osterheider.ioKontakt
← Alle Artikel

DSGVO technisch umsetzen: Die Maßnahmen, die wirklich zählen

DSGVO ist nicht nur Papier: Welche technischen Maßnahmen Datenschutz wirklich umsetzen – von Verschlüsselung über EU-Hosting bis Löschkonzept. Praxisnah erklärt für KMU in NRW.

Viele Unternehmen behandeln die DSGVO als Papierübung: Datenschutzerklärung kopieren, Cookie-Banner einbauen, fertig. Dabei steckt der eigentliche Kern der Verordnung in den technischen und organisatorischen Maßnahmen (TOM) – also in dem, was tatsächlich mit den Daten passiert. Dieser Artikel zeigt, welche technische Umsetzung wirklich zählt.

Datenschutz ist Sicherheitsarbeit

Die DSGVO verlangt, personenbezogene Daten „nach dem Stand der Technik" zu schützen. Übersetzt heißt das: Datenschutz und IT-Sicherheit sind zwei Seiten derselben Medaille. Wer seine Systeme nicht absichert, kann auch keinen Datenschutz garantieren – egal, wie gut die Datenschutzerklärung formuliert ist.

Die technischen Maßnahmen, die wirklich zählen

In der Praxis sind es einige wenige Hebel, die den Großteil der Wirkung bringen:

  • Verschlüsselung – in der Übertragung (TLS überall) und im Ruhezustand (verschlüsselte Datenbanken und Backups). Bei besonders sensiblen Daten lohnt sich Verschlüsselung direkt auf dem Gerät, wie wir es etwa für die schliessfach.app umgesetzt haben.
  • Zugriffskontrolle – jeder sieht nur, was er braucht. Mehr-Faktor-Authentifizierung, keine geteilten Accounts, dokumentierte Rechtevergabe.
  • Datenminimierung – nur erheben und speichern, was wirklich gebraucht wird. Daten, die nicht existieren, können auch nicht abfließen.
  • EU-Hosting – Daten in der EU halten erspart die komplizierte Prüfung von Drittlandtransfers. Bei deutschen Anbietern wie Hetzner ist das unkompliziert.
  • Löschkonzept – ein technischer Prozess, der Daten nach Ablauf der Aufbewahrungsfristen tatsächlich entfernt, statt sie ewig liegen zu lassen.
  • Protokollierung – nachvollziehen können, wer wann auf welche Daten zugegriffen hat.

Der heikle Sonderfall: KI und LLMs

Sobald KI ins Spiel kommt, wird Datenschutz schnell unübersichtlich. Bei jedem KI- oder LLM-Einsatz entscheidet die Technik über die DSGVO-Konformität:

  • Welche Daten verlassen das Haus? Schickt ein Chatbot Kundendaten an einen US-Anbieter?
  • Wo wird gehostet und protokolliert? Werden Eingaben zum Training weiterverwendet?
  • Lässt sich der Datenfluss eindämmen? Etwa durch EU-Hosting, Anonymisierung oder ein selbst betriebenes Modell.

Das ist genau die Schnittstelle, an der sich meine Arbeit aus IT-Sicherheit und KI-Lösungen trifft – und der Grund, warum ich technischen Datenschutz nicht als juristische Fußnote behandle, sondern als Architekturfrage.

Was Sie selbst, was ein Profi macht

Die Aufgabenteilung ist klar:

  • Juristisch (Datenschutzbeauftragter / Anwalt): Verträge, Verzeichnis der Verarbeitungstätigkeiten, rechtliche Bewertung.
  • Technisch (Entwickler / IT-Sicherheit): Datenflüsse, Hosting, Verschlüsselung, Zugriffs- und Löschkonzepte sauber implementieren.

Ich übernehme die technische Seite – und arbeite dabei gern Hand in Hand mit Ihrem Datenschutzbeauftragten. Wenn Sie wissen wollen, ob Ihre Umsetzung dem Stand der Technik entspricht, ist ein Security-Audit der pragmatische Einstieg. Schreiben Sie mir einfach über das Kontaktformular.

Sie planen eine eigene App, eine Webseite oder mehr Sichtbarkeit bei Google? Erzählen Sie mir von Ihrem Vorhaben – Sie bekommen innerhalb eines Werktags eine ehrliche Einschätzung.

Projekt besprechen

Häufige Fragen

Reicht eine Datenschutzerklärung für DSGVO-Konformität?+
Nein. Die Datenschutzerklärung ist die sichtbare Spitze – die DSGVO verlangt vor allem 'technische und organisatorische Maßnahmen' (TOM), die tatsächlich umgesetzt sein müssen: Verschlüsselung, Zugriffskontrolle, Löschkonzepte und mehr. Ein schönes Dokument ohne dahinterliegende Technik schützt weder die Daten noch vor Bußgeldern.
Brauche ich für DSGVO einen Anwalt oder einen Entwickler?+
Beides – aber für Unterschiedliches. Die juristische Bewertung, Verträge und das Verzeichnis von Verarbeitungstätigkeiten gehören zum Datenschutzbeauftragten oder Anwalt. Die technische Umsetzung – Datenflüsse, Hosting, Verschlüsselung, Zugriffs- und Löschkonzepte – ist Entwickler- und Sicherheitsarbeit. Am besten arbeiten beide Seiten zusammen.
Ist EU-Hosting für die DSGVO Pflicht?+
Nicht zwingend, aber es ist der einfachste sichere Weg. Sobald personenbezogene Daten in Drittländer wie die USA fließen, braucht es zusätzliche Garantien und eine sorgfältige Prüfung. EU-Hosting bei einem Anbieter wie Hetzner spart genau diese Komplexität – gerade bei KI-Diensten ein wichtiger Punkt.