DSGVO Artikel 28, 32, 33 und 34: Warum ein ISMS nicht ausreicht
DSGVO Artikel 28, 32, 33, 34 fordern Auftragsverarbeitung, Datensicherheit und Meldepflichten bei Datenpannen. Ein ISMS hilft bei der Governance, aber nicht bei der operativen Umsetzung.
DSGVO Artikel 28, 32, 33 und 34: Warum ein ISMS für Auftragsverarbeitung und Datenpannen nicht ausreicht
Die DSGVO verpflichtet Verantwortliche zur Sorgfalt bei der Auswahl und Überwachung ihrer Auftragsverarbeiter — und verlangt bei Datenschutzverletzungen eine schnelle Meldung an Aufsichtsbehörden und Betroffene. Was viele Unternehmen unterschätzen: Diese Pflichten erfordern operative Fähigkeiten, die ein ISMS allein nicht liefert.
Ein ISMS strukturiert die interne Governance. Die DSGVO fordert darüber hinaus Meldepflichten innerhalb von 72 Stunden (Artikel 33), Kommunikation an Betroffene bei hohem Risiko (Artikel 34), vertragliche Absicherung der Auftragsverarbeitung (Artikel 28) und technisch-organisatorische Maßnahmen zur Datensicherheit (Artikel 32).
Sprungmarken:
- Artikel 33 und 34: Meldung von Datenschutzverletzungen
- Artikel 28 und 32: Auftragsverarbeitung und Datensicherheit
Warum ein ISMS seit der DSGVO nicht mehr ausreicht
Die Datenschutz-Grundverordnung (EU) 2016/679 gilt seit dem 25. Mai 2018 und hat die Anforderungen an den Umgang mit personenbezogenen Daten grundlegend verändert. Für viele Unternehmen stellt sich die Frage: Reicht das bestehende Informationssicherheits-Managementsystem noch aus — oder braucht es mehr?
Die Antwort liegt im Wortlaut der Verordnung: Artikel 32 fordert „geeignete technische und organisatorische Maßnahmen", die ein „dem Risiko angemessenes Schutzniveau" gewährleisten. Das klingt nach ISMS — und ein ISMS kann hier tatsächlich als Grundlage dienen.
Doch die DSGVO geht an zwei entscheidenden Stellen weiter: Sie verlangt operative Meldepflichten bei Datenschutzverletzungen innerhalb enger Fristen und schafft verbindliche Anforderungen an die Zusammenarbeit mit Auftragsverarbeitern entlang der gesamten Wertschöpfungskette.
Wo ein ISMS zur DSGVO beiträgt — Datensicherheit (Artikel 32)
Ein gutes ISMS liefert die von der DSGVO geforderte Struktur für technische und organisatorische Maßnahmen:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen
- Fähigkeit, bei physischen oder technischen Zwischenfällen Verfügbarkeit und Zugang rasch wiederherzustellen
- Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen
Artikel 32 verlangt, dass bei der Beurteilung des angemessenen Schutzniveaus insbesondere die Risiken berücksichtigt werden, „die mit der Verarbeitung verbunden sind, insbesondere durch — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten".
Ein ISMS unterstützt dabei. Doch die Artikel 28, 33 und 34 stellen Anforderungen mit Schnittstellen-Charakter, die ein ISMS als interne Lösung nicht abbilden kann.
Wo die DSGVO über ein ISMS hinausgeht
Artikel 33 und 34: Meldung von Datenschutzverletzungen
Die DSGVO führt ein zweistufiges Melderegime für Verletzungen des Schutzes personenbezogener Daten ein.
Meldung an die Aufsichtsbehörde (Artikel 33)
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden — es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Erfolgt die Meldung nicht binnen 72 Stunden, ist eine Begründung für die Verzögerung beizufügen.
Inhalt der Meldung nach Artikel 33 Abs. 3:
| Element | Beschreibung |
|---|---|
| Art der Verletzung | Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der betroffenen Personen und Datensätze |
| Kontaktdaten | Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle |
| Wahrscheinliche Folgen | Beschreibung der wahrscheinlichen Folgen der Verletzung |
| Ergriffene Maßnahmen | Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung |
Artikel 33 Abs. 4 erlaubt ausdrücklich eine phasenweise Meldung: Wenn nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, dürfen sie ohne unangemessene weitere Verzögerung schrittweise nachgeliefert werden.
Pflicht des Auftragsverarbeiters: Nach Artikel 33 Abs. 2 muss der Auftragsverarbeiter eine ihm bekannt gewordene Verletzung unverzüglich dem Verantwortlichen melden. Die DSGVO nennt hier keine konkrete Frist — die EDPB-Leitlinien empfehlen jedoch eine Meldung so schnell wie möglich, um dem Verantwortlichen die Einhaltung der 72-Stunden-Frist zu ermöglichen.
Dokumentationspflicht: Nach Artikel 33 Abs. 5 muss der Verantwortliche alle Verletzungen dokumentieren — einschließlich der Fakten, Auswirkungen und ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung ermöglichen.
Benachrichtigung der Betroffenen (Artikel 34)
Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche die betroffenen Personen unverzüglich benachrichtigen.
Die Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung beschreiben und mindestens folgende Informationen enthalten:
- Name und Kontaktdaten des Datenschutzbeauftragten
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Abmilderung
Ausnahmen von der Benachrichtigungspflicht (Artikel 34 Abs. 3):
| Ausnahme | Erläuterung |
|---|---|
| Technische Schutzmaßnahmen | Der Verantwortliche hat geeignete Maßnahmen getroffen (z.B. Verschlüsselung), die die Daten für Unbefugte unzugänglich machen |
| Nachträgliche Maßnahmen | Nachträglich ergriffene Maßnahmen stellen sicher, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht |
| Unverhältnismäßiger Aufwand | In diesem Fall erfolgt stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme |
Die Aufsichtsbehörde kann nach Artikel 34 Abs. 4 vom Verantwortlichen verlangen, die Betroffenen zu benachrichtigen, wenn sie der Ansicht ist, dass ein hohes Risiko besteht.
Artikel 28 und 32: Auftragsverarbeitung und Datensicherheit
Die DSGVO etabliert verbindliche Anforderungen für die Zusammenarbeit mit Auftragsverarbeitern.
Auswahl des Auftragsverarbeiters (Artikel 28 Abs. 1)
Der Verantwortliche darf nur Auftragsverarbeiter einsetzen, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet".
Diese Formulierung begründet eine Sorgfaltspflicht bei der Auswahl — nicht nur bei Vertragsschluss, sondern fortlaufend.
Vertragliche Anforderungen (Artikel 28 Abs. 3)
Die Verarbeitung durch einen Auftragsverarbeiter muss auf Grundlage eines Vertrags oder anderen Rechtsinstruments erfolgen, das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.
Mindestinhalte des Auftragsverarbeitungsvertrags:
| Anforderung | Rechtsgrundlage |
|---|---|
| Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen | Art. 28 Abs. 3 lit. a |
| Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen | Art. 28 Abs. 3 lit. b |
| Ergreifung aller gemäß Artikel 32 erforderlichen Maßnahmen | Art. 28 Abs. 3 lit. c |
| Bedingungen für Unterauftragsverarbeiter einhalten | Art. 28 Abs. 3 lit. d |
| Unterstützung bei Betroffenenrechten | Art. 28 Abs. 3 lit. e |
| Unterstützung bei Pflichten aus Artikel 32–36 (Sicherheit, Meldungen, Datenschutz-Folgenabschätzung) | Art. 28 Abs. 3 lit. f |
| Löschung oder Rückgabe der Daten nach Vertragsende | Art. 28 Abs. 3 lit. g |
| Zurverfügungstellung aller Informationen zum Nachweis der Einhaltung, Ermöglichung von Überprüfungen und Inspektionen | Art. 28 Abs. 3 lit. h |
Unterauftragsverarbeitung (Artikel 28 Abs. 2 und 4)
Der Auftragsverarbeiter darf ohne vorherige schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter hinzuziehen.
Bei allgemeiner schriftlicher Genehmigung muss der Auftragsverarbeiter den Verantwortlichen über jede beabsichtigte Änderung informieren und ihm die Möglichkeit geben, Einspruch zu erheben.
Wird ein weiterer Auftragsverarbeiter hinzugezogen, müssen ihm dieselben Datenschutzpflichten auferlegt werden. Der ursprüngliche Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Einhaltung durch den Unterauftragsverarbeiter.
Nachweis der Compliance (Artikel 28 Abs. 5)
Die Einhaltung genehmigter Verhaltensregeln (Artikel 40) oder eines genehmigten Zertifizierungsverfahrens (Artikel 42) kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen.
Warum die Sorgfaltspflicht kein One-Off ist
Die DSGVO spricht zwar von der Auswahl eines geeigneten Auftragsverarbeiters — aber die Pflichten des Verantwortlichen enden nicht mit Vertragsschluss:
- Artikel 28 Abs. 3 lit. h verpflichtet den Auftragsverarbeiter, alle erforderlichen Informationen bereitzustellen und Überprüfungen zu ermöglichen
- Artikel 32 Abs. 1 lit. d verlangt ein Verfahren zur „regelmäßigen Überprüfung, Bewertung und Evaluierung" der Wirksamkeit der Maßnahmen
- Rechenschaftspflicht nach Artikel 5 Abs. 2 verlangt, dass der Verantwortliche die Einhaltung der Datenschutzgrundsätze jederzeit nachweisen kann
In der Praxis bedeutet das: Wer einen Auftragsverarbeiter einmal beauftragt und dann nicht mehr prüft, kann im Schadensfall seine Sorgfaltspflicht nur schwer nachweisen. Die initiale Due Diligence wird zur wiederkehrenden Notwendigkeit.
Sanktionen (Artikel 83)
Die DSGVO sieht ein zweistufiges Bußgeldsystem vor:
| Verstoß | Bußgeld | Rechtsgrundlage |
|---|---|---|
| Pflichten von Verantwortlichen und Auftragsverarbeitern (Art. 8, 11, 25–39, 42, 43) | Bis 10 Mio. Euro oder 2% Jahresumsatz | Art. 83 Abs. 4 |
| Grundsätze der Verarbeitung, Betroffenenrechte, Übermittlung in Drittländer (Art. 5–7, 9, 12–22, 44–49) | Bis 20 Mio. Euro oder 4% Jahresumsatz | Art. 83 Abs. 5 |
| Nichtbefolgung einer Anweisung der Aufsichtsbehörde | Bis 20 Mio. Euro oder 4% Jahresumsatz | Art. 83 Abs. 6 |
Maßgeblich ist jeweils der höhere Betrag.
Relevanz für Auftragsverarbeitung und Meldepflichten:
- Verstöße gegen Artikel 28 (Auftragsverarbeitung) und Artikel 32 (Sicherheit) fallen unter die untere Stufe (bis 10 Mio. Euro / 2%)
- Verstöße gegen Artikel 33 (Meldung an Behörde) und Artikel 34 (Benachrichtigung Betroffener) fallen ebenfalls unter die untere Stufe
- Die Nichtmeldung kann jedoch zusätzlich als Verstoß gegen Artikel 5 (Rechenschaftspflicht) gewertet werden — was die obere Stufe auslösen kann
Bei der Festsetzung der Bußgelder werden nach Artikel 83 Abs. 2 unter anderem berücksichtigt: Art, Schwere und Dauer des Verstoßes, Vorsatz oder Fahrlässigkeit, ergriffene Maßnahmen zur Schadensbegrenzung, frühere Verstöße und die Zusammenarbeit mit der Aufsichtsbehörde.
ISMS und Trust Center: Zwei Seiten derselben Medaille
Die Anforderungen der DSGVO lassen sich nicht mit einem einzigen System erfüllen. Governance braucht Struktur — dafür ist ein ISMS unverzichtbar. Doch die Artikel 28, 33 und 34 verlangen darüber hinaus operative Fähigkeiten:
- Meldung von Datenschutzverletzungen innerhalb von 72 Stunden — an Aufsichtsbehörden und ggf. Betroffene
- Dokumentation aller Verletzungen — auch derjenigen, die nicht meldepflichtig sind
- Strukturierte Prüfung und Überwachung von Auftragsverarbeitern
- Nachweisbare Sorgfalt bei der Auswahl und fortlaufenden Kontrolle von Dienstleistern
Die zwei Richtungen eines Trust Centers
Ein Trust Center unterstützt nicht nur die eingehende Prüfung eigener Dienstleister — es löst auch ein praktisches Problem auf der ausgehenden Seite: Wer selbst als Auftragsverarbeiter tätig ist, muss seinen Kunden die in Artikel 28 Abs. 3 lit. h geforderten Informationen bereitstellen.
In der Praxis bedeutet das: Jeder potenzielle oder bestehende Kunde kann — und wird — Nachweise verlangen. Ein Trust Center bündelt diese Dokumentation an einem professionellen Ort:
| Dokument | Zweck | DSGVO-Bezug |
|---|---|---|
| Auftragsverarbeitungsvertrag (AVV) | Standardvertrag zur Unterzeichnung | Art. 28 Abs. 3 |
| Technisch-organisatorische Maßnahmen (TOMs) | Nachweis der Sicherheitsmaßnahmen | Art. 32 |
| Liste der Unterauftragsverarbeiter | Transparenz über Sub-Processors | Art. 28 Abs. 2 |
| Zertifizierungen (ISO 27001, SOC 2) | Nachweis hinreichender Garantien | Art. 28 Abs. 5, Art. 42 |
| Audit-Berichte und Penetrationstest-Zusammenfassungen | Unabhängige Prüfung der Maßnahmen | Art. 28 Abs. 3 lit. h |
| Sicherheitsrichtlinien | Dokumentation interner Prozesse | Art. 32 |
| Verzeichnis von Verarbeitungstätigkeiten | Überblick über Datenverarbeitung | Art. 30 |
| Datenschutz-Folgenabschätzungen (bei Bedarf) | Risikobewertung für kritische Verarbeitungen | Art. 35 |
Ohne ein Trust Center läuft diese Kommunikation über E-Mail, individuelle Anfragen und manuelle Prozesse — zeitaufwendig, fehleranfällig und schwer zu skalieren. Mit einem Trust Center wird aus reaktiver Dokumentensuche ein proaktiver Nachweis der eigenen Compliance.
Die doppelte Perspektive
Viele Unternehmen sind gleichzeitig Verantwortliche (gegenüber betroffenen Personen) und Auftragsverarbeiter (gegenüber ihren Kunden). Ein Trust Center adressiert beide Rollen:
Als Verantwortlicher (Inbound):
- Prüfung und Überwachung eigener Auftragsverarbeiter
- Sammlung und Pflege von AVVs, TOMs und Zertifikaten der Dienstleister
- Dokumentation der Sorgfaltspflicht bei der Auswahl
Als Auftragsverarbeiter (Outbound):
- Bereitstellung aller Nachweise für Kunden an einem Ort
- Skalierbare Beantwortung von Security Questionnaires und Audits
- Proaktive Transparenz statt reaktiver Dokumentensuche
Wer beide Welten verbindet, ist gut aufgestellt: Ein ISMS für die interne Steuerung, ein Trust Center für die externe Kommunikation — in beide Richtungen. So wird aus Compliance-Aufwand ein funktionierendes System und aus Dokumentation echte Resilienz.
Quellen
- Verordnung (EU) 2016/679 (DSGVO) – Volltext – Amtsblatt der Europäischen Union. Der vollständige Text der Datenschutz-Grundverordnung.
- gdpr-info.eu – Artikel 28 (Auftragsverarbeiter) – Anforderungen an die Auftragsverarbeitung.
- gdpr-info.eu – Artikel 32 (Sicherheit der Verarbeitung) – Technische und organisatorische Maßnahmen.
- gdpr-info.eu – Artikel 33 (Meldung an die Aufsichtsbehörde) – 72-Stunden-Frist für Datenpannen.
- gdpr-info.eu – Artikel 34 (Benachrichtigung Betroffener) – Kommunikation bei hohem Risiko.
- gdpr-info.eu – Artikel 83 (Bußgelder) – Sanktionsrahmen.
- EDPB – Guidelines 9/2022 on personal data breach notification – Leitlinien zur Meldung von Datenschutzverletzungen (Version 2.0, März 2023).