← Zurück zum Blog
Datenschutz 10 min Lesezeit

DSGVO Security Audit: Technische Anforderungen nach Artikel 32

Die DSGVO verlangt "geeignete technische Maßnahmen" zum Schutz personenbezogener Daten. Aber was bedeutet das konkret? Dieser Leitfaden zeigt, was Auditoren prüfen — und wie Sie bestehen.


Was Artikel 32 DSGVO fordert

"Der Verantwortliche und der Auftragsverarbeiter treffen [...] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."

— Art. 32 Abs. 1 DSGVO

Der Artikel nennt konkret:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten
  2. Vertraulichkeit, Integrität, Verfügbarkeit der Systeme sicherstellen
  3. Wiederherstellung der Verfügbarkeit nach Vorfällen
  4. Regelmäßige Überprüfung der Wirksamkeit der Maßnahmen

Das Problem: "Angemessen" ist subjektiv

Die DSGVO definiert nicht präzise, welche Maßnahmen erforderlich sind. Bei einem Audit müssen Sie nachweisen, dass Ihre Maßnahmen dem Risiko "angemessen" sind. Das erfordert Dokumentation.


Was Auditoren prüfen

1. Schwachstellenmanagement

Auditoren fragen:

Best Practice

Mindestens wöchentliche Scans, kritische Schwachstellen innerhalb von 72h behoben. Dokumentation aller Scans mit Zeitstempel.

2. Verschlüsselung

BereichAnforderung
Data at RestAES-256 oder gleichwertig
Data in TransitTLS 1.3, HTTPS überall
BackupsVerschlüsselt gespeichert
SchlüsselmanagementDokumentierter Prozess

3. Zugriffskontrolle

4. Logging & Monitoring

5. Incident Response


DSGVO Security Audit Checkliste

Technische Kontrollen

KontrolleStatusNachweis
Vulnerability ScanningScan-Reports
Patch ManagementPatch-Protokolle
Verschlüsselung (Rest)Technische Doku
Verschlüsselung (Transit)SSL-Zertifikate
MFA implementiertSystem-Config
ZugriffsprotokolleLog-Auszüge
Backup-TestsRecovery-Protokolle
Firewall-RegelnFirewall-Config
Endpoint ProtectionAV-Reports
NetzwerksegmentierungNetzwerkdiagramm

Organisatorische Kontrollen

KontrolleStatusNachweis
Security PolicyDokument
MitarbeiterschulungSchulungsnachweise
Incident Response PlanIR-Dokument
Vendor ManagementAV-Verträge
Data ClassificationKlassifizierungsschema

Bußgelder bei Verstößen

Bei Verstößen gegen Art. 32 drohen:

Beispiele aus der Praxis:

UnternehmenVerstoßBußgeld
MarriottUnzureichende Sicherheit€20,4 Mio.
British AirwaysDatenpanne€22 Mio.
H&MÜberwachung Mitarbeiter€35,3 Mio.

Wie KENSAI beim Audit hilft

Security Audit vorbereiten

Kostenloser Scan zeigt Ihre aktuelle Sicherheitslage.

Jetzt scannen →

Weiterführend

Datenschutz durch Technik. Sicher durch Design.

🗡️ Das KENSAI Team

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home