Datenschutz und Datensicherheit — Unterschiede und Zusammenspiel
Veröffentlicht: 16. März 2026
Inhaltsverzeichnis
Datenschutz und Datensicherheit — zwei Seiten einer Medaille
Die Begriffe Datenschutz und Datensicherheit werden oft synonym verwendet, beschreiben aber unterschiedliche Konzepte. Für Website-Betreiber sind beide gleichermaßen wichtig: Datenschutz bestimmt die rechtlichen Rahmenbedingungen, Datensicherheit liefert die technischen Mittel zur Umsetzung.
Die Unterscheidung
| Datenschutz | Datensicherheit | |
|---|---|---|
| Fokus | Schutz der Persönlichkeitsrechte | Schutz der Daten selbst |
| Fragt nach | Darf ich diese Daten verarbeiten? (Das “Ob”) | Wie schütze ich die Daten? (Das “Wie”) |
| Bezieht sich auf | Nur personenbezogene Daten | Alle Daten (auch Geschäftsgeheimnisse, Code etc.) |
| Geregelt durch | DSGVO, BDSG, TDDDG | Art. 32 DSGVO, ISO 27001, BSI-Grundschutz |
| Beispiel | ”Wir dürfen die E-Mail-Adresse nur für den Newsletter nutzen" | "Die E-Mail-Adressen sind verschlüsselt gespeichert” |
Datenschutz ohne Datensicherheit ist praktisch nicht umsetzbar — die DSGVO verlangt in Art. 5 Abs. 1 lit. f ausdrücklich “Integrität und Vertraulichkeit” als Grundsatz der Datenverarbeitung.
Datenschutz: Die rechtliche Seite
Grundprinzipien der DSGVO
Die DSGVO-Grundsätze nach Art. 5 bestimmen, wie personenbezogene Daten verarbeitet werden dürfen:
- Rechtmäßigkeit: Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO
- Zweckbindung: Daten nur für festgelegte Zwecke verwenden
- Datenminimierung: Nur erforderliche Daten erheben
- Richtigkeit: Daten aktuell und korrekt halten
- Speicherbegrenzung: Daten löschen, wenn Zweck erfüllt
- Integrität und Vertraulichkeit: Angemessener technischer Schutz
Datenschutz auf Websites
Für Website-Betreiber ergeben sich daraus konkrete Pflichten:
- Datenschutzerklärung mit allen Pflichtangaben nach Art. 13 DSGVO
- Cookie Banner für einwilligungspflichtige Technologien
- Auftragsverarbeitungsverträge mit allen Dienstleistern
- Dokumentation der Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Betroffenenrechte gewährleisten (Auskunft, Löschung, Berichtigung)
Datensicherheit: Die technische Seite
Art. 32 DSGVO — Sicherheit der Verarbeitung
Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen. Die Maßnahmen müssen dem Risiko der Verarbeitung angemessen sein.
Art. 32 nennt beispielhaft:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen
- Fähigkeit, die Verfügbarkeit nach einem Zwischenfall rasch wiederherzustellen
- Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der Maßnahmen
Technische Maßnahmen für Websites
| Maßnahme | Zweck | Relevanz |
|---|---|---|
| SSL/TLS-Verschlüsselung | Transportverschlüsselung zwischen Browser und Server | Pflicht bei Formularen und personenbezogenen Daten |
| Security Headers | Schutz vor XSS, Clickjacking, MIME-Sniffing | Empfehlenswert für alle Websites |
| Regelmäßige Updates | Schließen von Sicherheitslücken | Pflicht (CMS, Plugins, Frameworks) |
| Sichere Passwörter | Schutz vor unbefugtem Zugriff | Pflicht für Admin-Zugänge |
| Backup-Strategie | Wiederherstellung bei Datenverlust | Empfehlenswert |
| Firewall / DDoS-Schutz | Schutz vor Angriffen | Empfehlenswert |
| Zugriffskontrolle | Nur autorisierte Personen haben Zugang | Pflicht |
| Verschlüsselte Speicherung | Schutz ruhender Daten | Empfehlenswert bei sensiblen Daten |
Organisatorische Maßnahmen
Neben technischen Maßnahmen verlangt Art. 32 auch organisatorische Vorkehrungen:
- Berechtigungskonzept: Wer darf auf welche Daten zugreifen?
- Mitarbeiterschulungen: Sensibilisierung für Datenschutz und Datensicherheit
- Notfallplan: Wie reagieren wir bei einer Datenschutzverletzung?
- Dokumentation: Welche Maßnahmen sind implementiert? (TOMs-Verzeichnis)
- Regelmäßige Überprüfung: Sind die Maßnahmen noch wirksam?
Privacy by Design und Privacy by Default
Art. 25 DSGVO — Datenschutz durch Technikgestaltung
Art. 25 DSGVO fordert zwei Prinzipien:
Privacy by Design: Datenschutz soll bereits bei der Entwicklung berücksichtigt werden — nicht erst nachträglich. Für Websites bedeutet das:
- Kontaktformulare: Nur erforderliche Felder (Datenminimierung)
- Analytics: Cookielose Alternative statt datenhungriges Tracking
- Externe Dienste: Lokal einbinden statt von Drittservern laden (Google Fonts)
Privacy by Default: Die datenschutzfreundlichste Einstellung soll Standard sein:
- Cookie Banner: Keine Vorauswahl von Tracking-Kategorien
- Newsletter: Keine vorausgewählten Checkboxen
- Nutzerkonten: Minimale Pflichtfelder bei der Registrierung
Datenschutzverletzungen (Data Breach)
Meldepflicht nach Art. 33 DSGVO
Bei einer Verletzung des Schutzes personenbezogener Daten — etwa einem Hackerangriff, Datenleck oder versehentlichen Veröffentlichung — besteht eine Meldepflicht:
- An die Aufsichtsbehörde: Innerhalb von 72 Stunden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko
- An die betroffenen Personen: Wenn ein hohes Risiko für deren Rechte und Freiheiten besteht (Art. 34 DSGVO)
Typische Szenarien für Websites
- Gehacktes CMS: Angreifer erhält Zugriff auf Kundendaten oder Newsletter-Abonnenten
- Ungesichertes Backup: Datenbank-Dump mit Kundendaten wird öffentlich zugänglich
- Fehlkonfiguration: Kontaktformular-Daten werden unverschlüsselt per E-Mail versendet
- Veraltete Software: Bekannte Sicherheitslücke in Plugin oder Framework wird ausgenutzt
Vorbeugende Maßnahmen — insbesondere regelmäßige Updates, sichere Konfiguration und Zugriffskontrolle — reduzieren das Risiko erheblich.
Checkliste: Datenschutz und Datensicherheit für Websites
Datenschutz
- Datenschutzerklärung vollständig und aktuell
- Cookie Banner für nicht notwendige Cookies
- AVV mit allen Auftragsverarbeitern abgeschlossen
- Verzeichnis der Verarbeitungstätigkeiten (Art. 30)
- Löschkonzept: Wann werden welche Daten gelöscht?
- Betroffenenrechte: Prozess für Auskunfts-/Löschanfragen
Datensicherheit
- SSL/TLS-Verschlüsselung für die gesamte Website
- Security Headers konfiguriert
- CMS, Plugins und Frameworks aktuell
- Sichere Passwörter und Zwei-Faktor-Authentifizierung für Admin-Zugänge
- Regelmäßige Backups mit Wiederherstellungstest
- Zugriffskontrolle: Minimale Berechtigungen
- Notfallplan für Datenschutzverletzungen
- TOMs dokumentiert
Häufige Fragen
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Datenschutz regelt, ob und unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Datensicherheit beschreibt die technischen und organisatorischen Maßnahmen zum Schutz aller Daten vor Verlust, Manipulation und unbefugtem Zugriff. Datenschutz ohne Datensicherheit ist nicht möglich — die DSGVO verlangt in Art. 5 Abs. 1 lit. f ausdrücklich den Grundsatz der “Integrität und Vertraulichkeit”.
Welche technischen Maßnahmen verlangt die DSGVO?
Art. 32 DSGVO nennt beispielhaft: Pseudonymisierung und Verschlüsselung, Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit, Wiederherstellbarkeit bei Zwischenfällen und regelmäßige Überprüfung. Für Websites sind SSL-Verschlüsselung, Security Headers, aktuelle Software und Zugriffskontrolle die grundlegenden Maßnahmen.
Braucht meine Website ein SSL-Zertifikat?
Eine SSL/TLS-Verschlüsselung ist für Websites, die personenbezogene Daten verarbeiten — also praktisch jede Website mit Kontaktformular, Login oder Newsletter-Anmeldung — nach Art. 32 DSGVO in der Regel erforderlich. Details zur Umsetzung finden sich in unserem Ratgeber zum SSL-Zertifikat.
Was sind TOMs im Datenschutz?
TOMs sind technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO. Technische Maßnahmen: Verschlüsselung, Firewalls, Zugriffskontrollen, Backups. Organisatorische Maßnahmen: Mitarbeiterschulungen, Berechtigungskonzepte, Notfallpläne, Dokumentation. TOMs müssen in einem Verzeichnis dokumentiert werden und sind Bestandteil des AVV.
Häufige Fragen
Was ist der Unterschied zwischen Datenschutz und Datensicherheit?
Welche technischen Maßnahmen verlangt die DSGVO?
Braucht meine Website ein SSL-Zertifikat?
Was sind TOMs im Datenschutz?
IT-Berater für Website-Compliance
Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.