Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
Datensicherheit als Grundsatz der DSGVO: Schutz vor unbefugter Verarbeitung, Verlust und Zerstörung; Verhältnis zu Art. 32 DSGVO; risikobasierter Ansatz bei den Sicherheitsmaßnahmen.
Art. 5 Abs. 1 lit. f DSGVO erhebt die Datensicherheit in den Rang eines Grundsatzes. Die Vorschrift verlangt eine Verarbeitung in einer Weise, die „eine angemessene Sicherheit der personenbezogenen Daten gewährleistet". Sie benennt zwei Ziele, denen die Maßnahmen dienen müssen: Integrität und Vertraulichkeit.
Das Wichtigste in Kürze
- Der Grundsatz erhebt die Datensicherheit zum eigenständigen Grundsatz mit den zwei Schutzzielen Integrität (Unversehrtheit) und Vertraulichkeit (Schutz vor unbefugter Kenntnisnahme).
- Erfasst sind nicht nur gezielte Eingriffe, sondern auch unbeabsichtigte Verluste, Zerstörungen und Schädigungen (Fehlbedienung, Hardwareausfall, Naturereignisse).
- Der Maßstab ist risikobasiert: Die angemessene Sicherheit richtet sich nach Risiko, Art, Umfang und Kontext der Verarbeitung sowie der Bedeutung der Daten.
- Bei besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO besteht ein erhöhter Schutzbedarf.
- Der Grundsatz wird durch Art. 32 DSGVO konkretisiert und verzahnt sich mit Art. 25, 28, 33, 34 und 35 DSGVO; ein Verstoß ist bußgeldbewehrt.
1 Überblick
1.1 Die zwei Schutzziele
- Integrität bezeichnet den Schutz der Unversehrtheit der Daten. Daten sollen nicht unbefugt ganz oder teilweise gelöscht, zerstört oder verändert werden.
- Vertraulichkeit bezeichnet den Schutz vor unbefugter Kenntnisnahme und damit vor unbefugter Verarbeitung durch Dritte.
Der Grundsatz erfasst nicht nur gezielte Eingriffe, sondern ausdrücklich auch unbeabsichtigten Verlust, unbeabsichtigte Zerstörung und unbeabsichtigte Schädigung. Damit umfasst er etwa Fehlbedienungen, Hardwareausfälle und Naturereignisse.
1.2 Verhältnis zu Art. 32 DSGVO
Der Grundsatz wird durch Art. 32 DSGVO konkretisiert. Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Nach Art. 32 Abs. 1 lit. b DSGVO gehört die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu den zentralen Schutzzielen.
1.3 Rechtsfolge
Ein Verstoß gegen den Grundsatz macht die Verarbeitung unzulässig und kann über Art. 83 Abs. 5 lit. a DSGVO bußgeldbewehrt sein; darüber hinaus greifen ggf. die Meldepflichten nach Art. 33, 34 DSGVO bei einer Verletzung des Schutzes personenbezogener Daten.
2 Maßstab der „angemessenen" Sicherheit
2.1 Risikobasierter Ansatz
Die Angemessenheit der Sicherheitsmaßnahmen richtet sich nach den Umständen der Verarbeitung. Entscheidende Faktoren sind:
- das Risiko eines unberechtigten Zugriffs,
- die Art, der Umfang und der Kontext der Verarbeitung (EuGH, Urt. v. 08.04.2014, C-293/12, C-594/12, Digital Rights Ireland, Rn. 54 f.),
- die Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen.
Bei Finanzdaten, Gesundheitsdaten oder sonstigen besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO ist der Schutzbedarf erhöht. Entsprechend sind höhere Anforderungen an Verschlüsselung, Zugriffskontrollen und Protokollierung zu stellen.
2.2 Zugang zu Daten und Geräten
Erwägungsgrund 39 S. 12 DSGVO verlangt, dass „Unbefugte keinen Zugang zu den Daten und keinen Zugang zu den Geräten, mit denen diese verarbeitet werden", erhalten. Der Grundsatz erfasst damit sowohl die logische Sicherheit (Authentifizierung, Berechtigungskonzepte) als auch die physische Sicherheit (Räumlichkeiten, Hardware, Datenträger).
3 Bezug zu weiteren Pflichten
Art. 5 Abs. 1 lit. f DSGVO verzahnt sich mit einer Reihe weiterer Pflichten der DSGVO:
- Datenschutz durch Technikgestaltung (Art. 25 DSGVO): Die Grundsätze der Sicherheit sind bereits bei der Auswahl und Gestaltung der Verarbeitungssysteme zu berücksichtigen.
- Auftragsverarbeitung (Art. 28 DSGVO): Der Auftragsverarbeiter muss ausreichende Garantien für die Sicherheit seiner Verarbeitung bieten.
- Meldung und Benachrichtigung (Art. 33, 34 DSGVO): Wird der Schutz personenbezogener Daten verletzt, bestehen Melde- und ggf. Benachrichtigungspflichten.
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Bei Verarbeitungen mit hohem Risiko ist das Sicherheitskonzept Teil der Bewertung.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Speicherbegrenzung als zeitliche Datenminimierung: Löschpflicht bei Zweckerreichung, Überprüfungsintervalle, Löschkonzepte, Privilegierung von Archiv-, Forschungs- und Statistikzwecken.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Accountability als Grundsatz der DSGVO: Einhaltung und Nachweis der Grundsätze, Dokumentationspflichten, Aufbewahrungsfrist, Beweislast des Verantwortlichen.