Datensicherheit & Datenschutz laut DSGVO

12 Tipps, mit denen Sie die Datensicherheit in Ihrem Unternehmen erhöhen

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(6 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Datenschutz und Datensicherheit gehen alle Unternehmen etwas an – besonders dann, wenn sie mit personenbezogenen Daten arbeiten.
  • Um das Risiko von Datendiebstahl, Betriebsspionage und Cyberangriffen aus aller Welt zu reduzieren, sind angemessene Sicherheitsmaßnahmen unabdingbar.
  • Wer das Thema Datensicherheit und den Schutz von Daten im Unternehmen nicht ernst nimmt, riskiert bei einer Datenpanne nicht nur einen Reputationsverlust, sondern auch hohe Bußgelder.

Worum geht's?

Daten sind das Kapital des digitalen Zeitalters. Sie ermöglichen es Unternehmen, personalisierte Dienstleistungen und innovative Produkte anzubieten, die eigene Zielgruppe besser zu verstehen und Prozesse zu optimieren. Sie sind aber auch eine Achillesferse, wenn sie durch Bedrohungen von außen oder ein internes Sicherheitsleck in falsche Hände oder an die Öffentlichkeit geraten. Um die Konsequenzen eines solchen Datenverlusts zu verhindern, müssen die Daten ausreichend geschützt und gesichert werden. Wir erklären, was Datensicherheit ist, was passieren kann, wenn diese nicht ernst genommen wird und wie Sie die Daten in Ihrem Unternehmen vor Missbrauch und Verlust bewahren.

1. Was ist Datensicherheit einfach erklärt?

Der Begriff Datensicherheit oder auch Informationssicherheit beschreibt den Schutz sämtlicher Daten innerhalb eines Unternehmens – unabhängig davon, ob es sich um Daten mit oder ohne Bezug zu einer Person handelt.

Ziel ist es, alle digitalen und analogen Daten vor dem Zugriff Dritter im Rahmen von Cyberangriffen, Betriebsspionage und Datendiebstahl sowie vor einem Verlust durch betriebsinterne Datenpannen zu schützen.

Welche Schutzziele verfolgt die Datensicherheit?

Das Konzept der Datensicherheit verfolgt mehrere Schutzziele. Sie alle dienen dem Schutz der Daten vor Beschädigung, Löschung, Verlust und Veränderung. Die zentralen Ziele sind:

  • Vertraulichkeit: Nur berechtigte Personen können auf Daten zugreifen. Der Datenzugriff und -austausch durch Unbefugte wird durch verschiedene Sicherheitsmaßnahmen (z. B. Datenverschlüsselung) verhindert.
  • Integrität: Daten dürfen nicht ohne Genehmigung oder Kontrolle verändert, verfälscht oder gelöscht werden.
  • Verfügbarkeit: Der Zugriff auf wichtige Daten im Unternehmen muss zu jeder Zeit sichergestellt sein, indem Schutzmaßnahmen z. B. die Gefahr von Systemausfällen einschränken.
  • Authentizität: Echtheit und Unverfälschbarkeit der Daten sind stets zu gewährleisten.

Erreicht werden sollen die Schutzziele der Datensicherheit durch verschiedene Sicherheitsmaßnahmen – die sogenannten TOMs.

Auf welchen gesetzlichen Grundlagen beruht die Datensicherheit?

Datensicherheit und Datenschutz sind zwei eng miteinander verwobene Konzepte, weshalb sie auch auf den gleichen gesetzlichen Vorschriften und Regelwerken beruhen. Zentrale gesetzliche Grundlage ist die 2018 in Deutschland und der EU eingeführte Datenschutz-Grundverordnung (DSGVO).

Das Bundesdatenschutzgesetz in seiner neuen Fassung (BDSG-neu) von 2018 ergänzt die Bestimmungen der DSGVO und konkretisiert den Datenschutz auf nationaler Ebene.

Mehr zu den gesetzlichen Grundlagen von Datenschutz und Datensicherheit lesen Sie im Artikel „Das Internet-ABC zum Datenschutz: Darauf müssen Unternehmen achten“.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit?

Beim Datenschutz geht es um personenbezogene Daten, also Daten, durch die ein direkter Rückschluss auf eine Person möglich ist – etwa eine Telefonnummer, die Adresse oder das Kfz-Kennzeichen. Im Fokus des Datenschutzes steht dabei das Recht auf informationelle Selbstbestimmung. So ist etwa in der DSGVO festgelegt, unter welchen Voraussetzungen personenbezogene Daten legal erhoben, übermittelt und verarbeitet werden dürfen.

Die Datensicherheit befasst sich nicht nur mit dem Schutz personenbezogener, sondern sämtlicher Daten, die innerhalb eines Unternehmens erhoben und verarbeitet werden. Das können persönliche Kundendaten oder Kontoverbindungen von Beschäftigten sein, aber auch Daten wie Konstruktionspläne. Die Datensicherheit verfolgt das Ziel, diese Daten durch geeignete Sicherheitsmaßnahmen vor Missbrauch und Verlust zu bewahren.

Gut zu wissen

Datensicherheit ist ohne Datenschutz nicht denkbar und Datenschutz nicht ohne Datensicherheit. Beide Konzepte bedingen sich gegenseitig. Einen angemessenen Datenschutz gibt es ohne effektive Maßnahmen der Datensicherheit nicht.

Beide Konzepte können sich jedoch auch im Weg stehen. Bestimmte Sicherheitsmaßnahmen wie etwa das Sichern von Daten in einer Cloud erfüllen zwar die Ziele der Datensicherheit, stehen aber dem Datenschutz entgegen. Werden Daten in einer Cloud gespeichert, liegt eine Datenübertragung vor, für die es eine Einwilligung der betroffenen Personen braucht, sofern es sich um personenbezogene Daten handelt.

Warum die Datenspeicherung in Clouds datenschutzrechtlich bedenklich sein kann und welche Maßnahmen Sie ergreifen müssen, um personenbezogene Daten DSGVO-konform in einer Cloud zu speichern, erklären wir Ihnen ausführlich im Artikel „Rechtssicher in der Cloud: Ihre Daten bei Dropbox, iCloud, Google Drive & Co“.

2. Datensicherheit im Unternehmen: 12 Tipps für sichere Daten in der Firma

Um Betriebsspionage, Cyberangriffe oder einen Datenverlust aus Fahrlässigkeit abzuwehren bzw. zu verhindern, sollten Unternehmen gewisse Sicherheitsmaßnahmen einführen. Dabei sollte klar sein, dass auch noch so durchdachte Sicherheitskonzepte und Schutzmaßnahmen keinen 100%-igen Schutz vor einem Zugriff durch Unbefugte geben können. Außerdem gilt es bei allen Maßnahmen, Datensicherheit gegen Datenschutz abzuwägen, da diese nicht immer Hand in Hand gehen.

Geht es um Datensicherheitsmaßnahmen, lautet das Stichwort: TOMs. Die Abkürzung steht für verschiedene technische und organisatorische Maßnahmen, mit denen die Datensicherheit in Unternehmen erhöht und die Gefährdung der IT-Sicherheit minimiert werden kann.

Maßnahmen zur Datensicherheit

Welche Maßnahmen sich für Ihr Unternehmen eignen, hängt unter anderem vom Betrieb und Ihrem Geschäftsmodell ab. Wir haben Ihnen zur Veranschaulichung 12 beispielhafte Sicherheitsmaßnahmen zusammengestellt, um die Datennutzung und die Datenverarbeitung zu sichern:

  1. Zugriffskontrollen: Durch Vergabe von geschützten Benutzerkonten, starken Passwörtern und Berechtigungskontrollen stellen Sie sicher, dass nur befugte Personen Zugriff auf die entsprechenden Daten haben.
  2. Zutrittskontrolle: Zäune, elektronische Zutrittssysteme und Alarmanlagen verhindern, dass sich Unbefugte unerlaubt physischen Zugang zum Firmengebäude oder bestimmten Räumen wie z. B. den Serverräumen verschaffen können.
  3. Firewalls, Netzwerksicherung: VPN-Verbindungen und Firewalls schützen Ihre IT-Systeme vor unbefugten Netzwerkzugriffen.
  4. Verschlüsselung: Sämtliche Daten, die Sie im Unternehmen erheben und verarbeiten, sollten nur verschlüsselt übermittelt werden. Das gilt auch für die interne und externe Kommunikation.
  5. Aktenschränke: Sensible Daten von Kunden, Mandanten oder Patienten sollten, sofern sie in Papierform vorliegen, in jedem Fall verschlossen aufbewahrt werden, z. B. in abschließbaren Aktenschränken.
  6. Mehrfache Datensicherung: Sichern Sie sämtliche Daten regelmäßig durch Backups. Ist das Backup in einer Cloud gespeichert, sollten Sie daran denken, dass eine solche Datensicherung dem Datenschutz entgegenstehen kann (Stichwort: personenbezogene Daten).
  7. Sensibilisierung: Durch Schulungen, Workshops und betriebsinterne Trainings sensibilisieren Sie Ihre Mitarbeitenden für Datenschutz und Datensicherheit.
  8. Verantwortlichkeiten: Legen Sie transparent fest, wer in Ihrem Unternehmen mit welchen Daten wie umgehen kann, soll und darf. Nur wer verantwortlich ist, bekommt eine entsprechende Berechtigung, auf die Daten zuzugreifen.
  9. Homeoffice: Arbeiten Ihre Mitarbeitenden viel oder ausschließlich von Zuhause aus, sollten Sie Vereinbarungen für den Datenschutz im Homeoffice treffen. Dazu gehören z. B. die Verschlüsselung sämtlicher Datenträger und die Verwendung eines gesicherten Netzwerkes.
  10. Risikomanagement: Risikobewertungen helfen dabei, Schwachstellen zu identifizieren und geeignete Schutzmaßnahmen zu ergreifen. Eine Datenschutz-Folgeabschätzung dient wiederum dazu, einzuschätzen, wie hoch die Gefahr einer Datenschutzverletzung ist, wenn Sie gewisse Prozesse und Technologien einsetzen.
  11. Sicherheitskonzept: Halten Sie alle Maßnahmen in einem Datensicherheitskonzept fest. So können Sie nicht nur dokumentieren, welche Maßnahmen Sie ergriffen haben, sondern Ihren Mitarbeitern auch einen Leitfaden an die Hand geben.
  12. Datenschutzbeauftragter, Datenschutzsoftware: Ein Datenschutzbeauftragter hilft Ihnen bei der Umsetzung der Maßnahmen und stellt sicher, dass diese technisch und datenschutzrechtlich stets auf dem aktuellen Stand sind. Alternativ kommt insbesondere für kleinere Unternehmen eine Datenschutz-Software in Frage.

Praxis-Tipp

Idealerweise übernimmt die Rolle des Datensicherheitsbeauftragten ein Experte. Ein interner oder externer Datenschutzbeauftragter unterstützt Geschäftsführung und Mitarbeitende bei der Umsetzung geeigneter technischer und organisatorischer Maßnahmen und ist der erste Ansprechpartner bei Unsicherheiten und Fragen zum Datensicherheitskonzept.

Ausführliche Informationen zu TOMs sowie weitere Beispiele für geeignete Maßnahmen finden Sie in unserem passenden Artikel zum Thema „Technisch organisatorischen Maßnahmen: Was ist das und wie muss ich TOMs in meinem Unternehmen umsetzen?“.

Was Sie in Ihrem Unternehmen gemäß DSGVO noch alles regeln müssen, zeigen wir Ihnen im Übersichtsartikel „Datenschutz im Unternehmen: Checkliste“.

3. Mangelhafte Datensicherheit: Risiken & Folgen

Datenschutz und Datensicherheit spielen für alle Unternehmen eine wichtige Rolle – und das nicht erst seit Inkrafttreten der Datenschutzgrundverordnung. Ohne Frage hat diese jedoch die möglichen Konsequenzen verschärft, wenn Unternehmer das Thema Datensicherheit und Datenschutz nicht ernst genug nehmen. Was sind die Risiken und Folgen von mangelnder Datensicherheit?

Geldbußen bei Datenschutzverstößen

Verstößt ein Betrieb gegen die Vorgaben der DSGVO und kommt es zur Datenschutzverletzung, drohen je nach Schwere des Verstoßes Geldbußen in Höhe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

Selbst Firmen, die nach einer Datenpanne ordnungsgemäß handeln und – wie es die DSGVO vorschreibt – den Datenschutzverstoß melden, sind vor den Sanktionen der Datenschutzbehörden nicht geschützt.

So ersuchte etwa das Hamburger Unternehmen Kolibri Image 2018 den Landesbeauftragten für Datenschutz um Rat, weil es trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung von einem Dienstleister erhielt. Da das Unternehmen dem Dienstleister jedoch auch keinen eigenen AV-Vertrag schickte, verhängte die Datenschutzbehörde ein Bußgeld von 5.000 Euro – mittlerweile wurde dieses jedoch zurückgenommen.

Wie hoch die Strafen für welche Art von Datenschutzverstößen ausfallen und welche Unternehmen bereits ins Visier der Datenschutzbehörden geraten sind, haben wir Ihnen im Artikel „DSGVO-Bußgelder - Darauf sollten Sie achten“ zusammengefasst.

Reputationsschäden bei mangelhafter Datensicherheit

Eine mangelhafte Datensicherheit kann nicht nur mitunter horrende Geldbußen der Datenschutzbehörden nach sich ziehen, sondern hat auch immense Auswirkungen auf das Reputationsmanagement des Unternehmens.

Wird eine Datenschutzverletzung öffentlich, ist ein zeitweiser Reputationsverlust bis hin zum totalen Imageverlust die Folge – und zwar für den Großteil der betroffenen Unternehmen. So hatten laut einem Forbes Insight Bericht 46% der befragten US-Unternehmen mit einem Imageschaden infolge eines Datenschutzverstoßes zu kämpfen.

Kunden, Geschäftspartner und die Öffentlichkeit verlieren das Vertrauen in das Unternehmen, wenden sich ab und orientieren sich an Mitbewerbern. Die vertrauensvolle Beziehung zu den eigenen Kunden und Geschäftspartnern wieder aufzubauen, kostet Zeit – und die bis dahin eingehenden Vertragskündigungen, Rechtsstreitigkeiten und Umsatzeinbußen können nicht selten existenzbedrohend für das Unternehmen sein.

Rechtliche Konsequenzen fehlender Datensicherheit

Neben Umsatzeinbußen, Geldstrafen und einem nicht selten beträchtlichen Imageschaden kann fehlende Datensicherheit im Unternehmen auch weitere rechtliche Konsequenzen haben – denn nicht nur die Behörden können Datenschutzkontrollen durchführen und Verstöße sanktionieren. Wettbewerber und Verbraucherschutzverbände haben ebenfalls das Recht, gegen eine Datenschutzverletzung mit einer DSGVO-Abmahnung vorzugehen.

Sind im Zuge der Datenpanne sensible personenbezogene Daten verloren gegangen oder öffentlich bekannt geworden, kann darüber hinaus auch die betroffene Person gegen das Unternehmen rechtliche Schritte einleiten.

Der beste Schutz gegen Risiken und Folgen mangelhafter Datensicherheit ist, es gar nicht erst zu den schädlichen Auswirkungen eines Datenschutzverstoßes im Unternehmen kommen zu lassen.

Sören Siebert
Sören SiebertRechtsanwalt

4. Wie Sie Sicherheitslücken beim Datenschutz vorbeugen

Durch geeignete technische und organisatorische Maßnahmen können Sie eine Datenpanne oder den Datenzugriff durch Unbefugte zwar nicht zu 100 % ausschließen – aber zumindest die Gefahr deutlich reduzieren.

Dafür ist es wichtig zu wissen, wie es überhaupt um Datensicherheit und Datenschutz in Ihrem Unternehmen bestellt ist. Um den Ist-Zustand zu analysieren, eignen sich verschiedene Maßnahmen, abhängig vom Unternehmen und Geschäftsmodell. Betreiben Sie beispielsweise ein digitales Business oder einen Online-Shop, müssen Website und Shop den Anforderungen der DSGVO entsprechen. Eine DSGVO-konforme Datenschutzerklärung ist hier nur der Anfang.

Möchten Sie sichergehen, dass Ihre Website bzw. Ihr Onlineshop sämtliche Datenschutzbestimmungen erfüllen, können Sie diese von den Datenschutzexperten der eRecht24 Partnerkanzlei Siebert Lexow prüfen lassen. Schauen Sie sich dafür doch gern unseren Website- und DSGVO Check oder unseren Online-Shop Check an.

Für eine umfangreiche Datenschutzprüfung der gesamtbetrieblichen Prozesse Ihres Unternehmens ist ein Datenschutzaudit gemäß DSGVO sinnvoll. Das Audit kann intern oder durch einen externen – und damit objektiven – Datenschutzexperten remote oder vor Ort durchgeführt werden.

Jetzt zur Datensicherheit beraten lassen

Kanzlei Siebert Lexow Lang

Im Anschluss an das Audit erhalten Sie umfassende Handlungsempfehlungen, mit denen sich Sicherheitslücken schließen und Datensicherheit und Datenschutz in Ihrem Unternehmen durch geeignete Maßnahmen erhöhen lassen. Haben Sie Interesse an einem Datenschutz-Audit für Ihr Unternehmen, ist die Kanzlei Siebert Lexow Lang Ihr Ansprechpartner.

Jetzt zur Datensicherheit beraten lassen

5. FAQ: Häufige Fragen zur Datensicherheit

Was gehört alles zu Datensicherheit?

Datensicherheit betrifft den Schutz sämtlicher Daten – ob digital oder analog, personenbezogen oder nicht. Um für ausreichende Datensicherheit zu sorgen, müssen Unternehmen bestimmte technische und organisatorische Maßnahmen umsetzen. Dazu gehören beispielsweise das Sichern der Daten durch Backups und Kopien, ein eingeschränkter Datenzugang mittels Berechtigungen und Nutzererkennung sowie die Stärkung der IT-Sicherheit durch Firewalls, komplexe Passwörter und VPNs.

Welche Formen der Datensicherheit gibt es?

Im Mittelpunkt des Konzepts der Datensicherheit stehen vier Schutzziele, die durch geeignete organisatorische Schutzmaßnahmen und Technologien erreicht werden sollen: Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität.

Wie unterscheidet sich die Datensicherheit vom Datenschutz?

Datensicherheit und Datenschutz gehen Hand in Hand, sind aber nicht das Gleiche. Während sich der Datenschutz mit personenbezogenen Daten befasst, widmet sich die Datensicherheit laut Definition dem Schutz sämtlicher Daten, ob mit Personenbezug oder nicht. Datenschutz klärt rechtliche Fragen, wie mit personenbezogenen Daten umzugehen ist. Datensicherheit befasst sich mit Maßnahmen, die geeignet sind, diesen Schutz sicherzustellen. Beide Konzepte verfolgen das gemeinsame Ziel, Daten zu schützen.

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Sophie Suske
Sophie Suske, M.A.
Legal Writerin, freiberuflich

Sophie Suske hat einen Masterabschluss in Sprach- und Kommunikationswissenschaften. Angefangen in der juristischen Redaktion eines Legal Tech Start Ups bereichert sie seit 2022 mit ihrer Expertise das Redaktionsteam von eRecht24 als freie Legal Writerin. Ihre inhaltlichen Schwerpunkte liegen dabei im Datenschutz, E-Commerce- und Markenrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details