Das sind die Vorgaben zur IT Sicherheit in der DSGVO
Die Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen nicht nur dazu auf, personenbezogene Daten zu schützen, sondern stellt auch indirekte...
Sie haben Fragen zu Produkte und Dienstleistungen?
IT Security Blog abonnieren um immer auf dem neuesten Stand zu bleiben.
Managed Security
Weitere IT-Sicherheitslösungen
Managed Services
Weitere IT-Servicelösungen
Unsere KI-Lösungen
Karriere bei BRANDMAUER IT
Kostenlose Downloads
Weiterbildungen
Kostenlose Webinaraufzeichnungen
Unser Blog
Kundenstimmen und Partner
Coworking bei uns
Software-Lösungen
4 Min. Lesezeit
Volker Bentz
:
03.07.2026 13:19:13
Eine Datenpanne. Die Datenschutzbehörde meldet sich. Die erste Frage: „Können Sie nachweisen, welche technischen und organisatorischen Maßnahmen Sie zum Schutz personenbezogener Daten getroffen haben?" Viele Geschäftsführer zeigen in diesem Moment auf ihre IT-Dokumentation und hoffen, das reicht. Meistens reicht es nicht.
Ein Datenschutzkonzept ist kein Synonym für IT-Sicherheit. Es ist ein eigenständiges Dokument, das die DSGVO in vielen Unternehmen faktisch voraussetzt, ohne es so zu nennen.
Was genau hineingehört, wen es betrifft und wie es sich vom IT-Sicherheitskonzept abgrenzt, lesen Sie hier.
Ein Datenschutzkonzept ist ein strukturiertes Dokument, das beschreibt, wie ein Unternehmen personenbezogene Daten erhebt, verarbeitet, speichert und schützt. Es bildet die Grundlage dafür, dass Datenschutz im Betrieb nicht als Absichtserklärung existiert, sondern als nachweisbarer Prozess.
Die rechtliche Basis liefern Artikel 24 und Artikel 32 der DSGVO. Artikel 24 verpflichtet Verantwortliche dazu, geeignete technische und organisatorische Maßnahmen umzusetzen und deren Wirksamkeit nachweisen zu können. Ein Datenschutzkonzept ist genau dieser schriftliche Nachweis.
Datenschutzkonzept
Ein Datenschutzkonzept dokumentiert systematisch, welche personenbezogenen Daten ein Unternehmen verarbeitet, auf welcher Rechtsgrundlage, mit welchen Schutzmaßnahmen und wie Betroffenenrechte gewahrt werden. Es ist der schriftliche Nachweis der DSGVO-Compliance nach Art. 24 und Art. 32.
Der Begriff taucht in der DSGVO selbst nicht wörtlich auf. Das bedeutet aber nicht, dass er optional ist. Wer im Fall einer Prüfung oder eines Vorfalls keine dokumentierte Grundlage vorweisen kann, trägt die volle Beweislast, und die liegt nach DSGVO beim Unternehmen, nicht bei der Behörde.
Ein vollständiges Datenschutzkonzept deckt mehr ab als die reine IT. Es umfasst rechtliche, organisatorische und technische Ebenen gleichzeitig. Die folgenden Bestandteile gehören in jedes Datenschutzkonzept, das einer Prüfung standhalten soll.
Jedes Unternehmen, das personenbezogene Daten verarbeitet. Das trifft in der Praxis auf alle zu, die Mitarbeiter beschäftigen, Kunden haben oder Lieferanten bezahlen. Eine Ausnahme gibt es nicht.
Einige Erleichterungen gelten für Unternehmen unter 250 Mitarbeitern beim formalen Verarbeitungsverzeichnis, aber die Pflicht zu geeigneten Schutzmaßnahmen und deren Nachweis gilt unabhängig von der Unternehmensgröße. Wer im Fall einer Prüfung kein Konzept vorweisen kann, riskiert Bußgelder nach Art. 83 DSGVO, die sich nach Umsatz richten und keine Untergrenze für kleine Unternehmen kennen.
Für Unternehmen, die einen Datenschutzbeauftragten bestellen müssen oder dies freiwillig tun, ist ein formales Datenschutzkonzept besonders relevant. Der Datenschutzbeauftragte braucht eine dokumentierte Grundlage, auf der er arbeiten und berichten kann. Wer sich fragt, ob ein Datenschutzbeauftragter Pflicht ist und wie sich diese Rolle vom IT-Sicherheitsbeauftragten unterscheidet, findet die Antwort in unserem Artikel zu Datenschutzbeauftragter und IT-Sicherheitsbeauftragter im Vergleich.
Beide Dokumente schützen Informationen, verfolgen aber unterschiedliche Ziele und stützen sich auf unterschiedliche Rechtsgrundlagen. In der Praxis werden sie häufig verwechselt oder fälschlicherweise als dasselbe behandelt.
Die beiden Konzepte überschneiden sich dort, wo es um technische Schutzmaßnahmen geht. Verschlüsselung, Zugriffskontrollen, sichere Löschverfahren, Backup-Konzepte: Diese Maßnahmen tauchen in beiden Dokumenten auf, weil sie sowohl datenschutzrechtlich geboten als auch IT-sicherheitstechnisch notwendig sind.
Trotzdem sind es getrennte Dokumente mit getrennter Logik. Das Datenschutzkonzept argumentiert vom Recht zur Technik: Eine Verarbeitung ist nur zulässig, wenn die richtigen Maßnahmen getroffen sind. Das IT-Sicherheitskonzept argumentiert von der Technik zum Risiko: Welche Systeme haben welche Schwachstellen, und wie werden diese adressiert. Welche konkreten DSGVO-Anforderungen an die IT-Sicherheit sich daraus für Unternehmen ergeben, haben wir gesondert zusammengefasst.
Ein Datenschutzkonzept ersetzt kein IT-Sicherheitskonzept, und umgekehrt. Wer nur eines von beiden hat, hat eine Lücke: rechtlich durch Bußgelder und Haftungsrisiken beim Datenschutzkonzept, operativ durch Ausfälle und Angriffe beim IT-Sicherheitskonzept.
Der sinnvolle Einstieg ist eine strukturierte Bestandsaufnahme, die beide Ebenen gleichzeitig in den Blick nimmt: Was verarbeiten wir, wie ist unsere IT aufgestellt, und wo klaffen Schutzmaßnahmen und tatsächlicher Bedarf auseinander?
FAQ
Die DSGVO nennt den Begriff „Datenschutzkonzept" nicht explizit, verlangt aber in Artikel 24 und Artikel 32 den dokumentierten Nachweis geeigneter technischer und organisatorischer Maßnahmen. Ein Datenschutzkonzept ist der praktischste Weg, diesen Nachweis zu führen. Wer im Fall einer Prüfung kein dokumentiertes Konzept vorweisen kann, trägt die Beweislast selbst.
Ein vollständiges Datenschutzkonzept enthält das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, die technischen und organisatorischen Maßnahmen (TOMs), die Rechtsgrundlagen für jede Datenverarbeitung, Prozesse für Betroffenenrechte, den Datenpannen-Meldeprozess sowie bei Bedarf eine Datenschutz-Folgenabschätzung. Ergänzend gehört ein Schulungskonzept für Mitarbeiter dazu.
Das Datenschutzkonzept fokussiert auf personenbezogene Daten, Rechtsgrundlagen und Betroffenenrechte auf Basis der DSGVO. Das IT-Sicherheitskonzept schützt die gesamte IT-Infrastruktur vor Angriffen und Ausfällen, unabhängig davon ob personenbezogene Daten betroffen sind, und basiert auf technischen Standards wie BSI-Grundschutz oder ISO 27001. Beide Dokumente überschneiden sich bei den technischen Schutzmaßnahmen, sind aber eigenständige Werke mit unterschiedlicher Logik.
Verantwortlich ist nach DSGVO die Geschäftsführung als datenschutzrechtlich Verantwortliche. Die operative Umsetzung liegt beim Datenschutzbeauftragten, sofern einer bestellt ist. In Unternehmen ohne eigene Ressourcen übernimmt häufig ein externer Datenschutzbeauftragter diese Aufgabe. Die IT-Abteilung liefert die technischen Angaben, trägt aber nicht die rechtliche Verantwortung für das Konzept.
Die Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen nicht nur dazu auf, personenbezogene Daten zu schützen, sondern stellt auch indirekte...
Die gesetzlichen Anforderungen an die IT Sicherheit seitens des Gesetzgebers sind hoch. Dabei existieren nicht nur zahlreiche Gesetzestexte, die sich...
Die Frage nach dem Unterschied zwischen den Begriffen Datenschutz und Datensicherheit kommt häufig bei Mitarbeiterschulungen auf. Denn oftmals werden...