Verschlüsselung ist die eine Maßnahme, die Art. 32 DSGVO ausdrücklich beim Namen nennt. Nicht als Option -- als konkretes Beispiel für ein angemessenes Schutzniveau. Trotzdem verschlüsseln viele KMU ihre Daten nicht oder nur lückenhaft. Die Folge: Bei einer Datenpanne drohen nicht nur Bußgelder, sondern auch die aufwendige Benachrichtigung aller Betroffenen.
Dieser Artikel zeigt Ihnen, welche Daten Sie verschlüsseln sollten, welche Methoden es gibt und wie Sie als KMU pragmatisch vorgehen.
Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Der Gesetzestext nennt dabei zwei Maßnahmen ausdrücklich: Pseudonymisierung und Verschlüsselung.
Das bedeutet nicht, dass Verschlüsselung in jedem Fall verpflichtend ist. Aber es bedeutet, dass Aufsichtsbehörden bei einer Prüfung erwarten, dass Sie sich mit Verschlüsselung beschäftigt haben -- und gute Gründe nennen können, wenn Sie in bestimmten Bereichen darauf verzichten.
Der Maßstab ist: Stand der Technik, Implementierungskosten, Art und Umfang der Verarbeitung und die Schwere des Risikos für die betroffenen Personen. Für KMU heißt das: Sie müssen nicht die gleiche Infrastruktur wie ein Konzern aufbauen. Aber die Grundlagen müssen stimmen.
Das BSI bestätigt in seinem IT-Grundschutz-Kompendium: Verschlüsselung gehört zum Stand der Technik. Wer darauf verzichtet, muss das begründen können.
Nicht alle Daten brauchen den gleichen Schutz. Die Faustregel: Je sensibler die Daten, desto zwingender die Verschlüsselung.
| Datenkategorie | Verschlüsselung | Begründung |
|---|---|---|
| Gesundheitsdaten (Art. 9 DSGVO) | Pflicht (de facto) | Besondere Kategorien, hohes Risiko |
| Biometrische Daten | Pflicht (de facto) | Besondere Kategorien, nicht änderbar |
| Finanzdaten (Bankverbindungen, Gehälter) | Dringend empfohlen | Hohes Missbrauchsrisiko |
| Personalakten | Dringend empfohlen | Umfangreiche personenbezogene Daten |
| Kundenstammdaten | Empfohlen | Personenbezogene Daten, Schutzbedarf je nach Umfang |
| Geschäftliche E-Mails | Empfohlen | Oft personenbezogene Inhalte |
| Öffentlich zugängliche Daten | Optional | Geringes Risiko für Betroffene |
Für Arztpraxen und andere Gesundheitsdienstleister gilt: Verschlüsselung von Patientendaten ist keine Option, sondern Pflicht. Gleiches gilt für Unternehmen, die im Bewerbungsprozess sensible Personaldaten verarbeiten.
Verschlüsselung wirkt auf drei Ebenen. Für einen umfassenden Schutz sollten Sie alle drei berücksichtigen.
Sie müssen nicht alles gleichzeitig verschlüsseln. Beginnen Sie mit mobilen Geräten (Laptop-Verschlüsselung per BitLocker/FileVault) und E-Mail-Transportverschlüsselung (TLS). Diese beiden Maßnahmen decken die häufigsten Risikoszenarien ab und sind in wenigen Stunden umgesetzt. Danach: Datenbanken, Backups, Cloud-Speicher.
Sie müssen kein Kryptografie-Experte sein, aber die Grundbegriffe sollten Sie kennen -- spätestens, wenn Sie mit Ihrem IT-Dienstleister über die richtige Lösung sprechen.
Symmetrische Verschlüsselung (AES): Ein Schlüssel für Ver- und Entschlüsselung. Schnell und effizient, deshalb Standard für große Datenmengen. AES-256 gilt als praktisch unknackbar und wird vom BSI empfohlen. Herausforderung: Der Schlüssel muss sicher übertragen und gespeichert werden.
Asymmetrische Verschlüsselung (RSA, ECC): Zwei Schlüssel -- ein öffentlicher zum Verschlüsseln, ein privater zum Entschlüsseln. Langsamer als AES, aber ideal für den sicheren Schlüsselaustausch und digitale Signaturen. Basis für TLS, S/MIME und PGP.
In der Praxis werden beide Methoden kombiniert: Asymmetrische Verschlüsselung für den sicheren Schlüsselaustausch, symmetrische Verschlüsselung für die eigentlichen Daten. Das ist der Standard, den TLS, HTTPS und die meisten VPN-Lösungen verwenden.
Hier wird es für Geschäftsführer interessant. Art. 34 DSGVO schreibt vor, dass bei einer Datenpanne alle betroffenen Personen benachrichtigt werden müssen -- es sei denn, die Daten waren wirksam verschlüsselt.
Das bedeutet konkret: Wenn ein Laptop mit Kundendaten gestohlen wird und die Festplatte per BitLocker verschlüsselt war, entfällt in der Regel die Pflicht zur Einzelbenachrichtigung. Sie müssen den Vorfall trotzdem intern dokumentieren und gegebenenfalls der Aufsichtsbehörde innerhalb von 72 Stunden melden. Aber die aufwendige -- und rufschädigende -- Benachrichtigung aller Betroffenen können Sie sich sparen.
Laut PwC waren 89 % der deutschen Unternehmen in den letzten drei Jahren von Datendiebstahl betroffen. Verschlüsselung ist damit keine theoretische Vorsichtsmaßnahme, sondern eine praktische Schadensbegrenzung für den Fall, der statistisch wahrscheinlich ist.
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern, wo Kundendaten auf einem unverschlüsselten Laptop gespeichert waren. Der Laptop wurde aus dem Auto gestohlen. Weil nichts verschlüsselt war, mussten über 2.000 Personen einzeln benachrichtigt werden.
Nils OehmichenDatenschutzberater bei frag.hugoQuantencomputer werden in absehbarer Zeit in der Lage sein, gängige asymmetrische Verschlüsselungsverfahren wie RSA zu brechen. Das betrifft KMU nicht heute -- aber die Weichen werden jetzt gestellt.
Das NIST hat 2024 die ersten post-quantensicheren Standards veröffentlicht. Software-Hersteller beginnen, diese in ihre Produkte zu integrieren. Für KMU bedeutet das: Bei der nächsten Erneuerung von TLS-Zertifikaten oder VPN-Lösungen auf Produkte achten, die post-quantensichere Algorithmen unterstützen.
Akuter Handlungsbedarf besteht für Unternehmen, die Daten langfristig speichern (z.B. Gesundheitsdaten, Archivdaten). Diese Daten könnten heute abgefangen und in zehn Jahren entschlüsselt werden -- das sogenannte "Harvest now, decrypt later"-Szenario.
Verschlüsselung ist die einzige Schutzmaßnahme, die Art. 32 DSGVO beim Namen nennt. Für KMU bedeutet das: Laptops verschlüsseln, E-Mails per TLS absichern, Backups schützen. Der wichtigste Vorteil: Bei einer Datenpanne kann die Meldepflicht an Betroffene entfallen, wenn die Verschlüsselung nachweislich wirksam war. Starten Sie mit mobilen Geräten und arbeiten Sie sich zur vollständigen Verschlüsselungsstrategie vor.
Verschlüsselungsstrategie für Ihr Unternehmen?
Wir prüfen Ihren aktuellen Stand und helfen Ihnen, die richtigen Maßnahmen nach Art. 32 DSGVO umzusetzen -- pragmatisch und ohne Overengineering.
Kostenlose Erstberatung buchen →Art. 32 DSGVO nennt Verschlüsselung ausdrücklich als geeignete Schutzmaßnahme. Eine absolute Pflicht für alle Daten besteht nicht -- der Gesetzgeber hat bewusst einen flexiblen Rahmen gewählt. Aber bei personenbezogenen Daten mit hohem Risiko (Gesundheitsdaten, Finanzdaten) ist Verschlüsselung de facto Standard. Aufsichtsbehörden erwarten, dass Unternehmen sich mit Verschlüsselung befasst haben und begründen können, wo sie darauf verzichten.
Besondere Kategorien nach Art. 9 DSGVO -- Gesundheitsdaten, biometrische Daten, Daten zur religiösen oder politischen Überzeugung -- sollten immer verschlüsselt werden. Finanzdaten und Personalakten sind ebenfalls dringend empfohlen. Für alle anderen personenbezogenen Daten richtet sich die Verschlüsselungspflicht nach der individuellen Risikoanalyse.
Verschlüsselung im Ruhezustand (at rest) schützt gespeicherte Daten auf Festplatten, in Datenbanken und Backups. Transportverschlüsselung (in transit) schützt Daten während der Übertragung über Netzwerke, etwa per TLS bei E-Mails oder HTTPS bei Websites. Für umfassenden Schutz brauchen Sie beides.
AES-256 ist der Standard für Verschlüsselung im Ruhezustand -- unterstützt von BitLocker, FileVault und allen gängigen Datenbanken. Für E-Mails: TLS als Minimum, S/MIME oder PGP für Ende-zu-Ende-Schutz. Für Cloud-Daten: clientseitige Verschlüsselung mit Tools wie Cryptomator. Der BSI IT-Grundschutz bietet eine gute Orientierung für die Auswahl.
Wenn personenbezogene Daten bei einer Datenpanne wirksam verschlüsselt waren, kann die Pflicht zur Einzelbenachrichtigung der Betroffenen nach Art. 34 DSGVO entfallen. Sie müssen den Vorfall trotzdem intern dokumentieren und der Aufsichtsbehörde innerhalb von 72 Stunden melden. Aber die aufwendige Benachrichtigung aller Betroffenen -- und den damit verbundenen Reputationsschaden -- können Sie vermeiden.
Inhaltsverzeichnis
Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Branchenstandards Februar 2026 - Februar 2026: Neue Datenschutzgesetze, IT-Sicherheitsrichtlinien und Bra
WeiterlesenGastbeitrag: CutToFame Datenschutz Recht am eigenen Bild KI & Regulatorik Dein Gesicht ist dein Kapital – und gleichzeitig ein personenbezogenes Datum....
WeiterlesenData encryption tools compared: VeraCrypt, BitLocker, LUKS, Cryptomator and more. Evaluation criteria, BSI compliance, costs and practical guidance for SMBs.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
