien.
Joiner-Mover-Leaver-Prozess
Der prozessual heikelste Punkt ist der Wechsel von Berechtigungen. Drei Ereignisse müssen sauber abgebildet werden:
- Joiner: Neue Mitarbeitende erhalten ihre Rollen vor dem ersten Arbeitstag durch HR-IT-Abstimmung, nicht informell auf Zuruf.
- Mover: Bei internen Wechseln werden alte Rollen entzogen, neue zugewiesen. Häufig wird der Entzug vergessen, sodass Berechtigungen akkumulieren („Berechtigungs-Drift“).
- Leaver: Beim Ausscheiden sind sämtliche Zugänge spätestens am letzten Arbeitstag zu sperren, einschließlich Cloud-Diensten, externer Tools und VPN-Zugänge.
In vielen Mittelständlern liegt der Anteil verwaister Konten – also Konten ehemaliger Mitarbeitender, die noch aktiv sind – in einer Größenordnung, die ein eigenständiges Risiko darstellt. Eine halbjährliche Berechtigungsrevision (Recertification) durch die Fachverantwortlichen ist Pflicht.
Authentifizierung: Mehrfaktor als Mindeststandard
Passwörter allein sind keine angemessene Authentifizierung mehr. Für jeden Zugriff auf Systeme mit personenbezogenen Daten – insbesondere aus dem Internet – gilt Mehrfaktor-Authentifizierung (MFA) als Stand der Technik. Wo möglich, sollten phishingresistente Verfahren wie FIDO2 oder Smartcards zum Einsatz kommen. SMS-basierte Verfahren gelten als überholt; sie sollten nur dort eingesetzt werden, wo keine besseren Mechanismen zur Verfügung stehen.
Eine Mehrfaktor-Authentifizierung, die nur den Erstzugang absichert, aber nach einmaliger Anmeldung eine unbegrenzt lange Session zulässt, ist halbierte Sicherheit. Sessions mit Zugriff auf Personendaten dürfen nicht beliebig lang gültig sein.
Privilegierte Konten – Administratoren, Service-Accounts mit weitreichenden Rechten – erfordern eine zusätzliche Schicht: Privileged Access Management (PAM) mit Session-Aufzeichnung, Just-in-Time-Aktivierung und kurzer Geltungsdauer.
Protokollierung und Auswertung
Ohne Protokollierung lässt sich weder ein Sicherheitsvorfall rekonstruieren noch die Wirksamkeit von Maßnahmen nachweisen. Gleichzeitig stellt jede Protokollierung selbst eine Verarbeitung personenbezogener Daten dar – sie unterliegt damit den gleichen Anforderungen, die sie überwachen soll.
Was protokolliert wird
- Anmeldungen und Anmeldeversuche (erfolgreich, fehlgeschlagen)
- Änderungen an Berechtigungen und Rollen
- Zugriffe auf besonders schützenswerte Datenbestände
- Administrative Eingriffe in Systeme
- Datenexporte und Massenabfragen
Wie ausgewertet wird
Logdaten, die nur gesammelt, aber nicht ausgewertet werden, erzeugen Aufwand ohne Nutzen. Ein SIEM-System (Security Information and Event Management) korreliert Ereignisse und löst bei Anomalien Alarme aus. Für kleinere Organisationen genügt anfangs eine zentrale Logsammlung mit definierten Alarmregeln, etwa für unzulässige Geschäftszeiten-Zugriffe oder ungewöhnlich hohe Exportvolumina.
Pseudonymisierung und Datenminimierung
Pseudonymisierung ist nach Art. 32 DSGVO ausdrücklich genannt und wird vielfach unterschätzt. Sie reduziert das Risiko, indem sie die direkte Zuordnung zwischen Daten und Person aufhebt, ohne den fachlichen Nutzen vollständig zu entziehen. Wo Daten für Analysen, Tests oder Trainings benötigt werden, sind pseudonymisierte oder synthetische Datensätze in der Regel ausreichend – und deutlich sicherer als Echtdaten in Entwicklungs- oder Testumgebungen.
Datenminimierung ergänzt die Pseudonymisierung um den Aspekt der Erforderlichkeit: Daten, die nicht erhoben werden, müssen auch nicht geschützt werden. Vor jeder neuen Verarbeitung empfiehlt sich die Prüfung, welche Datenfelder tatsächlich für den Zweck erforderlich sind. Optionale Felder in Eingabemasken sind ein häufiger Schwachpunkt.
Wirksamkeitsprüfung und Auditierbarkeit
Art. 32 Abs. 1 Buchstabe d DSGVO verlangt ausdrücklich ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen. Diese Prüfung ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess. In der Praxis bewährt sich ein dreistufiges Vorgehen.
Stufe 1: Selbstauskunft der Fachbereiche
Quartalsweise prüfen die Fachverantwortlichen, ob die in ihrem Bereich vereinbarten Maßnahmen tatsächlich gelebt werden – etwa, ob Berechtigungen aktuell sind, Schulungen absolviert wurden, Verfahrensanweisungen bekannt sind.
Stufe 2: Technische Kontrolle
Die IT prüft halbjährlich technische Indikatoren: Patch-Stand, Verschlüsselungsabdeckung, Anteil aktiver MFA-Konten, Vorhandensein verwaister Konten, fehlerhafte Protokollierungspfade.
Stufe 3: Externe oder unabhängige Auditierung
Jährlich – oder bei wesentlichen Änderungen – erfolgt eine unabhängige Überprüfung, idealerweise durch einen externen Auditor oder die interne Revision. Anlehnung an ISO/IEC 27001 oder den BSI-Grundschutz erleichtert die Strukturierung.
Drittlandübermittlung: technische Schutzgarantien nach Schrems II
Werden personenbezogene Daten an Empfänger außerhalb des Europäischen Wirtschaftsraums übermittelt – etwa durch den Einsatz US-amerikanischer Cloud-Anbieter – reichen Standardvertragsklauseln allein nicht aus. Erforderlich ist eine zusätzliche Risikobewertung (Transfer Impact Assessment) und – wo sie sinnvoll und wirksam möglich ist – die Ergänzung durch technische Schutzmaßnahmen. Verschlüsselung mit Schlüsselverwahrung im Inland, Pseudonymisierung vor Übermittlung oder die Verarbeitung auf europäischen Datentreuhänder-Strukturen sind die gebräuchlichen Werkzeuge. Eine pauschale Übermittlungsfreigabe für Standarddienste existiert nicht; jeder Datenfluss muss einzeln bewertet werden.
Schwachstellenmanagement und Penetrationstests
Technische Maßnahmen verlieren ihre Wirksamkeit, wenn die zugrundeliegenden Systeme verwundbar sind. Ein dokumentiertes Schwachstellenmanagement umfasst regelmäßige Scans, definierte Reaktionszeiten je nach Kritikalität und einen geschlossenen Patch-Zyklus. Für besonders schützenswerte Verarbeitungen empfehlen sich zusätzlich jährliche Penetrationstests durch unabhängige Stellen, mindestens jedoch nach wesentlichen Änderungen an der Systemlandschaft.
Die Reaktionszeiten orientieren sich an der Kritikalität: kritische Schwachstellen innerhalb von 72 Stunden, hohe Schwachstellen innerhalb von zwei Wochen, mittlere binnen 30 Tagen. Wer diese Fristen festschreibt und ihre Einhaltung misst, schafft einen belastbaren Nachweis für Aufsichtsbehörden und Auditoren.
Sensibilisierung als technische Maßnahme
Die menschliche Komponente ist die häufigste Ursache erfolgreicher Angriffe. Schulung allein ist keine TOM, aber die Kombination aus Schulung, simulierten Phishing-Kampagnen und auswertbarem Lernerfolgsnachweis zählt durchaus zu den organisatorischen Maßnahmen nach Art. 32 DSGVO. Sinnvoll sind kurze, themenfokussierte Lerneinheiten quartalsweise statt einmal jährlich ein langes Pflichtmodul, das niemand erinnert. Die Auswertung der Phishing-Simulationen sollte aggregiert und nicht personenbezogen erfolgen – andernfalls entsteht ein eigenständiges Datenschutzproblem.
Häufige Stolperfallen
Aus der Beratungspraxis lassen sich typische Schwachstellen identifizieren, die immer wieder auftreten und vermeidbar sind:
- Schatten-IT: Fachabteilungen nutzen Cloud-Dienste, die nie in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen wurden. Die Aufdeckung erfolgt häufig erst im Rahmen eines Incidents.
- Veraltete Auftragsverarbeitungsverträge: Anbieterwechsel oder Funktionserweiterungen werden nicht vertraglich nachgezogen, die TOM-Anlage ist Jahre alt.
- Backups ohne Wiederherstellungstest: Sicherungen werden angelegt, aber nie zurückgespielt. Im Ernstfall fehlt der Nachweis der Verfügbarkeit.
- Pauschale Berechtigungen: Gruppen wie „alle Mitarbeitenden Vertrieb“ haben Zugriff auf alle Kundendaten, obwohl regional differenziert werden könnte.
- Testdaten in Echtsystemen: Echtdaten werden ungefiltert in Test- und Entwicklungsumgebungen kopiert, häufig mit weniger restriktiven Zugriffsrechten.
Schritt-für-Schritt: Aufbau eines technischen Datenschutzkonzepts
- Verzeichnis der Verarbeitungstätigkeiten konsolidieren und aktualisieren.
- Schutzbedarfsfeststellung je Verarbeitung – Vertraulichkeit, Integrität, Verfügbarkeit.
- TOM-Katalog erstellen, mit Schutzziel-Zuordnung und Verantwortlichkeit.
- Verschlüsselungs- und Schlüsselmanagement-Konzept definieren, inklusive Verfahren für Rotation und Hinterlegung.
- Rollen- und Berechtigungskonzept entwickeln, RBAC einführen, Joiner-Mover-Leaver-Prozess automatisieren.
- MFA verpflichtend einführen, privilegierte Konten in PAM einbinden.
- Zentrale Protokollierung aufbauen, Alarmregeln definieren, regelmäßige Auswertung sicherstellen.
- Wirksamkeitsprüfung dreistufig etablieren, Dokumentation in einem zentralen System.
- Schulungs- und Sensibilisierungskonzept umsetzen, Wiederholungen jährlich.
- Externe Auditierung mindestens jährlich oder bei wesentlichen Änderungen.
Datenschutz-Folgenabschätzung als technische Pflicht
Bei voraussichtlich hohem Risiko ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Sie ist kein juristisches Beiwerk, sondern eine strukturierte technische Risikoanalyse mit konkreten Maßnahmenableitungen. Der Aufsichtsbehörden-Mindestkatalog umfasst eine systematische Beschreibung der Verarbeitung, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung und die geplanten Schutzmaßnahmen.
Typische Auslöser sind die systematische Überwachung öffentlicher Bereiche, umfangreiche Verarbeitungen besonderer Datenkategorien oder der Einsatz neuer Technologien wie KI-gestützter Entscheidungssysteme. Wer hier rechtzeitig dokumentiert, vermeidet im Streitfall Beweisnot.
Stand der Technik: ein bewegliches Ziel
Der Begriff „Stand der Technik“ ist dynamisch. Was vor fünf Jahren angemessen war, kann heute unzureichend sein. Orientierungsrahmen liefern die Handreichungen des Bundesamts für Sicherheit in der Informationstechnik, die Empfehlungen der Datenschutzkonferenz und Normen wie ISO/IEC 27001, ISO/IEC 27701 sowie der BSI-Grundschutz-Kompendium. Eine technische Datenschutzorganisation, die diese Quellen nicht aktiv beobachtet, gerät zwangsläufig ins Hintertreffen.
FAQ
Wie unterscheidet sich technischer Datenschutz von Informationssicherheit?
Informationssicherheit schützt alle schützenswerten Informationen einer Organisation – auch nicht personenbezogene. Technischer Datenschutz konzentriert sich auf personenbezogene Daten und erfüllt die spezifischen Anforderungen der DSGVO. In der praktischen Umsetzung überschneiden sich beide Disziplinen weitgehend; ein integriertes Managementsystem nach ISO 27001 und ISO 27701 deckt beide Bereiche ab.
Reicht eine Festplattenverschlüsselung auf dem Notebook aus?
Festplattenverschlüsselung ist eine notwendige, aber nicht hinreichende Maßnahme. Sie schützt vor unbefugtem Zugriff bei Verlust oder Diebstahl im ausgeschalteten Zustand. Im laufenden Betrieb, bei Übertragungen ins Netzwerk oder beim Zugriff auf Cloud-Dienste wirkt sie nicht. Erst das Zusammenspiel mit Transportverschlüsselung, Zugriffskontrolle und Authentifizierung ergibt ein wirksames Schutzkonzept.
Welche Schlüsselrotation ist angemessen?
Eine pauschale Frist existiert nicht. Üblich sind Rotationen alle zwölf bis 24 Monate für Verschlüsselungsschlüssel produktiver Systeme, sofortige Rotation bei begründetem Kompromittierungsverdacht und kürzere Intervalle für besonders sensible Daten. Entscheidend ist, dass das Verfahren dokumentiert ist und tatsächlich praktiziert wird.
Müssen alle Backups verschlüsselt sein?
Backups, die personenbezogene Daten enthalten und außerhalb der gesicherten Produktionsumgebung gelagert oder transportiert werden, sollten verschlüsselt sein. Das gilt insbesondere für Auslagerungen zu externen Dienstleistern, Versand auf Wechselmedien und Cloud-Backups. Die Schlüsselverwahrung muss vom Backup selbst getrennt erfolgen.
Wie oft ist eine Berechtigungsrevision durchzuführen?
Empfohlen sind halbjährliche Recertifications für Standardrollen und vierteljährliche oder ad-hoc-Reviews für privilegierte Konten. Bei wesentlichen organisatorischen Änderungen – Restrukturierungen, Übernahmen, Auslagerungen – ist zusätzlich eine außerplanmäßige Revision durchzuführen.
Sind cloudbasierte Dienste mit technischem Datenschutz vereinbar?
Ja, sofern der Anbieter geeignete TOM nachweist, ein belastbarer Auftragsverarbeitungsvertrag besteht und – bei Drittlandbezug – die zusätzlichen Anforderungen aus den Schrems-II-Folgeentscheidungen erfüllt sind. Eine eigenständige Verschlüsselung der Daten vor der Übermittlung („Bring Your Own Key“ oder externe Schlüsselverwaltung) erhöht das Schutzniveau zusätzlich.
Hinweis: Dieser Beitrag gibt ausschließlich die redaktionellen Ansichten der Redaktion von cyberschutzbetrieb.de wieder. Er stellt keine Rechtsberatung dar und ersetzt nicht die Beratung durch eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt. Für rechtlich verbindliche Auskünfte zu Ihrem konkreten Fall wenden Sie sich bitte an einen zugelassenen Rechtsbeistand.
