Einführungspreis endet in
--T--Std--Minoder erste 20 Plätze
Jetzt sichern →
← Zur Wissens-Übersicht
Datenschutz CybersecurityDSGVO IT-SicherheitArt 32 DSGVO

Datenschutz und Cybersecurity — Zwei Seiten einer Medaille

Wie DSGVO Art. 32 und NIS2 zusammenwirken und warum ein ISMS beide Anforderungen erfüllt.

Veröffentlicht: 6. März 2026Letzte Aktualisierung: 20. März 20268 Min. Lesezeit

Datenschutz und Cybersecurity sind regulatorisch eng verzahnt: DSGVO Art. 32, NIS2 Art. 21 und AI Act Art. 15 fordern jeweils technische und organisatorische Schutzmaßnahmen. Für Unternehmen bedeutet das 2026 nicht drei getrennte Compliance-Welten, sondern einen gemeinsamen Steuerungsrahmen für Vertraulichkeit, Integrität, Verfügbarkeit, Resilienz und dokumentierte Verantwortlichkeiten.

Die praktische Schlussfolgerung lautet: Wer Datenschutz ohne Informationssicherheit organisiert, verfehlt Art. 32 DSGVO. Wer Cybersecurity ohne Datenschutz organisiert, verfehlt regelmäßig Meldepflichten, Betroffenenkommunikation und Rechenschaftspflichten. Besonders in Deutschland wird diese Verzahnung durch die DSGVO, das BDSG, die NIS2-Umsetzung über das BSIG und die BSI-Praxis sichtbar. Wenn Sie die regulatorische Dreieckslogik vertiefen wollen, lesen Sie ergänzend KI-Verordnung vs. DSGVO, den Vergleich AI Act, NIS2 und DSGVO, unseren Einstieg zu ISO 42001, den Überblick zum NIS2-Hub und die EU AI Act Schulung.

Art. 32 DSGVO im Detail: Sicherheit der Verarbeitung ist Pflicht

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zu geeigneten technischen und organisatorischen Maßnahmen, kurz TOMs. Die Norm verlangt keine abstrakte Sicherheitsfolklore, sondern ein risikobasiertes Sicherheitsniveau, das zum Stand der Technik, zu den Umsetzungskosten, zum Verarbeitungskontext und zum Risiko für Rechte und Freiheiten natürlicher Personen passt.

Für die Praxis sind fünf Elemente aus Art. 32 zentral:

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten.
  2. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten.
  3. Wiederherstellbarkeit nach physischen oder technischen Zwischenfällen.
  4. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen.
  5. Organisatorische Absicherung, damit nicht nur Technik vorhanden ist, sondern auch Prozesse, Zuständigkeiten und Nachweise.

Datenschutzrechtlich ist deshalb nicht nur die Frage relevant, ob Daten verschlüsselt sind. Relevant ist auch, ob Zugriffe sauber gesteuert werden, ob Backups tatsächlich wiederherstellbar sind, ob Protokolle ausgewertet werden, ob Administratorzugänge abgesichert sind und ob Mitarbeitende Vorfälle rechtzeitig erkennen. Genau hier liegt die Brücke zur Cybersecurity.

Ein typischer Fehler besteht darin, Art. 32 nur als „IT-Thema“ zu behandeln. Das ist zu kurz. Art. 32 ist ein Governance-Artikel. Verschlüsselung ohne Schlüsselmanagement, Backup ohne Restore-Test, Richtlinie ohne Schulung und Incident-Prozess ohne klare Zuständigkeiten erfüllen die Norm nur auf dem Papier. Wer die Datenseite im KI-Kontext vertiefen will, findet dazu auch die Einordnung DSGVO und AI Act — Brauche ich zwei Schulungen?.

Verschlüsselung, Pseudonymisierung, Belastbarkeit und Wiederherstellbarkeit

Verschlüsselung ist unter Art. 32 DSGVO kein Luxus, sondern oft die erste belastbare Schutzmaßnahme. Sie reduziert das Risiko bei Transport, Speicherung und Verlust von Geräten oder Datenträgern. Pseudonymisierung ergänzt diesen Schutz, wenn Daten zwar weiter verarbeitet werden müssen, aber die direkte Zuordnung zu Personen reduziert werden soll.

Belastbarkeit und Wiederherstellbarkeit werden in der Praxis häufig unterschätzt. Art. 32 verlangt ausdrücklich, dass Systeme und Dienste auf Dauer widerstandsfähig sind und dass die Verfügbarkeit personenbezogener Daten nach einem Zwischenfall zügig wiederhergestellt werden kann. Genau deshalb gehören Backup-Management, Notfallhandbücher, Krisenkommunikation, Redundanz und getestete Restore-Prozesse nicht nur in ein ISMS, sondern unmittelbar in die Datenschutz-Compliance.

Auch die Evaluierungspflicht ist operativ relevant. Maßnahmen müssen nicht nur eingeführt, sondern regelmäßig geprüft werden. Dazu gehören etwa Schwachstellenmanagement, Penetrationstests, Berechtigungsreviews, Protokollauswertung, Lieferantenbewertungen und Lessons Learned aus Sicherheitsvorfällen. Wenn Sie dafür einen operativen Rahmen suchen, ergänzen Sie diesen Beitrag mit unserem Glossarbegriff Informationssicherheit und dem Beitrag zu Krisenmanagement bei Cyberangriffen.

Art. 33 und 34 DSGVO: 72 Stunden sind keine Zielmarke, sondern die Obergrenze

Art. 33 DSGVO verpflichtet zur Meldung einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, sobald der Verantwortliche Kenntnis hat, sofern voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Art. 34 DSGVO geht einen Schritt weiter: Wenn das Risiko hoch ist, müssen zusätzlich die betroffenen Personen unverzüglich informiert werden.

Die praktische Konsequenz ist erheblich. Ein Ransomware-Vorfall, ein Fehlversand sensibler Daten, ein kompromittierter Admin-Account oder eine Cloud-Fehlkonfiguration ist nicht nur ein Security Incident, sondern häufig auch eine meldepflichtige Datenschutzverletzung. Unternehmen brauchen deshalb innerhalb weniger Stunden eine belastbare Erstbewertung:

  1. Welche Daten sind betroffen?
  2. Sind Vertraulichkeit, Integrität oder Verfügbarkeit verletzt?
  3. Ist das Risiko für betroffene Personen relevant oder hoch?
  4. Welche Aufsichtsbehörde ist zuständig?
  5. Welche Sofortmaßnahmen wurden eingeleitet?

Art. 34 DSGVO enthält wichtige Ausnahmen, etwa wenn geeignete Schutzmaßnahmen die Daten unverständlich gemacht haben, insbesondere durch starke Verschlüsselung. Genau deshalb ist Verschlüsselung nicht nur Prävention, sondern auch meldepflichtenrelevant. Wer Vorfallsteuerung im größeren Cyber-Kontext aufbauen will, sollte ergänzend unseren Beitrag zu Krisenmanagement bei Cyberangriffen lesen.

NIS2 und § 30 BSIG erweitern den Rahmen deutlich

NIS2 erweitert die Datenschutzlogik um eine organisationsbezogene Resilienzpflicht. In Deutschland konkretisiert § 30 BSIG für besonders wichtige und wichtige Einrichtungen, dass geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen zu dokumentieren und umzusetzen sind. Die Norm verlangt dabei ausdrücklich den Stand der Technik, einen gefahrenübergreifenden Ansatz und die Berücksichtigung einschlägiger europäischer und internationaler Normen.

§ 30 Abs. 2 BSIG zeigt, warum NIS2 mehr ist als „DSGVO plus Meldefrist“: Gefordert werden unter anderem Risikoanalyse, Incident Handling, Aufrechterhaltung des Betriebs, Wiederherstellung nach Notfällen, Krisenmanagement, Lieferkettensicherheit, Schwachstellenmanagement, Wirksamkeitsbewertung, Schulung und Sensibilisierung, kryptographische Verfahren, Zugriffskontrolle sowie Multi-Faktor-Authentifizierung. Damit deckt § 30 BSIG viele klassische Art.-32-Themen ab, geht aber in Tiefe und Breite deutlich darüber hinaus.

Das Zusammenspiel ist einfach: DSGVO-TOMs schützen personenbezogene Daten, NIS2-/BSIG-Maßnahmen schützen die Betriebs- und Sicherheitsfähigkeit der Einrichtung insgesamt. Wo personenbezogene Daten in kritischen oder wichtigen Diensten verarbeitet werden, treffen beide Ebenen denselben Prozess. Genau deshalb ist der Blick auf Lieferkettensicherheit, Incident Response und Governance als Anschlussartikel besonders relevant.

Dieselben Vorfälle können zwei Meldeuhren starten

Der wichtigste operative Unterschied liegt in den Meldefristen. Die DSGVO arbeitet mit maximal 72 Stunden gegenüber der Datenschutzaufsicht und gegebenenfalls zusätzlicher Kommunikation an Betroffene. NIS2 arbeitet bei erheblichen Sicherheitsvorfällen mit einer Frühwarnung binnen 24 Stunden, einer weitergehenden Meldung binnen 72 Stunden und einem Abschlussbericht binnen eines Monats. Ein einzelner Vorfall kann daher zwei oder sogar drei parallele Eskalationspfade auslösen.

Beispiel: Ein Gesundheitsdienstleister verliert durch einen kompromittierten Fernzugang die Kontrolle über zentrale Systeme. Aus Datenschutzsicht müssen personenbezogene Gesundheitsdaten, Risiko für Betroffene und Benachrichtigungspflichten bewertet werden. Aus NIS2-Sicht müssen Signifikanz, Dienstbeeinträchtigung, technische Ursachen, Eindämmung und Kommunikation an die zuständige Sicherheitsbehörde geprüft werden. Nutzt dieselbe Organisation zusätzlich Hochrisiko-KI, kann auch die AI-Act-Perspektive zu Genauigkeit, Robustheit und Cybersecurity nach Art. 15 relevant werden.

Die richtige Reaktion ist deshalb kein separater Datenschutz- und kein separater Security-Prozess, sondern ein gemeinsamer Incident Intake mit rechtlicher Aufspaltung im zweiten Schritt. Für die NIS2-Seite lohnt sich dazu die Vertiefung NIS2 Vorfallmeldung Anleitung.

Wo sich die Pflichten überschneiden: DSGVO, NIS2, AI Act und BSI-Grundschutz

Die wirtschaftlichste Umsetzung entsteht dort, wo ein Unternehmen dieselben Kontrollen regulatorisch mehrfach nutzen kann. Die folgende Matrix zeigt die wichtigsten Überschneidungen:

ThemaDSGVONIS2 / § 30 BSIGAI Act / BSI-Grundschutz-Praxis
RisikoanalyseArt. 32 verlangt risikobasierte TOMs; bei hohem Risiko ggf. DSFA.§ 30 Abs. 2 Nr. 1 BSIG verlangt Konzepte zur Risikoanalyse und IT-Sicherheit.AI Act verlangt je nach Rolle und Risikoklasse strukturierte Bewertungen; BSI-Grundschutz operationalisiert Schutzbedarfs- und Risikoanalysen.
Verschlüsselung und KryptografieArt. 32 nennt Verschlüsselung und Pseudonymisierung ausdrücklich.§ 30 Abs. 2 Nr. 8 BSIG verlangt Konzepte und Prozesse für kryptographische Verfahren.BSI-Grundschutz konkretisiert Auswahl, Betrieb und Dokumentation kryptographischer Verfahren.
ZugriffskontrolleErforderlich zur Sicherung von Vertraulichkeit und Integrität.§ 30 Abs. 2 Nr. 9 und 10 BSIG nennt Zugriffskontrolle und Multi-Faktor-Authentifizierung.Bei KI-Systemen und kritischen Plattformen ist Zugriffsschutz zugleich Governance- und Cybersecurity-Maßnahme.
Backup und WiederherstellungArt. 32 fordert Wiederherstellbarkeit und Belastbarkeit.§ 30 Abs. 2 Nr. 3 BSIG verlangt Betriebserhalt, Backup-Management und Notfallwiederherstellung.BSI-Grundschutz bietet dafür modulare Bausteine für Notfallmanagement und Resilienz.
Incident ResponseArt. 33 und 34 DSGVO regeln Meldung und Betroffeneninformation.NIS2 und BSIG regeln Frühwarnung, Meldung und Abschlussbericht für erhebliche Vorfälle.AI Act Art. 15 erhöht die Relevanz systembezogener Robustheit und Cybersecurity; BSI-Grundschutz strukturiert Reaktionsprozesse.
LieferketteÜber Auftragsverarbeitung, Auswahlpflichten und TOM-Prüfung relevant.§ 30 Abs. 2 Nr. 4 BSIG nennt Lieferkettensicherheit ausdrücklich.AI- und Cloud-Anbieter müssen in gemeinsame Vendor-Reviews integriert werden.
Schulung und AwarenessWirksame TOMs setzen geschulte Mitarbeitende voraus.§ 30 Abs. 2 Nr. 7 BSIG verlangt grundlegende Schulungen und Sensibilisierung.AI Act Art. 4 verlangt ausreichende KI-Kompetenz; ISO 42001 und BSI-Grundschutz helfen bei der Systematisierung.
DokumentationRechenschaftspflicht und Nachweis der Maßnahmen.§ 30 Abs. 1 Satz 3 BSIG verlangt Dokumentation der Einhaltung ausdrücklich.Managementsysteme wie ISO 42001 schaffen ein gemeinsames Evidenzmodell.

Synergie-Effekte: Ein ISMS erfüllt beide Anforderungen deutlich effizienter

Ein Informationssicherheits-Managementsystem ist der pragmatischste Weg, Datenschutz und Cybersecurity zusammenzuführen. Ein gutes ISMS schafft Rollen, Risikozyklen, Richtlinien, Kontrollbibliotheken, Lieferantenprüfungen, Vorfallprozesse, Notfallmanagement und Evidenzen. Genau diese Bausteine werden für Art. 32 DSGVO, § 30 BSIG und in angrenzenden Themen auch für den AI Act benötigt.

Der größte Vorteil liegt nicht in „Zertifizierung“, sondern in gemeinsamer Steuerbarkeit. Datenschutzbeauftragte, Informationssicherheit, IT-Betrieb, Einkauf, Compliance und Management arbeiten mit derselben Asset-Liste, derselben Risikomethodik und denselben Nachweisen. Dadurch sinkt der Aufwand bei Audits, Behördenanfragen, internen Freigaben und Vorfällen deutlich. Für die Governance-Brücke zwischen Sicherheit und KI lohnt sich deshalb zusätzlich der Blick auf den ISO-42001-Leitfaden und auf AI Act, NIS2 und DSGVO.

Ein integrierter Ansatz sollte mindestens diese Bausteine enthalten:

  1. Ein gemeinsames Inventar für Systeme, Daten, Anbieter und kritische Prozesse.
  2. Eine einheitliche Risiko- und Schutzbedarfslogik.
  3. Einen Incident-Prozess mit Datenschutz-, NIS2- und gegebenenfalls AI-Act-Prüfung.
  4. Einen Vendor-Review für Cloud-, KI- und IT-Dienstleister.
  5. Ein dokumentiertes Schulungsmodell für Datenschutz, Cyberhygiene und KI-Kompetenz.

FAQ

Ist Cybersecurity-Schulung Pflicht?

Für NIS2-pflichtige Einrichtungen ist die Richtung klar: § 30 Abs. 2 Nr. 7 BSIG verlangt grundlegende Schulungen und Sensibilisierung. Auch außerhalb des NIS2-Scope ist Schulung regelmäßig erforderlich, weil Art. 32 DSGVO nur mit geschulten Mitarbeitenden wirksam umgesetzt werden kann.

Wie hängen DSGVO und NIS2 zusammen?

Die DSGVO schützt personenbezogene Daten, NIS2 die Resilienz von Diensten und Systemen. In der Praxis greifen beide bei denselben Sicherheitsvorfällen oft parallel, aber mit unterschiedlichen Meldewegen, Behörden und Prüfmaßstäben.

Brauche ich separate Teams für Datenschutz und IT-Sicherheit?

Nein. Sie brauchen keine vollständig getrennten Silos, sondern klar definierte Rollen mit gemeinsamer Steuerung, gemeinsamer Dokumentation und abgestimmten Eskalationswegen.

Welche Maßnahmen erfüllen DSGVO und NIS2 gleichzeitig?

Risikoanalyse, Zugriffskontrolle, Verschlüsselung, Multi-Faktor-Authentifizierung, Backup, Restore-Tests, Incident Response, Lieferantenprüfung und dokumentierte Schulungen erfüllen regelmäßig Anforderungen beider Regime gleichzeitig.

Was kostet integrierte Datenschutz-Cybersecurity-Compliance?

Ein integrierter Ansatz ist meist günstiger als getrennte Programme, weil Kontrollrahmen, Richtlinien, Nachweise und Schulungen nicht doppelt aufgebaut werden. Die tatsächlichen Kosten hängen von Größe, Branche, Reifegrad und Zahl kritischer Prozesse ab.

Fazit

Datenschutz und Cybersecurity sind keine konkurrierenden Disziplinen, sondern zwei Perspektiven auf dieselbe Pflicht zur beherrschten digitalen Organisation. Art. 32 DSGVO, Art. 33 und 34 DSGVO, NIS2 und § 30 BSIG verlangen zusammen ein Unternehmen, das Risiken erkennt, Maßnahmen dokumentiert, Vorfälle steuert und Verantwortlichkeiten belastbar nachweisen kann.

Wenn Sie diese Pflichten nicht in parallelen Silos, sondern in einem gemeinsamen Rahmen umsetzen wollen, ist jetzt der richtige Zeitpunkt für eine integrierte Schulungs- und Governance-Strategie. Unsere EU AI Act Schulung ist ein schneller Einstieg in dokumentierbare Kompetenz; ergänzend helfen Ihnen der NIS2-Hub, ISO 42001, KI-Verordnung vs. DSGVO und AI Act, NIS2 und DSGVO, um Datenschutz, Cybersecurity und KI-Compliance gemeinsam zu steuern.

Ihr KI-Nachweis in 90 Minuten

Seit Februar 2025 gilt der EU AI Act. Jedes Unternehmen in der EU muss nachweisen, dass seine Mitarbeiter im Umgang mit KI geschult sind. Per Gesetz und ohne Ausnahme. Ohne Nachweis drohen Bußgelder bis 35 Mio. EUR oder 7% des Jahresumsatzes.

Zur Startseite →