Verschlüsselung im Datenschutz

Zuletzt aktualisiert am 7. April 2026

Unmengen an Daten sind jährlich betroffen von Datendiebstählen und ungewollten Offenlegungen. Dabei haben es Cyberkriminelle meist auf alle Arten von Daten abgesehen. Darum sind Daten gemäß Ihres Schutzbedarfs z.B. durch Verschlüsselung vor Fremdzugriffen zu schützen, denn Verschlüsselung schützt nicht nur vor finanziellen Schäden und Verschlechterung des Rufes, sondern ist auch durch Art. 32 DSGVO vorgesehen.

Erfahren Sie hier, was Sie über datenschutzkonforme Verschlüsselung wissen müssen.

Verschlüsselung nach Art. 32 DSGVO

Der Art. 32 DSGVO verpflichtet Verantwortliche, personenbezogene Daten in angemessener Art und Weise zu schützen. Hierzu sollen „geeignete technische und organisatorische Maßnahmen“ (TOMs) getroffen werden, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Bei der Überlegung, ob eine Maßnahme angemessen ist, werden Faktoren wie der Stand der Technik, die Implementierungskosten berücksichtigt. Außerdem spielen Art, Umfang, Umstände und Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos eine Rolle.

Als eine angemessene technische und organisatorische Maßnahme nennt Art. 32 I lit. a DSGVO die Verschlüsselung. Eine Verschlüsselung schützt gespeicherte Informationen, sodass ein Unbefugter sie beim Zugriff nicht lesen kann. Ziel ist es, dass eventuelle Angreifer bei Versagen aller anderen Schutzmaßnahmen die erbeuteten Daten wenigstens nicht verwenden können.

DSGVO-Bußgelder

Kommt es zu einer Datenpanne, bei der die betroffenen Daten nicht verschlüsselt sind, ist der Vorfall nicht nur meldepflichtig, sondern kann auch hohe Bußgelder mit sich bringen. Dies schadet auf der einen Seite den Finanzen des Unternehmens und auf der anderen Seite dem Ruf in der Öffentlichkeit sowie dem Kundenansehen erheblich.

Tipps für Datenschutz in der Praxis

Besonders bedroht für einen Fremdzugriff sind Systeme, die sich regelmäßig außerhalb des Unternehmens befinden (zum Beispiel Mitarbeiter-Laptops für Homeoffice oder Geräte für den Außendienst). Guter Datenschutz kalkuliert auch die Mitarbeiter und deren menschliche Fehler ein. Dabei ist zu bedenken, dass Mitarbeiter entsprechend geschult sind, die Schutzmaßnahmen für alle einfach durchzuführen sind und trotzdem ein entsprechendes Sicherheitsniveau bieten. Alle Sicherheitssysteme auch neben der Verschlüsselung sollten regelmäßig überprüft und gewartet werden.

Organisatorisch ist zu betrachten welche Assets überhaupt das Unternehmen verlassen dürfen und welche Assets z.B. im Fernzugriff zugänglich werden. IT-Kronjuwelen als wichtigste Assetkategorie dürfen meist nicht das Unternehmen verlassen oder aus der Ferne verfügbar sein.

Für die Verschlüsselung selbst gibt es sowohl Hardware- als auch Software-Lösungen. Besonders zu achten ist hierbei auf ein sicheres Schlüssel-Management. Diese Lösungen müssen nicht teuer oder kompliziert sein. Mit Bitlocker bietet zum Beispiel Windows selbst schon eine gut handhabbare Lösung an. Wenn man sich im Internet bewegt oder E-Mails abruft funktioniert das meist bereits über eine Transportverschlüsselung (TLS), dass passiert meist bereits automatisch und wenn nicht zeigen die Programme wie Browser eine Warnung die vor unsicheren Datentransfer warnt.

Ein gutes Kryptokonzept sollte in keiner Datenschutzumsetzung und in keinem Datenschutzmanagmentsystem fehlen.

Verschlüsselungsarten im Überblick

Bei der Verschlüsselung personenbezogener Daten unterscheidet man grundsätzlich zwischen drei Arten: der Verschlüsselung ruhender Daten (Data at Rest), der Verschlüsselung von Daten während der Übertragung (Data in Transit) und der Verschlüsselung von Daten während der Verarbeitung (Data in Use). Für einen vollständigen Datenschutz sollten Unternehmen alle drei Bereiche berücksichtigen.

Die Verschlüsselung ruhender Daten schützt gespeicherte Informationen auf Festplatten, USB-Sticks, in Datenbanken oder Cloud-Speichern. Hierfür eignen sich Verfahren wie AES-256, das auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen wird. Die Transportverschlüsselung (TLS 1.3) sichert die Kommunikation zwischen Client und Server ab — etwa beim Abruf von E-Mails oder beim Besuch einer Website.

Ende-zu-Ende-Verschlüsselung vs. Transportverschlüsselung

Ein wichtiger Unterschied besteht zwischen der Ende-zu-Ende-Verschlüsselung und der reinen Transportverschlüsselung. Bei der Transportverschlüsselung wird die Verbindung zwischen zwei Kommunikationspartnern verschlüsselt, aber auf den Zwischenstationen (z. B. E-Mail-Servern) liegen die Daten unverschlüsselt vor. Bei der Ende-zu-Ende-Verschlüsselung hingegen können nur Sender und Empfänger die Nachricht lesen — kein Dritter, nicht einmal der Dienstanbieter.

Für besonders sensible Daten wie Gesundheitsdaten, Finanzdaten oder Daten nach Art. 9 DSGVO empfehlen Aufsichtsbehörden ausdrücklich eine Ende-zu-Ende-Verschlüsselung. Dies gilt insbesondere für den E-Mail-Versand, bei dem häufig personenbezogene Daten übermittelt werden.

Verschlüsselung als mildernder Faktor bei Datenpannen

Die Verschlüsselung personenbezogener Daten kann bei einer Datenpanne einen wichtigen Vorteil bieten: Gemäß Art. 34 Abs. 3 lit. a DSGVO entfällt die Pflicht zur Benachrichtigung der betroffenen Personen, wenn die Daten durch geeignete technische Schutzmaßnahmen — insbesondere Verschlüsselung — für Unbefugte unzugänglich gemacht wurden. Dies kann den Reputationsschaden für das Unternehmen erheblich begrenzen.

Auch bei der Bemessung von Bußgeldern berücksichtigen Aufsichtsbehörden, ob und welche technisch-organisatorischen Maßnahmen das Unternehmen ergriffen hat. Eine nachweislich implementierte Verschlüsselungsstrategie kann als mildernder Faktor wirken und die Höhe eines möglichen Bußgeldes reduzieren.

Empfehlungen für die Praxis

Um eine wirksame Verschlüsselungsstrategie umzusetzen, empfehlen wir als externer Datenschutzbeauftragter folgende Schritte:

• Erstellen Sie ein Kryptokonzept, das alle Verschlüsselungsmechanismen dokumentiert
• Verschlüsseln Sie alle mobilen Endgeräte (Laptops, Smartphones, Tablets) vollständig
• Implementieren Sie eine Transportverschlüsselung für alle E-Mail-Kommunikation
• Nutzen Sie Ende-zu-Ende-Verschlüsselung für besonders sensible Datenübertragungen
• Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit Verschlüsselungstechnologien
• Überprüfen Sie die eingesetzten Verschlüsselungsverfahren regelmäßig auf Aktualität

Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Entwicklung und Umsetzung eines vollständigen Kryptokonzepts als Teil der DSGVO-Compliance.

Häufige Fehler bei der Verschlüsselung

In der Praxis begegnen uns als Datenschutzbeauftragte regelmäßig typische Fehler bei der Umsetzung von Verschlüsselungsmaßnahmen. Ein häufiger Fehler ist die Verwendung veralteter Verschlüsselungsstandards wie SSL 3.0 oder TLS 1.0, die als unsicher gelten und nicht mehr dem Stand der Technik entsprechen. Das BSI empfiehlt mindestens TLS 1.2, idealerweise TLS 1.3 für die Transportverschlüsselung.

Ein weiterer kritischer Punkt ist das Schlüsselmanagement: Verschlüsselungsschlüssel werden häufig unsicher aufbewahrt, nicht regelmäßig rotiert oder gehen bei Personalwechseln verloren. Auch die fehlende Verschlüsselung von Backup-Medien ist ein verbreitetes Risiko — wenn verschlüsselte Produktivdaten unverschlüsselt auf Backup-Bändern gesichert werden, ist der Schutz hinfällig. Die Erstellung eines vollständigen Datenschutzkonzepts hilft, solche Lücken systematisch zu identifizieren und zu schließen.

Sollten Sie Beratung zu datenschutzrechtlichen Maßnahmen oder Hilfe bei deren Umsetzung benötigen, steht Ihnen unser Team an Experten gerne zur Verfügung.

Datenschutz für Ihr Unternehmen

• DSGVO-Beratung
• Verarbeitungsverzeichnis
• TOM Datenschutz
• Datenschutz-Schulung

Erstberatung anfragen