DSGVO

Was IT-Verantwortliche wissen müssen?

Die Datenschutz-Grundverordnung (DSGVO) bildet seit ihrem Inkrafttreten am 25. Mai 2018 den verbindlichen Rechtsrahmen für die Verarbeitung personenbezogener Daten innerhalb der Europäischen Union. Für IT‑Verantwortliche hat sie weitreichende Auswirkungen, da viele Anforderungen unmittelbar technische und organisatorische Maßnahmen betreffen. Dieser Artikel fasst die wesentlichen Punkte zusammen, die für den IT‑Betrieb relevant sind.


Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren Prinzipien, die jede Datenverarbeitung erfüllen muss:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine gültige Rechtsgrundlage vorliegt – etwa Einwilligung, Vertragserfüllung oder berechtigtes Interesse.
  • Zweckbindung
    Daten dürfen nur für klar definierte und legitime Zwecke erhoben und verarbeitet werden.
  • Datenminimierung
    Es sollen nur die Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind.
  • Richtigkeit der Daten
    IT‑Systeme müssen ermöglichen, dass Daten korrigiert oder aktualisiert werden können.
  • Speicherbegrenzung
    Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.
  • Integrität und Vertraulichkeit
    Technische Maßnahmen müssen sicherstellen, dass Daten geschützt sind – etwa gegenüber unbefugtem Zugriff, Verlust oder Manipulation. Diese Prinzipien bilden die Grundlage, anhand derer IT‑Architekturen, Prozesse und Tools geprüft werden müssen.

Verantwortlichkeiten und Rollen im IT‑Umfeld

Die DSGVO definiert zwei zentrale Rollen:

  • Verantwortlicher: Das Unternehmen, das über Zweck und Mittel der Datenverarbeitung entscheidet.
  • Auftragsverarbeiter: Externe Dienstleister, die personenbezogene Daten im Auftrag verarbeiten (z. B. Cloud‑Anbieter, Hosting-Services, IT‑Support).

IT‑Verantwortliche müssen sicherstellen, dass für jeden Auftragsverarbeiter ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen wurde und die technischen Sicherheitsmaßnahmen nachweislich überprüft werden.

Technische und organisatorische Maßnahmen (TOMs)

Die DSGVO fordert ein angemessenes Schutzniveau, abhängig von Risiko, Art und Umfang der Daten. Zu den typischen TOMs gehören:

  • Zugriffskontrollen (z. B. MFA, Rollen- und Rechtekonzepte)
  • Verschlüsselung von Daten in Ruhe und in Übertragung
  • Protokollierung und Monitoring sicherheitsrelevanter Ereignisse
  • Regelmäßige Sicherheitsupdates und Patch-Management
  • Sicherheitsaudits und Vulnerability‑Scanning
  • Backup‑ und Wiederherstellungsstrategien
  • Schulung der Mitarbeitenden in Datenschutz und Datensicherheit

IT‑Abteilungen müssen diese Maßnahmen dokumentieren und regelmäßig überprüfen.

Datenschutz durch Technikgestaltung (Privacy by Design)

Art. 25 DSGVO verpflichtet IT‑Teams dazu, Datenschutz bereits bei der Entwicklung, Auswahl und Konfiguration von Systemen zu berücksichtigen. Dazu gehören:

  • datensparsame Voreinstellungen („Privacy by Default“)
  • klare Berechtigungskonzepte
  • sichere Standardkonfigurationen
  • Minimierung von Log‑ oder Trackingdaten, sofern nicht notwendig
  • Auswahl datenschutzfreundlicher Softwarelösungen

IT‑Verantwortliche haben hier eine zentrale Rolle, da Architektur und technische Entscheidungen maßgeblich beeinflussen, ob Systeme DSGVO‑konform arbeiten.

Umgang mit Sicherheitsvorfällen (Incident Response)

Ein Datenschutzvorfall muss innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden – sofern ein Risiko für betroffene Personen besteht. Deshalb müssen IT‑Abteilungen:

  • ein funktionierendes Incident‑Management‑Verfahren etablieren,
  • Meldeketten definieren,
  • Systeme zur Anomalie- und Angriffserkennung bereitstellen,
  • Vorfälle vollständig dokumentieren.

Insbesondere Ransomware‑Angriffe fallen unter meldepflichtige Vorfälle, wenn personenbezogene Daten betroffen sind.

Betroffenenrechte technisch umsetzen

Unternehmen müssen sicherstellen, dass folgende Rechte innerhalb gesetzlicher Fristen erfüllt werden können:

  • Auskunft (Art. 15)
  • Berichtigung (Art. 16)
  • Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch gegen Verarbeitung (Art. 21)

Die IT-Abteilungen müssen Daten exportieren, ändern oder löschen können, ohne den operativen Betrieb einzuschränken.

Dokumentations- und Nachweispflichten

Die DSGVO verlangt eine umfassende Dokumentation, zu der auch IT‑Verantwortliche beitragen müssen. Dazu gehören:

  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Nachweis über Datensicherheitsmaßnahmen
  • interne Richtlinien (z. B. Passwort‑Policy, BYOD, Backup‑Policy)
  • AV‑Verträge mit Dienstleistern
  • Protokolle über Schulungen und Sicherheitsmaßnahmen

Die Nachweispflicht bedeutet: Nicht nur umsetzen – sondern auch nachweisen.

Haben wir Ihr Interesse geweckt?

KONTAKTIEREN SIE UNS!