Art. 32 DSGVO bei Cyber‑Attacken: Warum Unternehmen jetzt besonders gefordert sind

Cyber‑Attacken zählen längst zu den größten Risiken für Unternehmen jeder Größe. Die Datenschutzbehörden reagieren darauf mit verstärkten Prüfungen – insbesondere im Hinblick auf die technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 DSGVO. Für Sie als Verantwortliche bedeutet das: Ihre Sicherheitsmaßnahmen müssen nachweislich dem aktuellen Stand der Technik entsprechen und regelmäßig bewertet werden.

1. Art. 32 DSGVO – Ihr zentraler Schutzwall gegen Cyber‑Angriffe

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter dazu, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören insbesondere:

• Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten
• Stand‑der‑Technik‑Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Pseudonymisierung
• Regelmäßige Evaluierung und Aktualisierung der Sicherheitsmaßnahmen

Dies bestätigt auch die EDPB‑Leitlinie, wonach Art. 32 sowohl Verantwortliche als auch Auftragsverarbeiter unmittelbar verpflichtet und detailliert im Vertrag abzubilden ist.

2. Behörden prüfen verstärkt: Cyber‑Security & IT‑Sicherheit im Fokus

Aktuelle Praxis zeigt, dass Datenschutzbehörden – etwa BayLDA – Organisationen bereits systematisch anhand umfangreicher Checklisten zu Art. 32 prüfen. Besonders im Blickfeld stehen dabei:

• Awareness der Mitarbeiter, da diese zunehmend Ziel raffinierter Social‑Engineering‑Angriffe werden
• Authentifizierungsmechanismen, Schutz vor Passwortmissbrauch und Einsatz starker Passwörter oder 2‑FA
• Protokollierung von Systemereignissen, um Angriffe und Datenpannen korrekt bewerten zu können
• Business‑Continuity‑Management einschließlich Notfallplänen und Backup‑Strategien zum Schutz vor Ransomware

Diese Aspekte zeigen: Die Aufsichtsbehörden erwarten von Ihnen ein nachvollziehbar dokumentiertes Sicherheitskonzept, das aktiv gelebt wird – nicht nur ein theoretisches Papier.

3. Software‑Sicherheit als Kernkomponente des Art. 32 DSGVO

Ein zentraler Punkt: Software‑ und Systemlandschaften müssen sicher konfiguriert, aktuell und überprüfbar sein.

a) Sichere Softwareentwicklung & -auswahl (Security‑by‑Design)

Die BayLDA‑Checkliste betont ausdrücklich, dass Datenschutz und Sicherheit bereits bei der Softwareentwicklung sowie der Auswahl von Softwareprodukten berücksichtigt werden müssen:

• Code‑Scans und Penetrationstests
• strikte Trennung zwischen Entwicklungs‑ und Produktivsystemen
• sichere Quellcode‑Verwaltung
• regelmäßige Update‑ und Patchprozesse
  

b) Technische Maßnahmen in SaaS‑ und Cloud‑Umgebungen

Die TOM‑Listen und AV‑Verträge in Unternehmensdokumentationen zeigen typische Anforderungen:

• Verschlüsselung mobiler Datenträger und Systeme
• Protokollierung von Zugriffen und Änderungen
• Einsatz von Firewalls, Virenscannern, IDS/IPS
• regelmäßige Sicherheits‑Updates der Systeme
• Nutzung vertrauenswürdiger und zertifizierter Dienstleister
  

c) Schutz vor Cyber‑Angriffen durch spezialisierte Software

Im Verarbeitungsverzeichnis wird der gezielte Einsatz von Schutzsoftware wie SiteLock, Security‑Plugins, Malware‑Scans, SSL‑Zertifikaten und WordPress‑Sicherheitsmechanismen als zentrale Sicherheitsmaßnahme genannt.

Dies zeigt: Moderne Software‑Sicherheitskonzepte sind kein „Kann“, sondern ein verpflichtender Bestandteil Ihrer Art.‑32‑Compliance.

4. Cyber‑Attacken: Behörden erwarten schnelle Reaktion und lückenlose Dokumentation

Die EDPB‑Leitlinien zur Meldung von Datenschutzverletzungen machen klar:

• Sie müssen Datenschutzverletzungen erkennen, bewerten und melden können.
• Eine verspätete oder unterlassene Meldung kann Sanktionen nach Art. 83 DSGVO nach sich ziehen.

Daher sind Incident‑Response‑Pläne und dokumentierte Abläufe zwingend erforderlich.

‍

‍