Cybervize - Cybersecurity Beratung

Artikel 32 DSGVO: Sicherheit der Verarbeitung als Brücke zum ISMS

DSGVO & ISO 27701CISODatenschutzbeauftragterISMS ManagerGeschäftsführung

Kernaussage

Artikel 32 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) ist der präziseste Andockpunkt zwischen Recht und Informationssicherheit. Er verpflichtet Verantwortliche und Auftragsverarbeiter, "geeignete technische und organisatorische Maßnahmen" zu treffen, um ein dem Risiko "angemessenes Schutzniveau" zu gewährleisten, und zwar unter Berücksichtigung des "Stands der Technik". Diese drei Begriffe sind die Rechtsbrücke zum ISMS: Die DSGVO definiert Pflicht und Schutzziel, ein Managementsystem nach ISO/IEC 27001 oder IT-Grundschutz liefert das nachweisbare "Wie".

Für die Führung heißt das: Art. 32 ist keine isolierte Datenschutz-Anforderung, die der Datenschutzbeauftragte allein trägt, sondern eine bußgeldbewehrte Sicherheitspflicht, die operativ über das ISMS erfüllt und belegt wird. Wer Datenschutz und Informationssicherheit getrennt steuert, erzeugt doppelte Arbeit und Lücken im Nachweis.

Problem in der Praxis

In vielen Organisationen leben zwei Welten nebeneinander. Der Datenschutz pflegt ein Verzeichnis von Verarbeitungstätigkeiten und eine Liste technischer und organisatorischer Maßnahmen (TOMs), oft als statisches Dokument. Die Informationssicherheit betreibt ein ISMS mit Risikoregister, Maßnahmen und Nachweisen. Beide beschreiben dieselbe Realität, nutzen aber unterschiedliche Sprache, Taktung und Eigentümer.

Das fällt spätestens auf, wenn es ernst wird. Eine Aufsichtsbehörde fragt nach dem Nachweis "angemessener" Maßnahmen, ein Großkunde verlangt im Audit den Beleg für Verschlüsselung und Wiederherstellbarkeit, oder ein Vorfall löst parallel die Meldepflicht nach Art. 33 aus. Dann zeigt sich, dass die TOM-Liste nicht mit dem tatsächlichen Stand im ISMS übereinstimmt. Die DSGVO verlangt jedoch nicht nur Maßnahmen, sondern in Art. 32 ausdrücklich ein Verfahren zur regelmäßigen Überprüfung und Bewertung ihrer Wirksamkeit. Eine eingefrorene Liste erfüllt das nicht.

CISO-Einordnung

Art. 32 ist bewusst technologieneutral und risikoorientiert formuliert. Er schreibt keine konkrete Maßnahme vor, sondern fordert eine Abwägung. Maßgeblich sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung, abgewogen gegen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Diese Logik ist deckungsgleich mit der Risikobehandlung eines ISMS.

Der Artikel nennt einige Maßnahmen konzeptionell als mögliche Bausteine, unter anderem Pseudonymisierung und Verschlüsselung, die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme dauerhaft sicherzustellen, die rasche Wiederherstellbarkeit nach einem Zwischenfall sowie das genannte Wirksamkeitsverfahren. Das sind keine Pflicht-Checklisten, sondern Zielzustände. Ein ISMS übersetzt sie in konkrete, dokumentierte und geprüfte Controls.

Zur Einordnung: Eine ISO-Zertifizierung ist ein starkes Indiz und ein gutes Nachweisinstrument für die Rechenschaftspflicht aus Art. 5 Abs. 2 und Art. 24, sie ist aber kein Rechtskonformitätsnachweis. Eine Zertifizierung ersetzt weder die rechtliche Bewertung durch den Datenschutzbeauftragten noch die Beurteilung durch eine Aufsichtsbehörde. ISMS-Reife und DSGVO-Konformität korrelieren, sie sind aber nicht identisch.

Umsetzungsperspektive

Der wirksamste Hebel ist, Art. 32 nicht als separate TOM-Verwaltung zu führen, sondern als Anforderungsquelle in das bestehende ISMS einzuhängen. Praktisch bedeutet das:

  • Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30) und das Asset- bzw. Risikoregister des ISMS werden verknüpft, sodass schutzbedürftige personenbezogene Verarbeitungen als Werte im ISMS auftauchen.
  • Der Schutzbedarf personenbezogener Daten fließt als Risikofaktor in die ISMS-Risikobewertung ein. Das Schutzziel "Rechte und Freiheiten natürlicher Personen" wird dabei zusätzlich zu den klassischen Unternehmensrisiken betrachtet.
  • Die TOMs werden nicht doppelt gepflegt, sondern als Sicht auf die ohnehin im ISMS geführten Maßnahmen und deren Nachweise erzeugt.
  • Das Wirksamkeitsverfahren aus Art. 32 wird durch die Prüf- und Review-Taktung des ISMS bedient, etwa interne Audits, Managementbewertung und Tests der Wiederherstellbarkeit.

So entsteht eine Anforderung, eine Maßnahme und ein Nachweis statt paralleler Artefakte. Der Datenschutzbeauftragte behält die rechtliche Beurteilung, der CISO verantwortet Betrieb und Nachweis der Maßnahmen.

Typische Fehler

  1. Die TOM-Liste wird einmal erstellt und nie wieder an den tatsächlichen ISMS-Stand angepasst, womit das Wirksamkeitsverfahren faktisch fehlt.
  2. "Stand der Technik" wird als Maximalstandard missverstanden statt als risikoangemessene Abwägung inklusive Verhältnismäßigkeit und Kosten.
  3. Eine ISO-Zertifizierung wird als Beleg für DSGVO-Konformität präsentiert, obwohl sie die rechtliche Bewertung nicht ersetzt.
  4. Verschlüsselung wird pauschal als Allheilmittel angenommen, ohne Schlüsselmanagement, Geltungsbereich und Wirksamkeit zu prüfen.
  5. Auftragsverarbeiter werden vertraglich nach Art. 28 gebunden, ihre tatsächlichen Maßnahmen nach Art. 32 aber nie verifiziert.

Risiken und Trade-offs

Art. 32 zwingt zu einer echten Abwägung, und jede Abwägung ist angreifbar. Wer zu defensiv interpretiert, überinvestiert in Maßnahmen, die der Risikolage nicht entsprechen, und bindet Mittel, die anderswo fehlen. Wer zu knapp interpretiert, riskiert, dass Maßnahmen im Schadensfall als nicht "angemessen" bewertet werden, mit Folgen bis hin zu Bußgeldern im oberen Rahmen der DSGVO.

Ein zweiter Trade-off liegt in der Integration selbst. Die enge Kopplung von Datenschutz und ISMS spart Aufwand und schließt Lücken, verwischt aber Verantwortlichkeiten, wenn Rollen nicht sauber getrennt bleiben. Die rechtliche Beurteilung und die operative Maßnahmensteuerung dürfen organisatorisch verbunden, müssen aber rollenseitig unterscheidbar bleiben.

Drittens ist der "Stand der Technik" beweglich. Was heute angemessen ist, kann morgen überholt sein. Ohne wiederkehrende Neubewertung veraltet die Beurteilung still.

Entscheidungspunkte

  • Führen wir TOMs als eigenständiges Datenschutz-Artefakt oder als Sicht auf das ISMS-Maßnahmenregister?
  • Wie wird der Schutzbedarf personenbezogener Daten methodisch in die ISMS-Risikobewertung integriert?
  • Welche Verarbeitungen rechtfertigen aufgrund von Schwere und Eintrittswahrscheinlichkeit überdurchschnittliche Maßnahmen, und welche nicht?
  • Wer entscheidet final über die Angemessenheit: Datenschutzbeauftragter, CISO, Geschäftsführung, und wie wird diese Entscheidung dokumentiert?
  • Wie verifizieren wir die Maßnahmen unserer Auftragsverarbeiter, statt nur vertragliche Zusagen zu sammeln?

Praktische Empfehlungen

  1. Behandeln Sie Art. 32 als Anforderungsquelle für das ISMS, nicht als separate Liste. Verknüpfen Sie Verarbeitungsverzeichnis und Risikoregister.
  2. Dokumentieren Sie die Abwägung, nicht nur das Ergebnis. Halten Sie fest, warum eine Maßnahme im Verhältnis zum Risiko angemessen ist.
  3. Machen Sie das Wirksamkeitsverfahren aus der ISMS-Taktung heraus nachweisbar, etwa über interne Audits und Wiederherstellungstests.
  4. Trennen Sie Rollen sauber: rechtliche Beurteilung beim Datenschutzbeauftragten, Maßnahmenbetrieb und Nachweis beim CISO, Entscheidung bei der Leitung.
  5. Synchronisieren Sie den Vorfallprozess so, dass die 72-Stunden-Meldepflicht nach Art. 33 aus demselben Incident-Prozess bedient wird wie weitere Meldepflichten.
  6. Holen Sie bei verbindlichen Auslegungs- und Angemessenheitsfragen rechtlichen Rat ein und beziehen Sie Leitlinien der Aufsichtsbehörden ein.

Relevante Normreferenzen

  • DSGVO (Verordnung (EU) 2016/679): Art. 32 (Sicherheit der Verarbeitung), Art. 5 Abs. 1 lit. f und Abs. 2 (Integrität/Vertraulichkeit, Rechenschaftspflicht), Art. 24, 25, 28, 30, 33. DSGVO-Volltext ist amtliches EU-Recht und frei zitierbar (EUR-Lex).
  • ISO/IEC 27001: Referenz für das Managementsystem, das die TOMs nach Art. 32 operativ trägt (reference-only, keine Control-Listen).
  • ISO/IEC 27701: Referenz als Privacy-Management-Erweiterung bzw. eigenständige Norm und gängiges Nachweisinstrument (reference-only).
  • NIST Privacy Framework und CSF: governance- und outcome-seitige Ergänzung ohne unmittelbare Rechtsbindung.

Häufige Fragen

Was fordert Art. 32 DSGVO?+

Geeignete technische und organisatorische Maßnahmen, die unter Berücksichtigung des Stands der Technik und des Risikos ein angemessenes Schutzniveau gewährleisten, samt regelmäßiger Wirksamkeitsprüfung.

Erfüllt eine ISO/IEC-27001-Zertifizierung automatisch Art. 32?+

Nein. Sie ist ein starkes Nachweisinstrument für die Rechenschaftspflicht, ersetzt aber nicht die rechtliche Bewertung oder die Beurteilung durch eine Aufsichtsbehörde.

Muss ich TOMs getrennt vom ISMS führen?+

Nicht zwingend. Wirksamer ist es, TOMs als Sicht auf das ISMS-Maßnahmenregister zu erzeugen, damit Anforderung, Maßnahme und Nachweis zusammenfallen.

Bedeutet "Stand der Technik" maximale Sicherheit?+

Nein. Es ist eine risikoangemessene Abwägung, die Implementierungskosten, Art und Zweck der Verarbeitung sowie Wahrscheinlichkeit und Schwere des Risikos einbezieht.

Wer entscheidet über die Angemessenheit?+

Die Beurteilung verbindet rechtliche Sicht (Datenschutzbeauftragter), operative Sicht (CISO) und Leitungsentscheidung; bei verbindlichen Fragen sind Aufsichtsbehörden und Rechtsberatung einzubeziehen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen DSGVO & ISO 27701 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dsgvo-002.