Im Laufe des Jahres 2024 ist deutlich geworden, dass Datenschutz und IT-Sicherheit von Aufsichtsbehörden zunehmend als zusammengehörige Themen betrachtet werden. Technische und organisatorische Maßnahmen nach Artikel 32 DSGVO stehen dabei verstärkt im Mittelpunkt von Prüfungen und Verfahren.
In mehreren Stellungnahmen und behördlichen Verfahren zeigte sich, dass Datenschutzverstöße häufig nicht auf fehlende Rechtsgrundlagen, sondern auf unzureichende technische Absicherungen zurückzuführen sind. Dazu zählen etwa kompromittierte E-Mail-Konten, fehlende Zugriffsbeschränkungen oder unzureichende Backup-Konzepte.
Besondere Aufmerksamkeit gilt dabei grundlegenden Sicherheitsmaßnahmen wie der Absicherung von Benutzerkonten, der Trennung von Benutzer- und Administratorrechten sowie der regelmäßigen Aktualisierung von Systemen und Anwendungen. Auch der Schutz mobiler Endgeräte und externer Zugriffe spielt eine zentrale Rolle.
Für Unternehmen ist es daher sinnvoll, regelmäßig zu überprüfen, ob die eingesetzten technischen Maßnahmen noch dem aktuellen Sicherheitsniveau entsprechen. Dabei geht es weniger um komplexe Speziallösungen als um die konsequente Umsetzung bewährter Standards.
Eine nachvollziehbare Dokumentation der eingesetzten Schutzmaßnahmen kann im Fall von Sicherheitsvorfällen oder behördlichen Rückfragen hilfreich sein. Sie trägt dazu bei, die getroffenen Entscheidungen transparent darzustellen und organisatorische Abläufe nachvollziehbar zu machen.