software-wartung24.de
· 5 Min. Lesezeit· Sandor Farkas

DSGVO Stand der Technik: Was Artikel 32 verlangt

DSGVOComplianceSicherheit
Abstraktes Titelbild zum Thema DSGVO Stand der Technik: Was Artikel 32 verlangt (KI-generiert)

"Stand der Technik" ist einer der meistzitierten und am wenigsten verstandenen Begriffe der DSGVO. Er steht in Artikel 32 und verpflichtet Unternehmen, personenbezogene Daten technisch angemessen zu schützen. Was das konkret bedeutet, lässt der Text offen.

Dieser Artikel füllt diese Lücke. Mit den Mindeststandards, die Aufsichtsbehörden in der Praxis erwarten, und mit Hinweisen, woran ein Audit nach einem Vorfall scheitert.

Was Artikel 32 sagt

Artikel 32 DSGVO verlangt "unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung [...] geeignete technische und organisatorische Maßnahmen".

Dieser Satz wirkt unscharf. Tatsächlich ist er das gewollt. Der Gesetzgeber wollte nicht alle paar Jahre einen Katalog konkreter Technologien aktualisieren müssen.

In der Praxis hat sich aber ein klarer Erwartungshorizont gebildet. Aufsichtsbehörden, Gerichte und Branchenverbände orientieren sich an etablierten Standards wie BSI-Grundschutz, ISO 27001 oder den Richtlinien der ENISA. Wer diese Standards deutlich unterschreitet, hat ein Problem.

Mehr Kontext zum Begriff unter DSGVO-Compliance.

Aktuelle Software-Versionen

Der wichtigste Punkt zuerst. Eine Anwendung auf einer Sprachversion zu betreiben, für die es keine Sicherheits-Updates mehr gibt, gilt nicht als Stand der Technik. Punkt.

Konkret heißt das im Mai 2026:

  • PHP: Mindestens 8.2, besser 8.3 oder höher. PHP 7 und früher sind End of Life.
  • Node.js: Mindestens eine aktuelle LTS-Version. Ältere Linien erhalten keine Patches mehr.
  • Python: 3.10 oder neuer. Python 2 ist seit Jahren tot.
  • Java: LTS-Versionen wie 17 oder 21 werden noch unterstützt.
  • Frameworks: Symfony, Laravel, Spring Boot, Django und vergleichbare müssen in unterstützten Versionen laufen.
  • CMS: WordPress, Typo3, Joomla in aktuell gepflegten Hauptversionen.

Eine Aufsichtsbehörde, die nach einem Vorfall prüft, schaut sich genau diese Versionen an. Eine Antwort wie "Wir wollten upgraden, sind aber nicht dazugekommen" wirkt selten überzeugend.

Verschlüsselung in Transit und Ruhe

Daten müssen sowohl auf der Übertragung als auch in der Speicherung geschützt sein.

In Transit: HTTPS ist Pflicht, mit aktuellem TLS. Mindestens TLS 1.2, besser TLS 1.3. Veraltete Verfahren wie TLS 1.0 oder SSL gehören abgeschaltet. Zertifikate müssen gültig und automatisch erneuerbar sein.

At Rest: Datenbanken mit personenbezogenen Daten sollten verschlüsselt gespeichert sein. Backups gleichermaßen. Festplattenverschlüsselung auf Servern ist heute Standard.

Passwörter: Niemals im Klartext speichern. Auch nicht mit veralteten Verfahren wie MD5 oder SHA1. Aktuelle Standards sind bcrypt, Argon2 oder vergleichbare Verfahren mit ausreichend hohen Kostenfaktoren.

Wer Passwörter im Klartext findet oder schwache Hashes nutzt, hat im Auditfall keinen Verteidigungsspielraum.

Backups und Wiederherstellbarkeit

Backups gehören technisch zur Datenintegrität, die Artikel 32 ausdrücklich verlangt.

Drei Bedingungen müssen erfüllt sein.

Regelmäßigkeit. Tägliche Sicherungen sind bei den meisten Systemen Standard. Bei kritischen Systemen häufiger.

Trennung. Backups dürfen nicht auf demselben System liegen, das gesichert wird. Sonst zerstört ein Ransomware-Angriff beides. Eine Kopie an einem getrennten Ort, idealerweise offline oder mit Schreibschutz, ist Pflicht.

Wiederherstellung getestet. Ein nie geprüftes Backup ist kein Backup. Mindestens einmal pro Jahr sollte eine vollständige Wiederherstellung getestet werden.

Wer im Ernstfall feststellt, dass die Backups seit Monaten kaputt sind, hat einen kapitalen Fehler gemacht. Das passiert häufiger, als man denkt.

Zugriffskontrolle und Rechtevergabe

Personenbezogene Daten dürfen nur Personen erreichen, die sie für ihre Arbeit benötigen. Das nennt sich Need-to-know-Prinzip.

Mindeststandards sind:

  • Personalisierte Zugänge statt geteilter Sammelkonten.
  • Klare Rollen mit definierten Rechten.
  • Regelmäßige Überprüfung, wer noch Zugriff braucht.
  • Sperren von Konten beim Ausscheiden von Mitarbeitern, am besten am gleichen Tag.
  • Zwei-Faktor-Authentifizierung für Administratoren und privilegierte Konten.

Ein gemeinsamer "admin"-Zugang mit Passwort, das alle kennen, ist heute nicht mehr verteidigbar. Wer das nutzt, kann im Vorfall nicht einmal nachweisen, wer was gemacht hat.

Audit-Logs: Wer hat wann was getan?

Logs sind die Geschichte einer Anwendung. Sie zeigen, wer wann auf welche Daten zugegriffen hat. Im Vorfall sind sie das wichtigste Beweismittel.

Sinnvoll protokolliert werden sollten:

  • Anmeldungen und Anmeldefehler.
  • Zugriffe auf besonders sensible Daten.
  • Änderungen an Rechten und Konfigurationen.
  • Datenexporte und Massenoperationen.

Wichtig: Logs müssen ausreichend lange aufbewahrt werden, oft mindestens sechs Monate. Und sie müssen vor Manipulation geschützt sein. Ein Angreifer, der seine Spuren löschen kann, hinterlässt ein Loch in der Beweiskette.

Gleichzeitig dürfen Logs nicht ihrerseits unnötig viele personenbezogene Daten enthalten. Eine Anmelde-ID ja, das volle Passwort nein.

Was eine Aufsichtsbehörde nach einem Vorfall prüft

Wir haben mit Mandanten verschiedener Branchen erlebt, was nach einem Datenleck konkret abgefragt wird. Die Liste ist ähnlich.

Welche Software-Versionen waren im Einsatz? Konkret, mit Versionsnummern und Patch-Stand.

Wann wurde das letzte Sicherheitsupdate eingespielt? Mit Datum und Beleg.

Gab es ein systematisches Monitoring von Sicherheitslücken? Welches Werkzeug, welcher Prozess?

Wie sind die Zugänge geregelt? Listen aller berechtigten Konten, Rollenmodell, letzte Überprüfung.

Gibt es Audit-Logs des Vorfalls? Aus welcher Quelle? Wie weit zurück?

Wie wurde der Vorfall entdeckt? Aktiv durch Monitoring oder passiv durch externe Meldung?

Welche Wiederherstellungspläne gab es? Wurden sie getestet?

Wer hier keine Antworten hat, hat über die Sorgfaltspflicht hinaus auch ein Dokumentationsproblem. Das beeinflusst die Höhe möglicher Bußgelder erheblich.

Praktische Mindeststandards

Aus all dem lassen sich konkrete Mindeststandards ableiten. Diese Liste ist nicht abschließend, deckt aber ab, was in den meisten Fällen erwartet wird.

  • Software auf aktuell unterstützten Hauptversionen.
  • Sicherheitsupdates innerhalb von wenigen Tagen bis Wochen eingespielt.
  • HTTPS überall, mit aktuellem TLS.
  • Passwörter mit modernen Hash-Verfahren gespeichert.
  • Personalisierte Zugänge, Zwei-Faktor für Admins.
  • Tägliche Backups, getrennt gelagert, getestet wiederhergestellt.
  • Audit-Logs für kritische Aktionen, manipulationsgeschützt.
  • Dokumentierter Notfallplan mit Verantwortlichkeiten.
  • Jährliches Sicherheits-Audit für sensitive Systeme.

Mehr zur Umsetzung unter Sicherheits-Audit und Sicherheit & Härtung.

Fazit

"Stand der Technik" ist kein abstrakter Begriff, sondern eine konkrete Erwartungshaltung. Wer die etablierten Mindeststandards einhält, ist im Bedarfsfall verteidigungsfähig. Wer sie unterschreitet, läuft sehenden Auges in eine schwer entschuldbare Lage.

Die gute Nachricht: Die meisten dieser Standards sind technisch unspektakulär. Sie kosten kein Vermögen. Sie kosten Aufmerksamkeit und Routine. Genau das, was viele Systeme nicht bekommen, weil sie als "läuft doch" abgehakt sind.

Wenn Sie wissen wollen, wo Ihre Systeme im Vergleich zu diesen Standards stehen, machen wir einen Check. Jetzt Kontakt aufnehmen.

Weitere Artikel

Security Patch: Warum man Updates niemals ignorieren sollte
· 6 Min. Lesezeit

Security Patch: Warum man Updates niemals ignorieren sollte

Ein security patch schließt bekannte Sicherheitslücken in Software. Wer Updates ignoriert, lässt die Tür auf. Was wirklich passiert und warum jeder Monat ohne Patch das Risiko erhöht.

SicherheitSoftware-WartungUpdates
Datenbank-Optimierung: Warum Ihre alte Software immer langsamer wird
· 5 Min. Lesezeit

Datenbank-Optimierung: Warum Ihre alte Software immer langsamer wird

Datenbank-Optimierung wird bei alter Software oft zu lange aufgeschoben. Dabei ist die wachsende Langsamkeit kein Zufall, sondern das Ergebnis jahrelanger Vernachlässigung. Dieser Artikel erklärt, warum Ihre Datenbank träge wird und was Sie dagegen tun können.

DatenbankPerformanceLegacy Software
Was ist ein Framework? Der Baukasten für Software einfach erklärt
· 4 Min. Lesezeit

Was ist ein Framework? Der Baukasten für Software einfach erklärt

Was ist ein Framework? Dieser Artikel erklärt den Begriff verständlich für Nicht-Techniker. Sie erfahren, warum Frameworks Software schneller machen, und warum ein veraltetes Framework zum Problem werden kann.

Legacy GrundlagenModernisierungTechnische Schulden

Bereit, Ihre Software in gute Hände zu geben?

Das Erstgespräch ist kostenlos und unverbindlich. Wir schauen uns an, was Sie haben, und sagen Ihnen ehrlich, was möglich ist.

Kostenlose Erstberatung anfragen