DSGVO Artikel 32: Anforderungen an die Sicherheit der Verarbeitung (2026)
Published 6. Juli 2026
By Anna Bley

DSGVO Artikel 32: Anforderungen an die Sicherheit der Verarbeitung (2026)

DSGVO Artikel 32 erklärt: welche technischen und organisatorischen Maßnahmen verlangt sind, ob Verschlüsselung Pflicht ist, der risikobasierte Maßstab, Bußgelder und wie Sie es nachweisen.

DSGVO
GDPR
Datenschutz
Sicherheit
Compliance

DSGVO Artikel 32: Sicherheit der Verarbeitung

DSGVO Artikel 32 verpflichtet Verantwortliche und Auftragsverarbeiter, „geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Es handelt sich um eine risikobasierte, ergebnisorientierte Pflicht — keine feste Checkliste —, die jedoch vier Maßnahmen ausdrücklich benennt: Pseudonymisierung und Verschlüsselung; die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme; die Fähigkeit, die Verfügbarkeit nach einem Vorfall wiederherzustellen; sowie ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen. „Angemessen" bemisst sich am Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang, den Umständen, den Zwecken und dem Risiko der Verarbeitung.

Artikel 32 ist der Artikel, an dem eine Sicherheitsprüfung, ein Auditor oder eine Aufsichtsbehörde Sie tatsächlich misst. „Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit" gehört zu den am häufigsten mit Bußgeldern belegten DSGVO-Kategorien — 418 Bußgelder bei einem Durchschnitt von 2,0 Mio. Euro, so der CMS GDPR Enforcement Tracker — und die Zahl solcher Bußgelder stieg zwischen 2024 und 2025 um mehr als 40 %. Für B2B-Unternehmen liegt die Schwierigkeit nicht darin, zu wissen, dass Sicherheit gefordert ist, sondern darin, nachzuweisen, dass die Maßnahmen sowohl vor als auch nach einem Vorfall „angemessen" waren.

Die wichtigsten Erkenntnisse

  • Der Maßstab lautet „angemessen", nicht „maximal". Sicherheit muss dem Risiko entsprechen — bemessen am Stand der Technik, den Kosten sowie der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung (Artikel 32 Abs. 1).
  • Sie bindet Auftragsverarbeiter unmittelbar. Artikel 32 gilt für Verantwortliche und Auftragsverarbeiter — als B2B-SaaS-Anbieter ist es damit Ihre eigene Rechtspflicht, nicht nur die Ihres Kunden.
  • Verschlüsselung und Pseudonymisierung sind ausdrücklich genannt (Artikel 32 Abs. 1 Buchst. a). Sie sind nicht die einzigen Maßnahmen, doch ihr Fehlen bei sensiblen Daten ist ein wiederkehrender Beanstandungspunkt in der Durchsetzungspraxis.
  • „Regelmäßiges Überprüfen" ist eine Pflicht, kein Nice-to-have (Artikel 32 Abs. 1 Buchst. d) — ein einmalig eingerichtetes Set an Kontrollen erfüllt den Artikel nicht.
  • Die Maßnahmen müssen nachweisbar sein. Die Rechenschaftspflicht (Artikel 5 Abs. 2) bedeutet: Eine undokumentierte Kontrolle ist aus Durchsetzungssicht eine Kontrolle, die nicht existiert.
  • Bußgelder sind real und hoch: Meta 91 Mio. Euro (Sept. 2024, Klartext-Passwörter — Art. 32 Abs. 1); Capita 14 Mio. £ (UK ICO, 2025 — Art. 32); Vodafone Deutschland 45 Mio. Euro (2025).

Direkt zu:


Was Artikel 32 verlangt

Artikel 32 Abs. 1 der Verordnung (EU) 2016/679 formuliert die Kernpflicht:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."

Zwei Merkmale unterscheiden Artikel 32 von einem vorschreibenden Sicherheitsstandard. Erstens ist die Pflicht geteilt: Sie trifft den Verantwortlichen und den Auftragsverarbeiter. Für ein B2B-SaaS-Unternehmen, das Kundendaten verarbeitet, ist Artikel 32 eine unmittelbare Rechtspflicht — Sie können sie nicht an Ihren Kunden abtreten oder sich hinter dessen Weisungen verstecken. Zweitens ist die Pflicht risikobasiert und technologieneutral: Der Artikel verzichtet bewusst auf eine feste Liste von Kontrollen, denn „angemessene" Sicherheit von 2016 ist nicht die „angemessene" Sicherheit von heute. Was von Ihnen erwartet wird, skaliert mit der Sensibilität und dem Umfang dessen, was Sie verarbeiten.

Artikel 32 Abs. 2 schärft die Risikobetrachtung und verlangt, „insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten". Artikel 32 Abs. 4 fügt eine personelle Dimension hinzu: Wer Ihrer Weisungsbefugnis untersteht, darf personenbezogene Daten nur auf Anweisung und nicht nach eigenem Ermessen verarbeiten.


Der risikobasierte Abwägungsmaßstab

Der Ausdruck, der in Artikel 32 die meiste Arbeit leistet, lautet „dem Risiko angemessen". Die Angemessenheit wird durch die Abwägung von vier Faktoren bestimmt, die der Artikel selbst benennt:

FaktorWas das in der Praxis bedeutet
Stand der TechnikDie Maßnahmen müssen mit der aktuellen, breit etablierten Sicherheitspraxis Schritt halten. Der Standard von gestern (z. B. unverschlüsselter Transport, SHA-1-Hashing) ist nicht mehr „angemessen".
ImplementierungskostenKosten sind ein legitimer Faktor — sie werden jedoch gegen das Risiko abgewogen und rechtfertigen keine billigen und unzureichenden Kontrollen, wenn die Daten sensibel sind.
Art, Umfang, Umstände und ZweckeDie Verarbeitung besonderer Kategorien personenbezogener Daten oder von Daten in großem Umfang hebt die Messlatte. An eine Lohnabrechnungsplattform werden höhere Anforderungen gestellt als an eine risikoarme Marketingliste.
Risiko für die Rechte und FreiheitenDie Eintrittswahrscheinlichkeit und Schwere eines Schadens für Einzelne — Identitätsdiebstahl, finanzieller Verlust, Diskriminierung — bestimmen das angestrebte Sicherheitsniveau.

Der EDSA-Fallbericht (One-Stop-Shop Case Digest) zur Sicherheit und Meldung von Verletzungen zeigt, wie Aufsichtsbehörden dies in konkreten Entscheidungen anwenden: Behörden haben festgestellt, dass an einen Dienst, der Daten „einer großen Zahl von Nutzern" verarbeitet, höhere Anforderungen an den Verantwortlichen zu stellen sind. Der Fallbericht bestätigt zudem eine entscheidende Nuance des Gerichtshofs — das bloße Vorliegen einer Verletzung beweist für sich genommen nicht, dass die Maßnahmen unzureichend waren. Die Frage ist stets, ob die Maßnahmen angesichts des Risikos angemessen waren, beurteilt zum jeweiligen Zeitpunkt.

Das ist die zweischneidige Natur von Artikel 32: Er gewährt Ihnen Flexibilität, bedeutet aber auch, dass „Wir hatten eine Firewall" keine Verteidigung ist. Sie müssen die Risikobewertung rekonstruieren können, die Ihre Wahl der Kontrollen begründet hat.


Die vier genannten Maßnahmen (Artikel 32 Abs. 1 Buchst. a–d)

Artikel 32 Abs. 1 nennt vier beispielhafte Maßnahmen „je nach dem Stand der Technik". Sie sind keine abschließende Aufzählung, aber die Ankerpunkte, von denen jede Bewertung ausgeht:

  • (a) Pseudonymisierung und Verschlüsselung personenbezogener Daten — Verringerung der Identifizierbarkeit der Daten und Unlesbarmachung für Unbefugte.
  • (b) Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit — die klassische CIA-Trias zuzüglich Belastbarkeit: die dauerhafte Fähigkeit der Systeme und Dienste, widrigen Ereignissen standzuhalten und sich davon zu erholen. Dies entspricht Zugriffskontrolle, MFA, Netzwerksicherheit und hochverfügbarer Architektur.
  • (c) Verfügbarkeit und Zugang rasch wiederherstellen nach einem physischen oder technischen Zwischenfall — in der Praxis getestete Datensicherungen sowie eine Disaster-Recovery-/Business-Continuity-Fähigkeit.
  • (d) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen — Penetrationstests, Schwachstellenmanagement und periodische Kontrollprüfung. Im EDSA-Fallbericht hob eine Behörde eigens hervor, dass Artikel 32 Abs. 1 Buchst. d verlangt, bei der Entwicklung von Software, die personenbezogene Daten verarbeitet, „alle wahrscheinlichen Ergebnisse" zu testen.

Die Aufnahme von Buchst. d ist der Grund, warum Artikel 32 eine fortlaufende Pflicht ist. Ein Kontroll-Set, das beim Start angemessen war, verfällt: Zertifikate laufen ab, Abhängigkeiten erhalten CVEs, und der Stand der Technik entwickelt sich weiter. Artikel 32 verlangt ein Verfahren, das fortlaufend belegt, dass die Kontrollen weiterhin wirken.


Ist Verschlüsselung Pflicht?

Streng genommen ist keine einzelne Maßnahme in jedem Fall zwingend — Artikel 32 ist risikobasiert. Verschlüsselung ist jedoch eine von nur zwei in Artikel 32 Abs. 1 Buchst. a genannten Maßnahmen, und in der Praxis behandeln Aufsichtsbehörden sie als Standarderwartung für personenbezogene Daten im Ruhezustand und bei der Übertragung. Der EDSA-Fallbericht dokumentiert, dass Behörden einen Verstoß gegen Artikel 32 feststellten, als ein Unternehmen HTTPS für seine Website allgemein einsetzte, nicht jedoch auf Kontaktformularseiten, die Namen, E-Mail-Adressen und Freitext übertrugen — allein die fehlende Verschlüsselung stellte den Verstoß dar.

Das folgenreichste einzelne Durchsetzungsbeispiel ist das Bußgeld von 91 Mio. Euro gegen Meta durch die irische DPC (September 2024) für die Speicherung von Nutzerpasswörtern im Klartext. Die DPC stellte Verstöße gegen Artikel 5 Abs. 1 Buchst. f, 32 Abs. 1, 33 Abs. 1 und 33 Abs. 5 fest — im Kern war die Klartextspeicherung ein Versagen nach Artikel 32.

Verschlüsselung hat zudem einen entscheidenden nachgelagerten Vorteil: Nach Artikel 34 Abs. 3 lässt eine wirksame Verschlüsselung, die kompromittierte Daten unverständlich macht, die Pflicht zur Benachrichtigung betroffener Personen entfallen. Starke Artikel-32-Maßnahmen sind daher nicht nur eine Compliance-Anforderung für sich — sie sind der Umstand, der am häufigsten verhindert, dass aus einer Verletzung ein öffentliches, kundenwirksames Ereignis wird.


Wie Sie die Einhaltung von Artikel 32 nachweisen

Artikel 32 ist nur die halbe Pflicht. Die Rechenschaftspflicht (Artikel 5 Abs. 2) verlangt, dass Sie die Einhaltung nachweisen — das heißt, jede Maßnahme braucht Belege, die ein Kunde, ein Auditor oder eine Aufsichtsbehörde prüfen kann. Genau hier scheitern die meisten B2B-Unternehmen: Die Kontrollen existieren, aber der Nachweis ist über Screenshots, Tabellen und Erfahrungswissen verstreut.

Das praktikable Modell besteht darin, jeden Bestandteil von Artikel 32 Abs. 1 einer konkreten TOM zuzuordnen und diese TOM wiederum einem Ort, an dem sie belegt ist — idealerweise ein öffentliches oder zugangsgeschütztes Trust Center, in dem Interessenten und Auditoren sich selbst bedienen können:

Anforderung aus Artikel 32Konkrete technische/organisatorische MaßnahmeWo der Nachweis liegt
32 Abs. 1 Buchst. a — Verschlüsselung & PseudonymisierungTLS 1.2+ bei der Übertragung; AES-256 im Ruhezustand; tokenisierte KennungenSicherheits-Whitepaper / TOM-Dokument im Trust Center
32 Abs. 1 Buchst. b — Vertraulichkeit & ZugriffskontrolleRBAC, SSO/SAML, erzwungene MFA, Least-Privilege-PrüfungenZugriffskontrollrichtlinie + Protokolle der Zugriffsüberprüfungen
32 Abs. 1 Buchst. b — Integrität & BelastbarkeitÄnderungsmanagement, manipulationssichere Protokollierung, Multi-AZ-DeploymentArchitekturübersicht + Nachweise zu Protokollierung/Monitoring
32 Abs. 1 Buchst. c — Verfügbarkeit wiederherstellenAutomatisierte verschlüsselte Datensicherungen, getestetes DR-Runbook, definierte RTO/RPOBackup- & Business-Continuity-Richtlinie + Datum des letzten DR-Tests
32 Abs. 1 Buchst. d — Regelmäßige ÜberprüfungJährlicher Penetrationstest, kontinuierliches Schwachstellen-Scanning, KontrollprüfungenZusammenfassung des Pentests + Nachweise zum Schwachstellenmanagement
Übergreifend — organisatorischSicherheitsrichtlinien, Mitarbeiterschulungen, Incident-Response-Plan, DienstleisterprüfungRichtlinienpaket + Schulungsnachweise + Unterauftragsverarbeiterliste

Das Muster, das Unternehmen, die die Beschaffungsprüfung bestehen, von jenen unterscheidet, die dort ins Stocken geraten, sind nicht stärkere Kontrollen — es ist der aktuelle, jederzeit abrufbare Nachweis. Wenn das Sicherheitsteam eines Interessenten fragt „Wie erfüllen Sie Artikel 32 Abs. 1 Buchst. d?", sollte die Antwort ein Link zu einer datierten Pentest-Zusammenfassung sein, nicht ein dreiwöchiger E-Mail-Verlauf.


ISO 27001 Anhang A ↔ Artikel 32 – Zuordnung

Der effizienteste Weg, Artikel 32 operativ umzusetzen, ist der Betrieb eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001. ISO 27001 ist von der DSGVO nicht gesetzlich vorgeschrieben, doch Artikel 32 Abs. 3 erlaubt ausdrücklich, die Einhaltung eines genehmigten Zertifizierungsverfahrens als Faktor zum Nachweis der Compliance heranzuziehen — und die Anhang-A-Kontrollen der ISO 27001:2022 lassen sich sauber auf die vier Bestandteile von Artikel 32 abbilden:

Anforderung aus Artikel 32ISO/IEC 27001:2022 Anhang-A-Kontrollen
32 Abs. 1 Buchst. a Verschlüsselung / PseudonymisierungA.8.24 Verwendung von Kryptografie
32 Abs. 1 Buchst. b Vertraulichkeit & ZugriffskontrolleA.5.15 Zugangssteuerung; A.8.2 Privilegierte Zugangsrechte; A.8.3 Einschränkung des Informationszugangs; A.8.5 Sichere Authentifizierung
32 Abs. 1 Buchst. b Integrität & BelastbarkeitA.8.16 Überwachungsaktivitäten; A.8.32 Änderungssteuerung; A.8.6 Kapazitätssteuerung
32 Abs. 1 Buchst. c Verfügbarkeit wiederherstellenA.8.13 Informationssicherung (Backup); A.5.29 Sicherheit bei Störungen; A.5.30 IKT-Bereitschaft für die Betriebskontinuität
32 Abs. 1 Buchst. d Regelmäßige ÜberprüfungA.8.8 Handhabung technischer Schwachstellen; A.8.29 Sicherheitsprüfung in Entwicklung und Abnahme; A.5.35 Unabhängige Überprüfung der Informationssicherheit

Diese Zuordnung ist das Herzstück des Ansatzes aus ISMS plus Trust Center: Das ISMS liefert die interne Steuerung, die geeignete Maßnahmen hervorbringt, und das Trust Center liefert den externen Nachweis, den Artikel 5 Abs. 2 verlangt. Ein ISO-27001-Zertifikat und eine Erklärung zur Anwendbarkeit (Statement of Applicability) werden zu einem Kürzel, dem Ihre Kunden bereits vertrauen — weshalb „ISO 27001-zertifiziert" eines der ersten Dinge ist, nach denen ein europäisches Beschaffungsteam sucht.


Artikel-32-Compliance-Checkliste

Nutzen Sie diese Liste als schnelle Selbsteinschätzung. Jeder Punkt sollte belegt sein, nicht nur umgesetzt:

  • Risikobewertung, die dokumentiert, warum Ihre Maßnahmen dem Risiko Ihrer Verarbeitung angemessen sind
  • Verschlüsselung personenbezogener Daten bei der Übertragung (TLS 1.2+) und im Ruhezustand (z. B. AES-256)
  • Pseudonymisierung, wo sie das Risiko senkt, ohne den Zweck zu vereiteln
  • Zugriffskontrolle — RBAC, SSO, erzwungene MFA und periodische Least-Privilege-Prüfungen
  • Protokollierung und Monitoring, die ausreichen, um Sicherheitsereignisse zu erkennen und zu rekonstruieren
  • Getestete Datensicherungen und ein dokumentierter, geübter Disaster-Recovery-/Business-Continuity-Plan (RTO/RPO definiert)
  • Ein regelmäßiges Prüfprogramm — mindestens ein jährlicher Penetrationstest zuzüglich kontinuierlichem Schwachstellen-Scanning
  • Sicherheitsrichtlinien und Nachweise über Security-Awareness-Schulungen der Mitarbeiter
  • Ein getesteter Incident-Response-Plan, der mit Ihrem Workflow zur Artikel-33-Meldung von Datenpannen verzahnt ist
  • Sorgfaltsprüfung von Dienstleistern / Unterauftragsverarbeitern, damit Ihre Lieferanten einen gleichwertigen Standard erfüllen
  • Aktuelle, abrufbare Nachweise für jeden der obigen Punkte, dort abgelegt, wo Kunden und Auditoren sie finden

Bußgelder und Durchsetzung

Verstöße gegen Artikel 32 fallen in die niedrigere Bußgeldstufe nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Doch „niedrigere Stufe" ist irreführend — Sicherheitsbußgelder gehören zu den häufigsten der DSGVO:

  • Meta — 91 Mio. Euro (irische DPC, September 2024): für die Speicherung von Nutzerpasswörtern im Klartext — ausdrücklich ein Verstoß gegen Artikel 32 Abs. 1 (neben Artikel 5 Abs. 1 Buchst. f, 33 Abs. 1 und 33 Abs. 5).
  • Capita plc — 14 Mio. £ (UK ICO, Oktober 2025): nach einem Cyberangriff von 2023, bei dem Daten von rund 6,6 Millionen Personen abgeflossen waren; die ICO stellte Verstöße gegen Artikel 5 Abs. 1 Buchst. f, 32 Abs. 1 und 32 Abs. 2 UK GDPR fest (ursprünglich vorgeschlagene 45 Mio. £, im Vergleich reduziert).
  • Vodafone Deutschland — 45 Mio. Euro (BfDI, 2025): einschließlich Sanktionen für Sicherheitsmängel und unzureichende Aufsicht über Auftragsverarbeiter.
  • Meta — 251 Mio. Euro (irische DPC, Dezember 2024): für die Facebook-Verletzung von 2018, von der rund 29 Millionen Nutzer betroffen waren — verhängt für Versäumnisse bei Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25) sowie für Meldeversäumnisse (Artikel 33). Eine Erinnerung daran, dass schwache Sicherheitsarchitektur über mehrere Artikel hinweg geahndet wird, nicht nur über Artikel 32.

Die Kategorie zählt mehr als jeder Einzelfall. „Unzureichende technische und organisatorische Maßnahmen zur Gewährleistung der Informationssicherheit" macht laut CMS Enforcement Tracker 418 Bußgelder bei einem Durchschnitt von 2,0 Mio. Euro aus, und die Zahl solcher Bußgelder stieg zwischen 2024 und 2025 um mehr als 40 % (von 69 auf 97 Fälle, so die Analyse von Surfshark). Die kumulierten DSGVO-Bußgelder erreichten bis Januar 2026 7,1 Mrd. Euro, davon allein rund 1,2 Mrd. Euro im Jahr 2025, so der DLA Piper GDPR Fines and Data Breach Survey (Januar 2026).


Die Lage in UK und Norwegen

Artikel 32 ist ein europaweiter Standard, und die Pflicht zur Sicherheit der Verarbeitung ist über die weitere europäische Compliance-Landschaft hinweg bemerkenswert einheitlich.

Vereinigtes Königreich. Die UK GDPR behält die Artikel-32-Sicherheitspflicht inhaltlich identisch bei, durchgesetzt vom Information Commissioner's Office (ICO). Die ICO hat einige der höchsten sicherheitsbezogenen Sanktionen Europas verhängt — darunter British Airways (20 Mio. £) und Marriott (18,4 Mio. £), beide wegen unzureichender Sicherheit — und ihr Capita-Bußgeld von 2025 bestätigt, dass die Bereitschaft nicht abgeflaut ist. Der Data (Use and Access) Act 2025 (Royal Assent am 19. Juni 2025) reformierte Teile des britischen Datenschutzes, schwächte die Sicherheitspflicht jedoch nicht, und die Europäische Kommission leitete nach Prüfung der Reformen die Erneuerung des UK-Angemessenheitsbeschlusses ein, sodass die EU-UK-Datenflüsse fortbestehen.

Norwegen und der EWR. Norwegen wendet die DSGVO über das EWR-Abkommen an (in Kraft seit Juli 2018), sodass Artikel 32 norwegische Verantwortliche und Auftragsverarbeiter in identischen Worten bindet, beaufsichtigt vom Datatilsynet. Die praktische Schlussfolgerung für jedes Unternehmen, das in der EU, im EWR und in UK tätig ist, lautet: Konzipieren Sie ein Sicherheitsniveau nach dem Maßstab der „geeigneten Maßnahmen" — es sinkt durch einen Grenzübertritt nicht, und die Durchsetzungsbilanz der ICO zeigt, dass es teurer werden kann.


Artikel 32 im Trust Center operativ umsetzen

Artikel 32 ist der Punkt, an dem Sicherheitsarchitektur auf rechtliche Rechenschaft trifft. Die Kontrollen sind Aufgabe des Sicherheitsteams; sie zu beweisen — vor einem Abschluss, während eines Audits und nach einer Verletzung — ist der Punkt, an dem der Artikel gewonnen oder verloren wird. Drei Fähigkeiten machen aus Artikel 32 statt einer periodischen Hektik einen bleibenden Vermögenswert:

  1. Ein lebendes TOM-Dokument, zugeordnet zu Artikel 32 Abs. 1 Buchst. a–d, aktuell gehalten statt vor jedem Audit neu geschrieben — sodass „Was sind Ihre technischen und organisatorischen Maßnahmen?" eine einzige, verbindliche Antwort hat.
  2. Ein Nachweis, der sich selbst auffrischt. Kontinuierliches Monitoring hält Belege für Verschlüsselung, Zugriffsüberprüfungen, Datensicherungen und Tests aktuell und erfüllt so den Bestandteil „regelmäßiges Überprüfen" aus Artikel 32 Abs. 1 Buchst. d und die Rechenschaftspflicht aus Artikel 5 Abs. 2 zugleich.
  3. Eine Selbstbedienungsfläche für Käufer und Auditoren. Ein Trust Center lässt das Sicherheitsteam eines Interessenten Ihre Artikel-32-Aufstellung bestätigen, ohne einen Fragebogenzyklus — dieselben Nachweise, die eine Sorgfaltsprüfung beantworten, sind die Nachweise, die eine Aufsichtsbehörde nach einem Vorfall verlangt.

Das ist das ISMS-und-Trust-Center-Modell in der Praxis: Ein ISMS bringt geeignete Maßnahmen hervor; ein Trust Center macht sie nachweisbar. Die Trust-Center-Plattform von Orbiq hält die TOM, Zertifizierungen, Unterauftragsverarbeiterliste und Prüfnachweise an einem stets aktuellen Ort, sodass Ihre Artikel-32-Darstellung bereitsteht, bevor jemand fragt — für einen Interessenten, einen Auditor oder das Datatilsynet.

Artikel 32 belohnt dieselbe Disziplin wie der Rest des Sicherheitsregimes der DSGVO: die unscheinbare Arbeit im Voraus zu leisten, den Nachweis aktuell zu halten — und der Artikel hört auf, eine Haftungsquelle zu sein, und wird zu etwas, worauf Sie einen Kunden verweisen können.

Weisen Sie Ihre Artikel-32-Compliance mit Trust-Center-Nachweisen nach. Sehen Sie, wie die Trust-Center-Plattform von Orbiq funktioniert →


Quellen & Referenzen

  1. Verordnung (EU) 2016/679 (DSGVO) — Volltext (EUR-Lex ELI) — Amtsblatt der Europäischen Union; Artikel 32 im Kontext.
  2. gdpr-info.eu — Artikel 32 (Sicherheit der Verarbeitung) — Artikeltext und Erwägungsgründe.
  3. EDSA — One-Stop-Shop Case Digest: Sicherheit der Verarbeitung und Meldung von Datenpannen — Wie Aufsichtsbehörden „angemessene" TOM in der Praxis beurteilen.
  4. CMS GDPR Enforcement Tracker Report 2025/2026 — Numbers and Figures — Bußgeldkategorien und das Meta-Sicherheitsbußgeld von 251 Mio. Euro.
  5. DLA Piper GDPR Fines and Data Breach Survey: Januar 2026 — 7,1 Mrd. Euro kumuliert; 1,2 Mrd. Euro im Jahr 2025.
  6. Surfshark Research: GDPR fines 2025 — Artikel-32-Bußgelder um über 40 % (69 → 97 Fälle); Meta 251 Mio. Euro + 91 Mio. Euro.
  7. ICO — A guide to data security (UK GDPR) — Britische Leitlinie zur Sicherheit der Verarbeitung.
  8. Datatilsynet — Norwegische Datenschutzbehörde — Sicherheitsleitfaden (Norwegen / EWR).

Weiterführende Artikel

Häufig gestellte Fragen

Was verlangt DSGVO Artikel 32?

Artikel 32 verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Vier Maßnahmen werden beispielhaft genannt: Pseudonymisierung und Verschlüsselung; die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme; die Fähigkeit, die Verfügbarkeit nach einem Vorfall rasch wiederherzustellen; sowie ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen. Was „angemessen“ ist, bemisst sich am Stand der Technik, den Implementierungskosten sowie der Art, dem Umfang, den Umständen, den Zwecken und dem Risiko der Verarbeitung.

Ist Verschlüsselung nach DSGVO Artikel 32 verpflichtend?

Verschlüsselung ist nicht in jedem Fall zwingend, sie ist aber eine von nur zwei ausdrücklich in Artikel 32 Abs. 1 Buchst. a genannten Maßnahmen, und Aufsichtsbehörden behandeln sie als Standarderwartung für personenbezogene Daten im Ruhezustand und bei der Übertragung. Wo sensible oder umfangreiche Daten ohne Verschlüsselung verarbeitet werden, haben Behörden wiederholt einen Verstoß gegen Artikel 32 festgestellt. Wirksame Verschlüsselung ist zudem der zuverlässigste Weg, die Pflicht zur Benachrichtigung betroffener Personen nach Artikel 34 Abs. 3 entfallen zu lassen.

Was sind technische und organisatorische Maßnahmen (TOM)?

Technische und organisatorische Maßnahmen — TOM — sind die konkreten Sicherheitskontrollen, die Artikel 32 erfüllen. Technische Maßnahmen umfassen Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Multi-Faktor-Authentifizierung, Protokollierung, Datensicherungen und Schwachstellentests. Organisatorische Maßnahmen umfassen Sicherheitsrichtlinien, Mitarbeiterschulungen, Prozesse zur Zugriffssteuerung, Verfahren zur Reaktion auf Vorfälle und die Sorgfaltsprüfung von Dienstleistern. Artikel 32 verlangt beides — dokumentiert und stets aktuell gehalten.

Welche Bußgelder drohen bei Verstößen gegen Artikel 32?

Artikel 32 fällt in die niedrigere Bußgeldstufe nach Artikel 83 Abs. 4: bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. In der Praxis waren die Bußgelder erheblich: Die irische DPC verhängte gegen Meta 91 Mio. Euro (September 2024) für die Speicherung von Passwörtern im Klartext — ausdrücklich ein Verstoß gegen Artikel 32 Abs. 1 — und die britische ICO verhängte 2025 gegen Capita 14 Mio. £ wegen Verstößen gegen Artikel 5 Abs. 1 Buchst. f und Artikel 32. „Unzureichende technische und organisatorische Maßnahmen“ gehört zu den am häufigsten geahndeten DSGVO-Kategorien.

Gilt DSGVO Artikel 32 auch in UK und Norwegen?

Ja, in gleichwertiger Form. Die UK GDPR behält dieselbe Pflicht zur Sicherheit der Verarbeitung bei, durchgesetzt von der ICO — die einige der höchsten Sicherheitsbußgelder Europas verhängt hat. Norwegen wendet die DSGVO über das EWR-Abkommen an, beaufsichtigt vom Datatilsynet. Der Maßstab der „geeigneten Maßnahmen“ ist über die EU, den EWR und UK hinweg einheitlich, sodass ein einziges Sicherheitsniveau alle drei erfüllt.

DSGVO Artikel 32: Anforderungen an die Sicherheit der...