# Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Datensicherheit als Grundsatz der DSGVO: Schutz vor unbefugter Verarbeitung, Verlust und Zerstörung; Verhältnis zu Art. 32 DSGVO; risikobasierter Ansatz bei den Sicherheitsmaßnahmen.

> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.8-integritaet-und-vertraulichkeit
> Sprache: de



Art. 5 Abs. 1 lit. f DSGVO erhebt die Datensicherheit in den Rang eines Grundsatzes. Die Vorschrift verlangt eine Verarbeitung in einer Weise, die „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet". Sie benennt zwei Ziele, denen die Maßnahmen dienen müssen: Integrität und Vertraulichkeit.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Der Grundsatz erhebt die **Datensicherheit** zum eigenständigen Grundsatz mit den zwei Schutzzielen Integrität (Unversehrtheit) und Vertraulichkeit (Schutz vor unbefugter Kenntnisnahme).
  * Erfasst sind nicht nur gezielte Eingriffe, sondern auch **unbeabsichtigte** Verluste, Zerstörungen und Schädigungen (Fehlbedienung, Hardwareausfall, Naturereignisse).
  * Der Maßstab ist **risikobasiert**: Die angemessene Sicherheit richtet sich nach Risiko, Art, Umfang und Kontext der Verarbeitung sowie der Bedeutung der Daten.
  * Bei besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO besteht ein **erhöhter Schutzbedarf**.
  * Der Grundsatz wird durch **Art. 32 DSGVO** konkretisiert und verzahnt sich mit Art. 25, 28, 33, 34 und 35 DSGVO; ein Verstoß ist bußgeldbewehrt.
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Die zwei Schutzziele [#11-die-zwei-schutzziele]

* **Integrität** bezeichnet den Schutz der **Unversehrtheit** der Daten. Daten sollen nicht unbefugt ganz oder teilweise gelöscht, zerstört oder verändert werden.
* **Vertraulichkeit** bezeichnet den Schutz vor **unbefugter Kenntnisnahme** und damit vor unbefugter Verarbeitung durch Dritte.

Der Grundsatz erfasst nicht nur gezielte Eingriffe, sondern ausdrücklich auch unbeabsichtigten Verlust, unbeabsichtigte Zerstörung und unbeabsichtigte Schädigung. Damit umfasst er etwa Fehlbedienungen, Hardwareausfälle und Naturereignisse.

### 1.2 Verhältnis zu Art. 32 DSGVO [#12-verhältnis-zu-art-32-dsgvo]

Der Grundsatz wird durch Art. 32 DSGVO konkretisiert. Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Nach Art. 32 Abs. 1 lit. b DSGVO gehört die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu den zentralen Schutzzielen.

### 1.3 Rechtsfolge [#13-rechtsfolge]

Ein Verstoß gegen den Grundsatz macht die Verarbeitung unzulässig und kann über Art. 83 Abs. 5 lit. a DSGVO bußgeldbewehrt sein; darüber hinaus greifen ggf. die Meldepflichten nach Art. 33, 34 DSGVO bei einer Verletzung des Schutzes personenbezogener Daten.

## 2 Maßstab der „angemessenen" Sicherheit [#2-maßstab-der-angemessenen-sicherheit]

### 2.1 Risikobasierter Ansatz [#21-risikobasierter-ansatz]

Die Angemessenheit der Sicherheitsmaßnahmen richtet sich nach den Umständen der Verarbeitung. Entscheidende Faktoren sind:

* das Risiko eines unberechtigten Zugriffs,
* die Art, der Umfang und der Kontext der Verarbeitung ([EuGH, Urt. v. 08.04.2014, C-293/12, C-594/12, Digital Rights Ireland, Rn. 54 f.](https://curia.europa.eu/juris/document/document.jsf?docid=150642\&doclang=DE)),
* die Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen.

Bei Finanzdaten, Gesundheitsdaten oder sonstigen besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO ist der Schutzbedarf erhöht. Entsprechend sind höhere Anforderungen an Verschlüsselung, Zugriffskontrollen und Protokollierung zu stellen.

### 2.2 Zugang zu Daten und Geräten [#22-zugang-zu-daten-und-geräten]

Erwägungsgrund 39 S. 12 DSGVO verlangt, dass „Unbefugte keinen Zugang zu den Daten und keinen Zugang zu den Geräten, mit denen diese verarbeitet werden", erhalten. Der Grundsatz erfasst damit sowohl die logische Sicherheit (Authentifizierung, Berechtigungskonzepte) als auch die physische Sicherheit (Räumlichkeiten, Hardware, Datenträger).

## 3 Bezug zu weiteren Pflichten [#3-bezug-zu-weiteren-pflichten]

Art. 5 Abs. 1 lit. f DSGVO verzahnt sich mit einer Reihe weiterer Pflichten der DSGVO:

* **Datenschutz durch Technikgestaltung** (Art. 25 DSGVO): Die Grundsätze der Sicherheit sind bereits bei der Auswahl und Gestaltung der Verarbeitungssysteme zu berücksichtigen.
* **Auftragsverarbeitung** (Art. 28 DSGVO): Der Auftragsverarbeiter muss ausreichende Garantien für die Sicherheit seiner Verarbeitung bieten.
* **Meldung und Benachrichtigung** (Art. 33, 34 DSGVO): Wird der Schutz personenbezogener Daten verletzt, bestehen Melde- und ggf. Benachrichtigungspflichten.
* **Datenschutz-Folgenabschätzung** (Art. 35 DSGVO): Bei Verarbeitungen mit hohem Risiko ist das Sicherheitskonzept Teil der Bewertung.

<Cards>
  <Card title="Datensicherheit" href="/docs/dsgvo-hub/einzelthemen/1.3.9-datensicherheit" description="Technische und organisatorische Maßnahmen nach Art. 32 DSGVO." />

  <Card title="Rechenschaftspflicht" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht" description="Art. 5 Abs. 2 DSGVO: Nachweis der Sicherheitsmaßnahmen." />

  <Card title="Digital Rights Ireland" href="/docs/dsgvo-hub/rechtsprechung/1.4.5-eugh-digital-rights-ireland" description="EuGH C-293/12: Sicherheitsanforderungen bei Vorratsdatenspeicherung." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.