Grundlagen

DSGVO IT-Anforderungen — Was Ihr IT-Setup braucht

Was die DSGVO von Ihrer IT verlangt

Die DSGVO (Datenschutz-Grundverordnung) klingt nach Juristenthema. Ist es auch — teilweise. Aber ein großer Teil der DSGVO betrifft direkt Ihre IT-Infrastruktur. Artikel 32 verlangt “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten.

Was “geeignet” bedeutet, hängt vom Risiko ab. Eine Kanzlei mit Mandantendaten braucht strengere Maßnahmen als ein Grafikbüro mit Kundenadressen. Aber Grundmaßnahmen gelten für alle.

Dieser Artikel erklärt, was die DSGVO konkret für Ihr IT-Setup bedeutet — keine Rechtsberatung, sondern praktische IT-Maßnahmen, die Sie umsetzen können.

Die 8 technischen Maßnahmen, die jedes Unternehmen braucht

1. Verschlüsselung

Was die DSGVO verlangt: Daten müssen vor unbefugtem Zugriff geschützt sein — bei Speicherung und Übertragung.

Was Sie konkret tun:

  • Festplattenverschlüsselung auf allen Rechnern und Laptops. Windows: BitLocker aktivieren. Mac: FileVault ist standardmäßig aktiv. Wenn ein Laptop gestohlen wird, sind die Daten ohne Passwort unlesbar.
  • Backup-Verschlüsselung. Jedes Backup muss verschlüsselt sein. Ein unverschlüsseltes Backup auf einer externen Festplatte ist eine DSGVO-Zeitbombe.
  • VPN für Fernzugriff. Kein unverschlüsselter Zugriff auf Firmendaten von außen. VPN oder nichts.
  • HTTPS für alles. Ihre Website, Ihr Webmail, Ihr Cloud-Zugang — alles über HTTPS. Unverschlüsselte Verbindungen sind nicht akzeptabel.

Aufwand: Gering. BitLocker und FileVault sind in Windows und macOS eingebaut. VPN-Einrichtung: 2-4 Stunden für einen IT-Dienstleister.

2. Zugriffskontrolle

Was die DSGVO verlangt: Nur berechtigte Personen dürfen auf personenbezogene Daten zugreifen.

Was Sie konkret tun:

  • Individuelle Benutzerkonten. Kein “Chef-PC”, den alle nutzen. Jeder Mitarbeiter hat ein eigenes Konto mit eigenem Passwort.
  • Prinzip der geringsten Berechtigung. Ein Mitarbeiter hat nur Zugriff auf die Daten, die er für seine Arbeit braucht. Nicht auf alles. Konkret: Ordnerberechtigungen setzen, Dateizugriff einschränken.
  • Adminrechte einschränken. Normale Mitarbeiter brauchen keine Administratorrechte. Das reduziert das Risiko von Schadsoftware und versehentlichen Änderungen enorm.
  • Multi-Faktor-Authentifizierung (MFA). Für alle Zugänge, die von außen erreichbar sind: E-Mail, VPN, Cloud-Dienste. Passwort allein reicht nicht mehr.

Aufwand: Mittel. Benutzerkonten und Berechtigungen einrichten dauert pro Mitarbeiter 15-30 Minuten. MFA-Einrichtung: 5-10 Minuten pro Person.

3. Datensicherung (Backup)

Was die DSGVO verlangt: Fähigkeit, die Verfügbarkeit personenbezogener Daten nach einem Vorfall rasch wiederherzustellen.

Was Sie konkret tun:

  • Automatische, tägliche Backups. Nicht manuell, nicht wöchentlich. Automatisch und täglich.
  • 3-2-1-Regel: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medien, 1 davon extern (anderer Standort oder verschlüsselte Cloud).
  • Verschlüsselung des Backups (siehe Punkt 1).
  • Regelmäßige Wiederherstellungstests. Mindestens vierteljährlich. Ein Backup, das noch nie getestet wurde, ist kein Backup.

Wir empfehlen Veeam für Server-Backups — automatisch, verschlüsselt, mit Verifikation.

Aufwand: Einrichtung 2-4 Stunden. Danach läuft es automatisch.

4. Firewall & Netzwerksicherheit

Was die DSGVO verlangt: Schutz vor unbefugtem Zugriff und Cyberangriffen.

Was Sie konkret tun:

  • Professionelle Firewall. Kein Consumer-Router. pfSense oder Fortigate mit konfigurierten Regeln: Was darf rein, was darf raus?
  • Netzwerksegmentierung. Gäste-WLAN getrennt vom Firmennetz. Kassensystem getrennt vom Büro-Netz. Wenn ein Gerät kompromittiert wird, ist nicht gleich alles betroffen.
  • Intrusion Detection. Die Firewall sollte verdächtigen Datenverkehr erkennen und melden. pfSense mit Suricata oder Snort leistet das — kostenlos.
  • WLAN-Sicherheit. WPA3 oder mindestens WPA2 mit starkem Passwort. Kein offenes WLAN, auch nicht “nur kurz für den Kunden”.

Aufwand: Firewall-Einrichtung 4-8 Stunden. Netzwerksegmentierung je nach Umgebung 2-6 Stunden.

5. Update-Management

Was die DSGVO verlangt: Angemessener Schutz vor bekannten Sicherheitslücken.

Was Sie konkret tun:

  • Betriebssystem-Updates zeitnah einspielen. Windows-Updates, macOS-Updates — nicht monatelang ignorieren. Bekannte Sicherheitslücken sind Einfallstore.
  • Software-Updates. Browser, PDF-Reader, Office-Software — alles aktuell halten.
  • Server-Updates. Besonders kritisch. Ein ungepatchter Server ist ein offenes Tor.
  • End-of-Life-Software ersetzen. Windows 10 erreicht im Oktober 2025 das Ende des Supports. Danach gibt es keine Sicherheitsupdates mehr. Wenn Sie noch Windows 10 nutzen: Upgrade auf Windows 11 oder Umstieg auf Linux planen.

Aufwand: Im Rahmen einer IT-Betreuung automatisierbar. Als Einzelmaßnahme: ca. 1 Stunde/Monat.

6. Protokollierung (Logging)

Was die DSGVO verlangt: Nachweisbarkeit, wer wann auf welche Daten zugegriffen hat.

Was Sie konkret tun:

  • Anmelde-Logs aktivieren. Wer hat sich wann angemeldet? Gescheiterte Anmeldeversuche erfassen.
  • Dateizugriffs-Logs bei besonders sensiblen Daten (Mandantendaten, Finanzdaten).
  • Logs aufbewahren. Mindestens 6 Monate, idealerweise 12. Auf einem separaten System, das nicht einfach gelöscht werden kann.

Aufwand: Einrichtung 2-4 Stunden. Danach automatisch.

7. Löschkonzept

Was die DSGVO verlangt: Personenbezogene Daten müssen gelöscht werden, wenn der Zweck entfällt.

Was Sie konkret tun:

  • Aufbewahrungsfristen definieren. Kundendaten: wie lange nach letztem Kontakt? Buchhaltungsdaten: 7 Jahre (gesetzlich). Bewerbungsunterlagen: 6 Monate.
  • Regelmäßig löschen. Nicht nur archivieren — wirklich löschen. Einmal jährlich alte Daten durchgehen und bereinigen.
  • Sicheres Löschen. Dateien in den Papierkorb werfen reicht nicht. Festplatten vor Entsorgung überschreiben oder physisch zerstören. Bei SSDs: Secure Erase.

Aufwand: Konzept erstellen 2-3 Stunden. Durchführung: einmal jährlich 2-4 Stunden.

8. Mitarbeiterschulung

Was die DSGVO verlangt: Mitarbeiter müssen wissen, wie sie mit personenbezogenen Daten umgehen.

Was Sie konkret tun:

  • Phishing-Awareness. Die meisten Cyberangriffe beginnen mit einer E-Mail. Mitarbeiter müssen verdächtige E-Mails erkennen können.
  • Passwort-Hygiene. Starke, einzigartige Passwörter. Passwort-Manager statt Post-its.
  • Clean-Desk-Policy. Keine sensiblen Dokumente offen herumliegen lassen. Bildschirmsperre aktivieren.
  • Meldepflicht. Mitarbeiter müssen wissen, an wen sie sich wenden, wenn sie einen Sicherheitsvorfall bemerken.

Aufwand: Erstschulung 1-2 Stunden. Jährliche Auffrischung 30 Minuten.

Häufige Fehler bei der DSGVO-Umsetzung

“Wir haben eine Datenschutzerklärung auf der Website, also sind wir DSGVO-konform.” Die Datenschutzerklärung ist ein kleiner Teil. Die DSGVO verlangt technische Maßnahmen, Verarbeitungsverzeichnis, Löschkonzept und Auftragsverarbeitungsverträge. Die Website-Erklärung allein schützt Sie nicht.

“Unsere Daten sind in der Cloud, also ist der Cloud-Anbieter verantwortlich.” Nein. Sie sind der Verantwortliche. Der Cloud-Anbieter ist Auftragsverarbeiter. Sie müssen prüfen, ob der Anbieter DSGVO-konform arbeitet, und einen Auftragsverarbeitungsvertrag abschließen. Die Verantwortung können Sie nicht auslagern.

“Wir sind zu klein, uns prüft niemand.” Die österreichische Datenschutzbehörde (DSB) prüft auch Kleinunternehmen — oft nach Beschwerden von Kunden oder ehemaligen Mitarbeitern. Und ein Ransomware-Angriff mit Datenverlust löst eine Meldepflicht aus, die automatisch eine Prüfung nach sich ziehen kann.

“Wir speichern keine sensiblen Daten.” Kundennamen, E-Mail-Adressen, Telefonnummern, Rechnungsdaten — das sind alles personenbezogene Daten. Wenn Sie Mitarbeiter haben, kommen Lohndaten, Sozialversicherungsnummern und Krankenstandstage dazu. Kaum ein Unternehmen hat wirklich “keine sensiblen Daten”.

“Einmal einrichten und fertig.” DSGVO-Compliance ist kein Projekt mit Ende, sondern ein laufender Prozess. Systeme ändern sich, Mitarbeiter wechseln, neue Software wird eingeführt. Regelmäßige Überprüfung ist Pflicht.

Was ein IT-Dienstleister für Ihre DSGVO tun kann (und was nicht)

Was wir tun:

  • Technische Maßnahmen umsetzen (Verschlüsselung, Firewall, Backup, Zugriffskontrolle)
  • IT-Audit durchführen und Lücken identifizieren
  • Empfehlungen für DSGVO-konforme Softwarewahl (LibreOffice statt Microsoft 365, Nextcloud statt OneDrive)
  • Technische Dokumentation für Ihr Verarbeitungsverzeichnis

Was wir nicht tun:

  • Rechtsberatung. Für die juristische Seite (Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge, Datenschutz-Folgenabschätzung) brauchen Sie einen Datenschutzberater oder Rechtsanwalt.

Wir arbeiten gerne mit Ihrem Datenschutzberater zusammen und setzen die technischen Anforderungen um, die er definiert.

Nächster Schritt: IT-Audit

Sie wissen nicht, wo Sie stehen? Unser kostenloses IT-Audit prüft Ihre aktuelle IT-Infrastruktur auf DSGVO-relevante Schwachstellen. Kein Verkaufsgespräch, kein Commitment — eine ehrliche Bestandsaufnahme, auf deren Basis Sie entscheiden können.

Häufige Fragen

Muss mein Kleinunternehmen die DSGVO einhalten?

Ja. Die DSGVO gilt für jedes Unternehmen, das personenbezogene Daten verarbeitet — und das trifft auf praktisch jedes Unternehmen zu. Auch wenn Sie nur Kundennamen und E-Mail-Adressen speichern.

Was sind 'technische und organisatorische Maßnahmen' (TOMs)?

Maßnahmen, die Ihre Daten schützen. Technisch: Verschlüsselung, Firewall, Backup, Zugriffskontrolle. Organisatorisch: Mitarbeiterschulungen, Passwortrichtlinien, Zuständigkeiten. Die DSGVO verlangt beides.

Brauche ich einen Datenschutzbeauftragten?

In Österreich nicht zwingend für Kleinunternehmen. Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten, wird es empfohlen. Unabhängig davon müssen Sie die DSGVO einhalten.

Reicht ein Virenscanner für DSGVO-Compliance?

Nein. Ein Virenscanner ist ein Baustein, aber die DSGVO verlangt ein Gesamtkonzept: Verschlüsselung, Zugriffskontrolle, Backup, Löschkonzept, Mitarbeiterschulungen und Dokumentation. Kein einzelnes Produkt macht Sie DSGVO-konform.

Was passiert bei einem Verstoß?

Bußgelder bis zu €20 Mio. oder 4% des Jahresumsatzes. Für Kleinunternehmen verhängt die österreichische Datenschutzbehörde typischerweise niedrigere Beträge, aber auch €5.000-50.000 können existenzbedrohend sein. Dazu kommt der Reputationsschaden.

Darf ich Kundendaten in der Cloud speichern?

Ja, aber nicht in jeder Cloud. Achten Sie auf: EU-Standort des Servers, Auftragsverarbeitungsvertrag mit dem Anbieter, und ob der Anbieter dem US CLOUD Act unterliegt. Lokale Speicherung ist die sicherste Variante.

Klingt nach dem, was Sie brauchen?

Starten Sie mit einem kostenlosen IT-Audit — unverbindlich, persönlich, ehrlich.

Kostenloses IT-Audit buchen