Startseite
BeLogical
cyber-security

Art. 32 DSGVO verständlich erklärt – Technische und organisatorische Maßnahmen im SaaS

Welche technischen und organisatorischen Massnahmen wirklich erwartet werden.

Tobias Lehmann
Autor
Tobias Lehmann - Consultant DSGVO

übersetzt Compliance-Anforderungen in Code und Prozesse. Statt Paragraphen zu zitieren, zeigt er, was im Alltag wirklich funktioniert.

Key Takeaways
Passende Dienstleistung
SecureLogical Logo SecureLogical

Passende Dienstleistung fuer dieses Thema: SecureLogical

Technische Pruefung & Redaktion: Ahmet Izler (CEO) - LinkedIn

Inhalt

Management Summary: ## Einführung: Warum Art. 32 der Kernartikel für SaaS ist Art. 32 DSGVO ist für SaaS-Anbieter einer der wichtigsten Artikel der Datenschutz-Grundverordnung. Er verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für SaaS-Anbieter bedeutet das: Die Sicherheit der

Einführung: Warum Art. 32 der Kernartikel für SaaS ist

Was ist art-32-dsgvo-verstaendlich? Die Definition für B2B

art-32-dsgvo-verstaendlich ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist art-32-dsgvo-verstaendlich essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.

Art. 32 DSGVO ist für SaaS-Anbieter einer der wichtigsten Artikel der Datenschutz-Grundverordnung. Er verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (TOM) umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für SaaS-Anbieter bedeutet das: Die Sicherheit der Datenverarbeitung ist nicht optional, sondern gesetzlich zwingend vorgeschrieben.

Dieser Artikel erklärt Art. 32 DSGVO verständlich und praxisnah, mit Fokus auf B2B-SaaS-Anwendungen. Er behandelt die wichtigsten Aspekte: Was bedeutet “Stand der Technik”? Welche TOM sind typisch für SaaS? Wie funktioniert der risikobasierte Ansatz? Und welche Fehler werden häufig gemacht?

Dieser Artikel ist ein Supporting-Artikel zum PILLAR-Artikel “DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung”, der die grundlegenden Aspekte der DSGVO im B2B-Kontext ausführlich behandelt.

Gesetzlicher Rahmen: Art. 32 DSGVO im Detail

Art. 32 DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Anforderungen sind in Art. 32 Abs. 1 DSGVO konkretisiert:

Die vier Grundprinzipien (Art. 32 Abs. 1 DSGVO)

Die TOM müssen folgende Grundprinzipien berücksichtigen:

Vertraulichkeit: Zugriff nur für berechtigte Personen, die zur Vertraulichkeit verpflichtet sind

Verfügbarkeit: Schutz vor Verlust und Sicherstellung der Verfügbarkeit bei Bedarf

Wichtig: Diese vier Grundprinzipien sind nicht optional, sondern gesetzlich zwingend vorgeschrieben. Sie müssen bei der Auswahl und Umsetzung von TOM berücksichtigt werden.

Risikobasierter Ansatz (Art. 32 Abs. 1 DSGVO)

Art. 32 Abs. 1 DSGVO verlangt einen risikobasierten Ansatz. Die Maßnahmen müssen dem Risiko angemessen sein, unter Berücksichtigung von:

Implementierungskosten: Die Kosten der Implementierung müssen in angemessenem Verhältnis zum Risiko stehen

Eintrittswahrscheinlichkeit und Schwere der Risiken: Wie wahrscheinlich ist ein Vorfall? Wie schwerwiegend wären die Folgen?

Praktisch: Nicht jedes Unternehmen muss die gleichen Maßnahmen umsetzen. Ein Startup mit wenigen Kunden hat andere Anforderungen als ein Enterprise-Unternehmen mit Millionen von Nutzern. Die Maßnahmen müssen jedoch immer dem Risiko angemessen sein.

Nachweispflicht (Art. 32 Abs. 1 lit. d DSGVO)

Art. 32 Abs. 1 lit. d DSGVO verlangt, dass die Wirksamkeit der TOM regelmäßig überprüft, bewertet und evaluiert wird. Dies bedeutet:

Penetrationstests: Regelmäßige Penetrationstests zur Identifikation von Schwachstellen

Dokumentation: Dokumentation der Maßnahmen und ihrer Wirksamkeit

  • Anpassung: Anpassung der Maßnahmen bei Änderungen des Risikos

Wichtig: Die Nachweispflicht bedeutet nicht nur, dass Maßnahmen umgesetzt werden müssen, sondern auch, dass ihre Wirksamkeit nachgewiesen werden muss. Dies ist besonders wichtig bei Audits durch Aufsichtsbehörden oder Kunden.

Was „Stand der Technik” bedeutet

Der Begriff “Stand der Technik” ist in Art. 32 DSGVO nicht explizit definiert, wird aber als Referenz für angemessene TOM herangezogen. Die Interpretation ist wichtig für Compliance.

Definition: Stand der Technik

“Stand der Technik” bedeutet nicht “neueste Technologie”, sondern:

Bewährte Standards: Standards, die von der Industrie anerkannt sind

Kosten-Nutzen-Verhältnis: Technologien, deren Kosten in angemessenem Verhältnis zum Nutzen stehen

Wichtig: “Stand der Technik” ist ein relativer Begriff. Was für ein Startup “Stand der Technik” ist, kann für ein Enterprise-Unternehmen unzureichend sein. Die Maßnahmen müssen dem Risiko und den Ressourcen angemessen sein.

Referenzstandards für “Stand der Technik”

Häufig werden folgende Standards als Referenz für “Stand der Technik” herangezogen:

BSI IT-Grundschutz: Deutsches Standardwerk für IT-Sicherheit

C5-Kriterien: Deutsche Anforderungen für Cloud-Dienste

Praktisch: Unternehmen sollten sich an diesen Standards orientieren, um sicherzustellen, dass sie “Stand der Technik” erfüllen. Eine Zertifizierung nach ISO 27001 oder SOC 2 Type II kann als Nachweis für “Stand der Technik” dienen.

Praxisnahe TOM: Typische Maßnahmen im B2B-SaaS

Für B2B-SaaS-Anbieter gelten folgende TOM als “Stand der Technik”. Diese Maßnahmen sollten von jedem SaaS-Anbieter umgesetzt werden, der personenbezogene Daten verarbeitet.

Zugangskontrolle

Zugangskontrolle stellt sicher, dass nur autorisierte Personen auf Daten zugreifen können:

Multi-Faktor-Authentifizierung (MFA): MFA für alle Nutzerkonten, insbesondere für Administratoren

Passwortrichtlinien: Komplexe Passwörter, regelmäßige Wechsel, keine Wiederverwendung

Protokollierung: Alle Zugriffe werden protokolliert (wer, wann, was)

Beispiel: Ein SaaS-Anbieter wie SecureLogical sollte MFA für alle Nutzerkonten verlangen und alle Zugriffe protokollieren, um unberechtigte Zugriffe zu erkennen und zu verhindern.

Verschlüsselung

Verschlüsselung schützt Daten vor unbefugtem Zugriff:

AES-256-Verschlüsselung: Verschlüsselung für ruhende Daten (at rest)

Schlüsselrotation: Regelmäßige Rotation von Verschlüsselungsschlüsseln

  • Tenant-Isolation: Separate Schlüssel pro Mandant in Multi-Tenant-Architekturen

Beispiel: Ein SaaS-Anbieter sollte alle Daten sowohl in transit (TLS) als auch at rest (AES-256) verschlüsseln, um sicherzustellen, dass Daten auch bei einem Sicherheitsvorfall geschützt sind.

Logging und Monitoring

Logging und Monitoring sind entscheidend für die Erkennung von Sicherheitsvorfällen:

Sicherheitsereignisse: Alle Sicherheitsereignisse werden protokolliert (fehlgeschlagene Login-Versuche, unberechtigte Zugriffe, etc.)

Alerting: Automatische Benachrichtigungen bei verdächtigen Aktivitäten

  • Retention: Logs werden für einen angemessenen Zeitraum gespeichert (z.B. 12 Monate)

Beispiel: Ein SaaS-Anbieter sollte alle Zugriffe auf Kundendaten protokollieren und mit einem SIEM-System überwachen, um unberechtigte Zugriffe frühzeitig zu erkennen.

Multi-Faktor-Authentifizierung (MFA)

MFA ist eine der wichtigsten Maßnahmen zur Verhinderung von unberechtigten Zugriffen:

Mehrere Faktoren: Kombination aus Wissen (Passwort), Besitz (Token, App) und Biometrie (Fingerabdruck)

Regelmäßige Überprüfung: Regelmäßige Überprüfung, ob MFA aktiviert ist

Beispiel: Ein SaaS-Anbieter sollte MFA für alle Nutzerkonten verlangen, um sicherzustellen, dass auch bei kompromittierten Passwörtern kein unberechtigter Zugriff möglich ist.

Backups und Wiederherstellung

Backups sind entscheidend für die Verfügbarkeit und Integrität von Daten:

Geografische Verteilung: Backups werden an verschiedenen Standorten gespeichert

Wiederherstellungstests: Regelmäßige Tests der Wiederherstellung (z.B. jährlich)

Versionierung: Backups werden versioniert, um auch ältere Versionen wiederherstellen zu können

Beispiel: Ein SaaS-Anbieter sollte tägliche Backups durchführen, die verschlüsselt an verschiedenen Standorten gespeichert werden, und jährlich Wiederherstellungstests durchführen, um sicherzustellen, dass Backups funktionieren.

Vulnerability-Management

Vulnerability-Management ist entscheidend für die Erkennung und Behebung von Sicherheitslücken:

Patch-Management: Sicherheitsupdates werden innerhalb von 30 Tagen nach Veröffentlichung installiert

Penetrationstests: Regelmäßige Penetrationstests (z.B. jährlich)

  • Code-Reviews: Code-Reviews vor dem Deployment

Beispiel: Ein SaaS-Anbieter sollte kontinuierlich nach Schwachstellen scannen, Sicherheitsupdates innerhalb von 30 Tagen installieren und jährlich Penetrationstests durchführen.

Risikobasierter Ansatz in der Praxis

Der risikobasierte Ansatz bedeutet, dass die Maßnahmen dem Risiko angemessen sein müssen. Die praktische Umsetzung:

Risikobewertung

Zuerst muss das Risiko bewertet werden:

Wie viele Personen sind betroffen? Ein höherer Umfang bedeutet ein höheres Risiko

Welche Schwachstellen bestehen? Technisch, organisatorisch, menschlich

  • Welche Auswirkungen hätte ein Vorfall? Finanziell, rechtlich, reputational

Maßnahmenauswahl

Basierend auf der Risikobewertung werden Maßnahmen ausgewählt:

Mittleres Risiko: Angemessene Maßnahmen (z.B. MFA, Verschlüsselung, regelmäßige Audits)

  • Niedriges Risiko: Grundlegende Maßnahmen (z.B. Passwortrichtlinien, Backups, Zugriffskontrolle)

Kontinuierliche Anpassung

Die Maßnahmen müssen kontinuierlich angepasst werden:

Anpassung bei Änderungen: Anpassung der Maßnahmen bei Änderungen des Risikos (z.B. neues Feature, mehr Nutzer, neue Bedrohungen)

  • Wirksamkeitsprüfung: Regelmäßige Prüfung, ob die Maßnahmen wirksam sind

Typische Fehler bei der Umsetzung von Art. 32 DSGVO

Bei der Umsetzung von Art. 32 DSGVO werden häufig Fehler gemacht. Die wichtigsten Fehler:

Fehler 1: Fehlende oder unvollständige Dokumentation

Problem: Viele Unternehmen dokumentieren ihre TOM nicht oder unvollständig.

Lösung: TOM-Liste erstellen, alle Maßnahmen dokumentieren, regelmäßig aktualisieren

Fehler 2: Fehlende Wirksamkeitsprüfung

Problem: Viele Unternehmen prüfen nicht, ob ihre TOM wirksam sind.

Lösung: Regelmäßige Audits, Penetrationstests, Vulnerability-Assessments

Fehler 3: Unzureichende Verschlüsselung

Problem: Viele Unternehmen verschlüsseln Daten nicht oder unzureichend.

Lösung: TLS 1.3 für Datenübertragung, AES-256 für ruhende Daten

Fehler 4: Fehlende MFA

Problem: Viele Unternehmen setzen MFA nicht um oder nur für Administratoren.

Lösung: MFA für alle Nutzerkonten verpflichtend machen

Fehler 5: Unzureichende Logging

Problem: Viele Unternehmen protokollieren Zugriffe nicht oder unvollständig.

Lösung: Alle Zugriffe protokollieren, SIEM-Systeme einsetzen, Logs für angemessenen Zeitraum speichern

Fehler 6: Unzureichende Backups

Problem: Viele Unternehmen führen keine oder unzureichende Backups durch.

Lösung: Regelmäßige Backups, geografische Verteilung, Verschlüsselung, Wiederherstellungstests

Fazit: Art. 32 DSGVO verständlich erklärt – Technische und organisatorische

Dieser Artikel beleuchtet die Facetten von Art. 32 DSGVO verständlich erklärt – Technische und organisatorische. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.

Cyber Security

Sicherheit für Ihr Unternehmen?

Wir schützen Systeme, Daten und Prozesse – von Risikoanalyse bis Maßnahmenplan.

Sicherheitscheck anfragen