Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Lexikon

Wiki»Datensicherheit

Datensicherheit


Begriff und Bedeutung der Datensicherheit

Datensicherheit bezeichnet den Schutz von Daten vor unbefugtem Zugriff, Manipulation, Verlust oder sonstigen Bedrohungen – sowohl während der Speicherung als auch beim Transfer und der Verarbeitung. Im rechtlichen Kontext umfasst Datensicherheit alle technischen und organisatorischen Maßnahmen, die darauf abzielen, Informationen jedweder Art gegen Risiken für ihre Integrität, Verfügbarkeit und Vertraulichkeit abzusichern. Die Gewährleistung der Datensicherheit ist eng mit Datenschutz, IT-Sicherheitsrecht und branchenspezifischen Regelungen verknüpft und bildet einen wesentlichen Bestandteil moderner Compliance- und Governance-Strukturen.

Abgrenzung zu verwandten Begriffen

Datensicherheit vs. Datenschutz

Obwohl Datensicherheit und Datenschutz oft synonym verwendet werden, grenzen sich die Begriffe voneinander ab. Während Datensicherheit sich auf den generellen Schutz aller Daten – unabhängig von deren Personenbezug – bezieht, umfasst Datenschutz speziell den Schutz personenbezogener Daten vor Missbrauch. Dennoch stellt die Datensicherheit eine grundlegende Voraussetzung für die Umsetzung datenschutzrechtlicher Vorgaben dar.

Informationssicherheit

Informationssicherheit ist ein übergeordneter Begriff, der alle schützenswerten Informationen in einem Unternehmen oder einer Behörde einschließt. Datensicherheit fokussiert sich auf elektronische und physische Daten als spezielle Teilmenge der Informationssicherheit.

Gesetzliche Grundlagen der Datensicherheit

Allgemeines

Die gesetzlichen Verpflichtungen zur Wahrung der Datensicherheit finden sich in europäischen und nationalen Regelwerken wieder. Sie betreffen Unternehmen, Behörden und andere datenverarbeitende Stellen gleichermaßen und sehen bei Verstößen teils empfindliche Sanktionen vor.

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union normiert im Artikel 32 ausdrücklich die „Sicherheit der Verarbeitung“. Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein dem Risiko angemessenes Schutzniveau zu garantieren. Hierzu zählen insbesondere:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bundesdatenschutzgesetz (BDSG) und weitere nationale Vorschriften

Ergänzend zur DSGVO konkretisiert das Bundesdatenschutzgesetz (BDSG) in Deutschland die Anforderungen an Datensicherheit, etwa in Hinblick auf die Auftragsverarbeitung (§ 28 BDSG) und technisch-organisatorische Maßnahmen. Daneben existieren branchenspezifische Regelungen für Sektoren wie Telekommunikation, Gesundheitswesen und Finanzdienstleistungen, welche spezifische, teils verschärfte Vorgaben für die Absicherung von Daten enthalten (z. B. § 109 TKG, § 75 SGB V).

IT-Sicherheitsgesetz und KRITIS

Mit dem IT-Sicherheitsgesetz und dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) wurden die Anforderungen für sogenannte kritische Infrastrukturen (KRITIS) erheblich ausgeweitet. Betreiber kritischer Infrastrukturen und bestimmte Unternehmen werden in besonderer Weise verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zur Abwehr von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen und Sicherheitsvorfälle unverzüglich zu melden (§ 8a BSIG).

Weitere relevante Gesetze und Regelwerke

  • Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG)
  • Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
  • Handelsgesetzbuch (HGB) und Abgabenordnung (AO) (speziell bezüglich Archivierung und Schutz von Buchhaltungsdaten)
  • Branchenspezifische Anforderungen nach MaRisk, ISO/IEC 27001 und branchenspezifische Normen

Technische und organisatorische Maßnahmen zur Datensicherheit

Die Umsetzung der Datensicherheitspflichten erfolgt über ein Bündel technischer und organisatorischer Maßnahmen, die regelmäßig geprüft und angepasst werden müssen.

Technische Maßnahmen

  • Zugangskontrolle: Sicherstellung, dass Unbefugte keinen Zugriff auf Datenverarbeitungssysteme erhalten.
  • Zugriffskontrolle: Begrenzung der Nutzerrechte auf das notwendige Maß.
  • Übertragungskontrolle: Schutz gegen unbefugte Kenntnisnahme während der Übermittlung personenbezogener Daten.
  • Eingabekontrolle: Nachvollziehbarkeit, ob und von wem Daten in Systemen eingegeben, verändert oder entfernt worden sind.
  • Verfügbarkeitskontrolle: Schutz gegen zufällige oder vorsätzliche Zerstörung oder Verlust.
  • Verschlüsselung: Schutz besonders sensibler Daten durch geeignete Verschlüsselungstechnologien.

Organisatorische Maßnahmen

  • Schulungen und Sensibilisierung der Mitarbeitenden im Umgang mit sensiblen Daten und IT-Systemen.
  • Etablierung von Notfall- und Wiederherstellungsplänen, um Daten bei Systemausfällen oder Angriffen wiederherstellen zu können.
  • Kontinuierliche Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen durch Audits und Penetrationstests.
  • Verpflichtung zur Verschwiegenheit für alle datenverarbeitenden Personen.

Haftung und Sanktionen bei Verletzung der Datensicherheit

Die Nichtbeachtung datensicherheitsrechtlicher Vorgaben kann erhebliche zivilrechtliche, strafrechtliche und aufsichtsrechtliche Konsequenzen nach sich ziehen.

Zivilrechtliche Ansprüche

Betroffene können im Schadensfall Schadensersatzansprüche nach Art. 82 DSGVO und § 823 BGB geltend machen, wenn durch unzureichende Datensicherheit persönliche oder wirtschaftliche Schäden verursacht wurden.

Ordnungswidrigkeiten und Bußgelder

Behörden wie die Datenschutzaufsichtsbehörden können bei Pflichtverstößen empfindliche Geldbußen verhängen. Nach Art. 83 DSGVO können diese bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Strafrechtliche Konsequenzen

Das Strafgesetzbuch (StGB) sieht in den §§ 202a ff. StGB Straftatbestände vor, die sich auf das unbefugte Beschaffen, Verändern oder Löschen von Daten beziehen.

Praxisrelevanz und besondere Anwendungsbereiche

Unternehmen und Organisationen

Für Wirtschaftsunternehmen und Behörden sind effektive Datensicherheitsmaßnahmen eine Grundlage für die Einhaltung gesetzlicher und vertraglicher Pflichten. Darüber hinaus ist Datensicherheit von zentraler Bedeutung zur Wahrung von Geschäftsgeheimnissen und vertraulichen Informationen.

Cloud-Dienste und internationale Datenübermittlung

Die Nutzung von Cloud-Services und grenzüberschreitende Datenübermittlungen stellen besondere Anforderungen an die Datensicherheit. Hier gelten neben nationalen Vorschriften auch internationale Standards und Mechanismen wie die Standardvertragsklauseln (SCC) und Zertifizierung nach ISO/IEC 27001.

Fazit

Datensicherheit ist ein integraler Bestandteil des modernen Rechtsrahmens zum Schutz von Informationen. Die umfangreichen gesetzlichen Vorgaben erfordern eine ständige Überprüfung und Anpassung technischer und organisatorischer Prozesse zur Sicherstellung der Integrität, Vertraulichkeit und Verfügbarkeit von Daten. Die konsequente Umsetzung datensicherheitsrechtlicher Normen schützt nicht nur vor erheblichen Sanktionen, sondern bildet auch eine zentrale Grundlage für Vertrauen, Integrität und Geschäftserfolg in der digitalen Gesellschaft.

Häufig gestellte Fragen

Welche rechtlichen Pflichten bestehen bei einem Datenschutzverstoß?

Bei einem Datenschutzverstoß, insbesondere wenn personenbezogene Daten unbefugt offengelegt, verloren oder verändert werden, bestehen umfangreiche rechtliche Pflichten nach der Datenschutz-Grundverordnung (DSGVO). Verantwortliche Stellen sind gemäß Art. 33 DSGVO verpflichtet, die Verletzung des Schutzes personenbezogener Daten unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden, an die zuständige Aufsichtsbehörde zu melden. Die Meldung muss mindestens die Art der Datenpanne, die betroffenen Datenkategorien, die wahrscheinlichen Folgen sowie die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes oder Abschwächung der Folgen enthalten. In bestimmten Fällen, insbesondere wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, muss zudem gemäß Art. 34 DSGVO auch die betroffene Person unverzüglich informiert werden. Nichtbefolgung dieser Meldepflichten kann mit empfindlichen Bußgeldern geahndet werden, die gemäß Art. 83 DSGVO bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Wert höher ist.

Wann ist eine Datenschutz-Folgenabschätzung gesetzlich vorgeschrieben?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO immer dann gesetzlich vorgeschrieben, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Zu solchen Risikosituationen zählen etwa die umfangreiche Verarbeitung sensibler Datenkategorien nach Art. 9 DSGVO, eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) oder die umfangreiche Überwachung öffentlicher Bereiche. Die DSFA muss vor Beginn der entsprechenden Datenverarbeitung durchgeführt werden und hat zum Ziel, die Risiken und geeignete Abhilfemaßnahmen systematisch zu identifizieren und zu dokumentieren. Versäumt ein Verantwortlicher die Durchführung einer DSFA, kann dies durch die Datenschutzaufsichtsbehörden mit Sanktionen bis hin zu erheblichen Bußgeldern geahndet werden.

Welche rechtlichen Anforderungen gelten für die Auftragsverarbeitung?

Die Verarbeitung personenbezogener Daten im Auftrag ist nach Art. 28 DSGVO nur zulässig, wenn zwischen dem Verantwortlichen und dem Auftragsverarbeiter ein schriftlicher Vertrag oder ein anderes Rechtsinstrument nach dem Unions- oder dem Mitgliedstaatenrecht geschlossen wurde. Dieser Vertrag muss konkret regeln, welche Daten in welchem Umfang verarbeitet werden, welche Sicherheitsmaßnahmen der Auftragsverarbeiter umzusetzen hat und dass er Daten ausschließlich gemäß Weisung des Verantwortlichen verarbeitet. Zudem ist geregelt, dass Unterauftragsverhältnisse nur mit ausdrücklicher Genehmigung des Verantwortlichen eingegangen werden dürfen. Der Verantwortliche bleibt bei der Auftragsverarbeitung stets für die Einhaltung des Datenschutzes verantwortlich und muss die Einhaltung der Anforderungen auch regelmäßig kontrollieren und dokumentieren.

Welche Bußgelder drohen bei Verstößen gegen datenschutzrechtliche Vorschriften?

Die DSGVO sieht in Art. 83 ein gestuftes Sanktionssystem mit empfindlichen Geldbußen vor. Allgemeine Verstöße, etwa gegen die Pflichten zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten oder zur Durchführung einer Datenschutz-Folgenabschätzung, können mit bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes eines Unternehmens belegt werden. Schwere Verstöße, beispielsweise gegen Grundsätze der Datenverarbeitung (Art. 5 DSGVO), die Rechte der betroffenen Personen (Art. 12-22 DSGVO) oder Bedingen für eine Einwilligung (Art. 7 DSGVO) können mit bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes sanktioniert werden. Die genaue Höhe bemisst sich nach Art, Schwere und Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Schadensminderung sowie dem Vorliegen einer Wiederholungstat.

Welche Dokumentationspflichten bestehen im Bereich Datensicherheit?

Gemäß Art. 30 DSGVO sind Verantwortliche verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis muss Angaben zu den Zwecken der Verarbeitung, den Kategorien der betroffenen Personen und Daten, den Empfängern, etwaigen Übermittlungen an Drittländer, den vorgesehenen Fristen für die Löschung und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen enthalten. Auch Auftragsverarbeiter sind verpflichtet, ein eigenes, auf ihre Tätigkeiten bezogenes Verzeichnis zu führen. Diese Dokumentationspflicht dient sowohl als Nachweis gegenüber den Aufsichtsbehörden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) als auch als Grundlage im Falle von Datenschutzvorfällen, Kontrollen oder Prüfungen.

Inwieweit sind technische und organisatorische Maßnahmen gesetzlich vorgeschrieben?

Die Implementierung technischer und organisatorischer Maßnahmen (TOM) ist nach Art. 32 DSGVO zwingend erforderlich, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu den Maßnahmen zählen unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Die Auswahl und Ausgestaltung dieser Maßnahmen hängt vom Stand der Technik, den Implementierungskosten, Art, Umfang und Zweck der Verarbeitung sowie den unterschiedlichen Eintrittswahrscheinlichkeiten und Schweregraden möglicher Risiken ab. Die Erfüllung dieser Pflichten muss nachweisbar dokumentiert sein, damit sie im Fall einer Kontrolle durch die Aufsichtsbehörde überprüft werden kann.

Welche rechtlichen Vorgaben bestehen beim Datentransfer in Drittländer außerhalb der EU?

Datenübermittlungen in Staaten außerhalb des Europäischen Wirtschaftsraums (Drittländer) sind nach Art. 44 ff. DSGVO nur zulässig, wenn im Empfängerstaat ein angemessenes Datenschutzniveau besteht. Dies kann durch einen Angemessenheitsbeschluss der Europäischen Kommission, mittels geeigneter Garantien wie Standardvertragsklauseln, verbindliche Unternehmensregeln (Binding Corporate Rules) oder – in Ausnahmefällen – aufgrund ausdrücklicher Einwilligung der betroffenen Person erfolgen. Die Verantwortlichen müssen hierbei insbesondere den Datentransfer dokumentieren und die Betroffenen über die Risiken informieren, die sich aus einem niedrigeren Datenschutzniveau ergeben können. Wird gegen diese Vorgaben verstoßen, drohen empfindliche Bußgelder gemäß Art. 83 DSGVO.

Auf dieser Seite

Weitere Begriffserklärungen

Autoren:

MTR Legal Rechtsanwälte

MTR Legal ist eine bundesweit und international tätige Wirtschaftskanzlei mit Schwerpunkt im Handels- und Gesellschaftsrecht, Steuerrecht, Kapitalmarktrecht und Vertriebsrecht. Die Kanzlei berät Unternehmen, Investoren sowie Privatpersonen in wirtschaftsrechtlichen Fragestellungen und vertritt deren Interessen in außergerichtlichen und gerichtlichen Verfahren. Die Arbeit erfolgt interdisziplinär und digital organisiert. MTR Legal ist an mehreren deutschen Standorten präsent, darunter Berlin, Düsseldorf, Frankfurt, Hamburg, Köln, Leipzig, München und Stuttgart, sowie mit Repräsentanzen in London, Paris und Amsterdam.
Kontakt aufnehmen
„Die auf dieser Seite veröffentlichten Beiträge stellen keine individuelle Rechtsberatung dar, sondern dienen ausschließlich der allgemeinen Information. Eine Haftung für die Aktualität, Richtigkeit und Vollständigkeit der bereitgestellten Informationen wird nicht übernommen. Durch das Lesen oder die Nutzung der Inhalte entsteht kein Mandatsverhältnis
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Oft gesucht

Karriere
Offices
Rechtsanwälte
News

Weitere Infos

News
Datenschutz
Impressum

Social Media

Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte

Offices

Berlin
Düsseldorf
Frankfurt
Hamburg
Köln
München
Stuttgart
Bonn

© 2025 MTR Rechtsanwaltsgesellschaft mbH