DSGVO und IT-Sicherheit: Die 12-Punkte-Audit-Checkliste
12 konkrete Prüfpunkte für den DSGVO-IT-Sicherheits-Audit: Häufige Fundstellen, Beispielmaßnahmen und Tool-Empfehlungen für den Mittelstand.
DSGVO und IT-Sicherheit: Die 12-Punkte-Audit-Checkliste
Key Takeaways
- Art. 32 DSGVO fordert technische und organisatorische Maßnahmen — ohne konkreten Katalog, aber mit Nachweispflicht
- Die häufigsten Bußgeldgründe sind fehlende Verschlüsselung, schlechte Zugriffskontrollen und kein Löschkonzept
- Jeder der 12 Punkte enthält konkrete Prüffragen und Beispielmaßnahmen
- Viele DSGVO-Anforderungen überschneiden sich mit NIS-2 — einmal prüfen, doppelt nutzen
- Tool-Empfehlungen sind kosteneffizient auf KMU-Budgets ausgelegt
DSGVO-IT-Sicherheit: Was Art. 32 tatsächlich verlangt
Artikel 32 der DSGVO verpflichtet Unternehmen, „geeignete technische und organisatorische Maßnahmen" umzusetzen — kurz TOMs. Was „geeignet" bedeutet, hängt vom Stand der Technik, dem Implementierungsaufwand, der Art der verarbeiteten Daten und dem Risiko ab.
Das klingt vage, hat aber in der Aufsichtspraxis konkrete Konsequenzen: Bei einer Datenpanne fragt die Behörde als erstes nach den TOMs. Wer keine dokumentierten Maßnahmen nachweisen kann, hat ein Problem — unabhängig davon, ob die Panne technisch vermeidbar gewesen wäre.
Diese Checkliste geht die 12 häufigsten Prüfpunkte durch, die Datenschutzauditoren und Behörden bei KMU regelmäßig beanstanden.
Punkt 1: Verschlüsselung gespeicherter Daten
Was geprüft wird: Sind personenbezogene Daten auf Servern, Endpunkten und Backups verschlüsselt?
Häufige Fundstelle: Kundendatenbanken auf Windows-Servern ohne BitLocker oder VeraCrypt. Backup-Medien ohne Verschlüsselung, die physisch aus dem Rechenzentrum transportiert werden.
Beispielmaßnahme: BitLocker für Windows-Server und Endpunkte aktivieren. Backup-Lösung mit AES-256-Verschlüsselung konfigurieren. Dokumentieren, welche Schlüssel wo gespeichert sind.
Tool-Empfehlung: Windows: BitLocker (integriert). Linux: LUKS. Backup: Veeam, Restic, Duplicati.
Punkt 2: Verschlüsselung in der Übertragung
Was geprüft wird: Laufen alle Übertragungen personenbezogener Daten über verschlüsselte Verbindungen (TLS 1.2 oder höher)?
Häufige Fundstelle: Interne Web-Applikationen ohne HTTPS. E-Mail-Server ohne STARTTLS. FTP statt SFTP für Dateiübertragungen an Dienstleister.
Beispielmaßnahme: TLS-Zertifikate für alle intern genutzten Web-Applikationen (Let's Encrypt für interne Dienste über privates PKI). FTP-Zugriffe auf SFTP umstellen. TLS-Version in nginx/Apache auf 1.2+ einschränken.
Test: SSL Labs Server Test oder nmap --script ssl-enum-ciphers für interne Server.
Punkt 3: Zugriffsrechte und Least Privilege
Was geprüft wird: Haben Nutzer nur die Zugriffsrechte, die sie für ihre Tätigkeit benötigen?
Häufige Fundstelle: Domain-Admins für alle IT-Mitarbeiter ohne Begründung. Servicekonten mit lokalen Adminrechten. Ehemalige Mitarbeiter, deren Accounts noch aktiv sind.
Beispielmaßnahme: Active Directory Audit mit dem kostenlosen Tool BloodHound CE oder Microsoft's AD Assessment. Servicekonten auf minimale Rechte reduzieren. Automatisiertes Offboarding-Verfahren einrichten, das Accounts sperrt und Zugänge entzieht.
Tool-Empfehlung: BloodHound CE (AD-Analyse), Microsoft LAPS (lokale Adminpasswörter).
Punkt 4: Multi-Faktor-Authentifizierung
Was geprüft wird: Ist MFA für alle Zugänge aktiv, über die personenbezogene Daten erreichbar sind — insbesondere Remote-Zugänge, Cloud-Dienste und Administratorkonten?
Häufige Fundstelle: VPN ohne MFA. Microsoft 365 ohne Conditional Access. Admin-Konten mit nur Passwortschutz.
Beispielmaßnahme: Microsoft 365: Conditional Access mit MFA-Pflicht für alle Nutzer, besonders Admins. VPN: Aufrüstung auf MFA-fähige Lösung (z. B. Fortinet mit TOTP). Bewährt: TOTP-Apps (Microsoft Authenticator, Authy) statt SMS.
Tool-Empfehlung: Microsoft Entra ID (ehem. Azure AD) für M365, Authentik für Self-Hosted-Dienste.
Punkt 5: Logging und Zugriffsprotokolle
Was geprüft wird: Werden Zugriffe auf personenbezogene Daten protokolliert? Sind Logs vor Manipulation geschützt und werden sie ausgewertet?
Häufige Fundstelle: Keine Protokollierung von Datenbankzugriffen. Server-Logs die nach 7 Tagen überschrieben werden. Logs auf demselben System gespeichert, das überwacht wird.
Beispielmaßnahme: Zentrales Log-Management einrichten. Datenbankaudit-Logs aktivieren (PostgreSQL pgaudit, MySQL Audit Plugin). Logs auf externen SIEM-Server weiterleiten (Wazuh, Graylog).
Aufbewahrung: Logs mit Personenbezug mindestens 3 Monate, für Nachweiszwecke empfohlen bis zu 12 Monate.
→ Wazuh als Log-Management-Lösung: /products/edge
Punkt 6: Patch- und Schwachstellenmanagement
Was geprüft wird: Werden Sicherheitsupdates für alle Systeme zeitnah eingespielt? Gibt es ein dokumentiertes Verfahren mit SLAs?
Häufige Fundstelle: Windows-Server mit monatelang ausstehenden Updates. End-of-Life-Systeme (Windows Server 2012, Windows 7) mit Produktivdaten. Keine Übersicht über eingesetzte Software-Versionen.
Beispielmaßnahme: Patch-SLA definieren: kritische CVEs (CVSS ≥ 9) innerhalb 72 Stunden, hohe CVEs innerhalb 7 Tage. Windows Update für Business für automatische Updates. Asset-Inventar mit Versionsinformationen führen.
Tool-Empfehlung: Wazuh Vulnerability Detection, Microsoft Defender Vulnerability Management, OpenVAS.
Punkt 7: Backup und Wiederherstellung
Was geprüft wird: Gibt es aktuelle, getestete Backups personenbezogener Daten? Ist die Wiederherstellungszeit (RTO) dokumentiert?
Häufige Fundstelle: Backups die laufen, aber nie auf Wiederherstellbarkeit getestet wurden. Backup-Medium am selben physischen Ort wie das Produktivsystem. Keine Offsite-Kopie.
Beispielmaßnahme: 3-2-1-Backup-Strategie: 3 Kopien, 2 verschiedene Medien, 1 Offsite. Quartalsweise Restore-Test dokumentieren. Backup-Ergebnis täglich prüfen (automatisierte E-Mail-Benachrichtigung bei Fehlern).
Tool-Empfehlung: Veeam Backup & Replication, Restic (Open Source), Backblaze B2 als Offsite-Ziel.
Punkt 8: Löschkonzept und Datenminimierung
Was geprüft wird: Werden personenbezogene Daten nach Ablauf der Aufbewahrungsfristen tatsächlich gelöscht? Ist das Löschkonzept schriftlich dokumentiert?
Häufige Fundstelle: Kundendaten die seit Jahren nicht mehr aktiv sind, aber nie gelöscht wurden. E-Mail-Archive ohne Löschfristen. Testdaten mit Echtdaten in Entwicklungsumgebungen.
Beispielmaßnahme: Datenarten und Aufbewahrungsfristen tabellarisch festhalten. Automatisierte Löschroutinen für ablaufende Daten einrichten. Testdaten durch anonymisierte Datensätze ersetzen.
Tool-Empfehlung: Für Datenbank-Löschroutinen: PostgreSQL-Cron-Jobs. Für E-Mails: Exchange/M365 Retention Policies.
Punkt 9: Auftragsverarbeitungsverträge (AVV)
Was geprüft wird: Sind mit allen Dienstleistern, die personenbezogene Daten verarbeiten, aktuelle AVVs abgeschlossen?
Häufige Fundstelle: Cloud-Dienste (Google Workspace, Microsoft 365, Hosting) ohne aktuellen AVV. IT-Dienstleister mit Fernzugriff auf Kundensysteme ohne AVV. Veraltete AVVs, die nicht mehr dem aktuellen Dienstleistungsumfang entsprechen.
Beispielmaßnahme: Dienstleister-Inventar anlegen und für jeden den AVV-Status dokumentieren. Für gängige Anbieter sind AVVs oft im Kundenkonto abrufbar (Microsoft, Google, AWS). Jährliche Überprüfung der AVVs einplanen.
Punkt 10: Sicherheitsvorfälle und Meldepflichten
Was geprüft wird: Gibt es einen dokumentierten Prozess für die Erkennung und Meldung von Datenpannen?
Häufige Fundstelle: Kein Prozess, der definiert, wer im Unternehmen einen Vorfall meldet. Keine Kenntnis der 72-Stunden-Meldefrist an die Aufsichtsbehörde. Keine interne Dokumentation früherer Vorfälle.
Beispielmaßnahme: Incident-Response-Prozess schriftlich festhalten: Wer ist erster Ansprechpartner? Wann wird der Datenschutzbeauftragte eingebunden? Wann die Behörde? Wann die Betroffenen? Vorlage für Behördenmeldung vorbereiten.
Hinweis: DSGVO-Meldefrist und NIS-2-Meldefrist (24/72 Stunden) überschneiden sich — ein gemeinsamer Prozess ist effizienter.
Punkt 11: Mitarbeiterschulungen und Awareness
Was geprüft wird: Wurden alle Mitarbeiter mit Zugang zu personenbezogenen Daten geschult? Gibt es Nachweise?
Häufige Fundstelle: Schulungen die einmalig bei Einstellung stattfanden, aber nicht wiederholt werden. Keine Dokumentation der Teilnahme. Keine spezifischen Schulungen für Hochrisiko-Bereiche wie HR, Buchhaltung, IT-Administration.
Beispielmaßnahme: Jährliche Pflichtschulung mit schriftlicher Bestätigung (Unterschrift oder digitale Bestätigung). Online-Schulungsplattform für Dokumentationszwecke nutzen (KnowBe4, Awareness One oder einfachere kostenfreie Alternativen). Phishing-Simulationen als ergänzende Awareness-Maßnahme.
Punkt 12: Technische und physische Zugangskontrolle
Was geprüft wird: Sind Server und IT-Systeme mit personenbezogenen Daten gegen unbefugten physischen Zugriff gesichert?
Häufige Fundstelle: Server in frei zugänglichen Büros oder Schränken ohne Schloss. Keine Besucherdokumentation für Serverräume. Druckausgaben mit personenbezogenen Daten an öffentlichen Druckern.
Beispielmaßnahme: Serverraum mit Schlüsselkarte oder PIN gesichert. Zugangsprotokoll führen. Drucker mit PIN-Druck-Funktion konfigurieren. Clean-Desk-Policy einführen.
Gesamtbewertung: So nutzen Sie die Checkliste
Gehen Sie jeden Punkt durch und vergeben Sie einen Status:
- Grün: Maßnahme umgesetzt, dokumentiert
- Gelb: Maßnahme teilweise umgesetzt, Dokumentation fehlt
- Rot: Maßnahme nicht umgesetzt
Priorisieren Sie rote Punkte nach Risiko: Fehlende Verschlüsselung und fehlende MFA für Remote-Zugänge sind in der Regel die kritischsten Fundstellen.
Die gute Nachricht: Viele dieser Maßnahmen lassen sich mit vorhandenen Mitteln und überschaubarem Aufwand umsetzen. Das Dokumentieren ist oft aufwendiger als die technische Umsetzung — aber Behörden prüfen die Dokumentation.
→ Automatische Überprüfung über Vyrex Node: /products/node → Compliance-Report exportieren: /products/edge → DSGVO + NIS-2 gemeinsam angehen: /nis2 → TwoPixels als Umsetzungspartner: /partner/twopixels → Fragen zu Ihrer Situation: /faq
FAQ
Muss ich als kleines Unternehmen einen DSGVO-IT-Audit durchführen? Ja, auch Kleinstunternehmen müssen technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO nachweisen können. Ein formeller externer Audit ist nicht vorgeschrieben, aber eine dokumentierte interne Überprüfung ist Pflicht. Bei einer Datenpanne fragt die Aufsichtsbehörde als erstes nach den TOMs.
Was sind die häufigsten DSGVO-Verstöße im IT-Bereich? Laut Aufsichtsbehörden sind die häufigsten Fundstellen: fehlende oder unverschlüsselte Backups, unsichere Datenübertragung (kein TLS/HTTPS), fehlende Zugriffsprotokollierung auf personenbezogene Daten, mangelhaftes Löschkonzept und zu weit gefasste Zugriffsrechte ohne Least-Privilege-Prinzip.
Wie oft muss der IT-Sicherheits-Audit wiederholt werden? Die DSGVO schreibt keine feste Frequenz vor, empfiehlt aber eine regelmäßige Überprüfung. Branchenstandard ist ein vollständiger Review einmal jährlich, ergänzt durch anlassbezogene Prüfungen bei größeren IT-Änderungen (neue Systeme, Dienstleisterwechsel, Sicherheitsvorfälle).
Häufige Fragen
Muss ich als kleines Unternehmen einen DSGVO-IT-Audit durchführen?
Ja, auch Kleinstunternehmen müssen technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO nachweisen können. Ein formeller externer Audit ist nicht vorgeschrieben, aber eine dokumentierte interne Überprüfung ist Pflicht. Bei einer Datenpanne fragt die Aufsichtsbehörde als erstes nach den TOMs.
Was sind die häufigsten DSGVO-Verstöße im IT-Bereich?
Laut Aufsichtsbehörden sind die häufigsten Fundstellen: fehlende oder unverschlüsselte Backups, unsichere Datenübertragung (kein TLS/HTTPS), fehlende Zugriffsprotokollierung auf personenbezogene Daten, mangelhaftes Löschkonzept und zu weit gefasste Zugriffsrechte ohne Least-Privilege-Prinzip.
Wie oft muss der IT-Sicherheits-Audit wiederholt werden?
Die DSGVO schreibt keine feste Frequenz vor, empfiehlt aber eine regelmäßige Überprüfung. Branchenstandard ist ein vollständiger Review einmal jährlich, ergänzt durch anlassbezogene Prüfungen bei größeren IT-Änderungen (neue Systeme, Dienstleisterwechsel, Sicherheitsvorfälle).