Skip to content
Sicherheit calendar_today Aktualisiert: 6. April 2026 schedule 5 Min. Lesezeit

Verschlüsselung: Sollte ich meine Daten Verschlüsseln?

verified Zuletzt überprüft 6. April 2026 · das GDPRWise Rechtsteam

Die DSGVO nennt Verschlüsselung als eine der wichtigsten Sicherheitsmaßnahmen. Aber was genau ist das, wann ist es Pflicht und wie setzt man es als KMU praktisch um?

summarize Kernaussagen
  • check_circle Die DSGVO erwähnt Verschlüsselung explizit als empfohlene Sicherheitsmaßnahme in Artikel 32
  • check_circle Verschlüsseln Sie Laptops, externe Laufwerke und USB-Sticks mit Vollverschlüsselung
  • check_circle Verwenden Sie TLS (https) auf Ihrer Website und verschlüsselte E-Mail für sensible Daten
  • check_circle Verschlüsselte Daten, die gestohlen werden, müssen möglicherweise nicht als Datenschutzverletzung gemeldet werden

Was ist Verschlüsselung?

Verschlüsselung bedeutet, Daten in einen unlesbaren Code umzuwandeln. Nur jemand mit dem richtigen Schlüssel kann die Daten wieder lesbar machen. Vergleichen Sie es mit einem Tresor: Der Inhalt ist noch da, aber ohne den Code kommen Sie nicht heran.

Die DSGVO erwähnt Verschlüsselung in Artikel 32 als eine der empfohlenen Maßnahmen zum Schutz personenbezogener Daten. Das macht sie zu einer der wenigen technischen Maßnahmen, die das Gesetz namentlich nennt.

Wann ist Verschlüsselung nötig?

Artikel 32 verlangt “geeignete technische und organisatorische Maßnahmen” unter Berücksichtigung des Stands der Technik, der Kosten und des Risikos. Verschlüsselung ist nicht in jeder Situation Pflicht, aber in folgenden Szenarien praktisch unvermeidbar:

  • Laptops und mobile Geräte, die außerhalb des Büros genutzt werden
  • USB-Sticks und externe Festplatten mit personenbezogenen Daten
  • Sensible Daten wie medizinische Informationen, Finanzdaten oder Ausweisnummern
  • Daten, die über das Internet gesendet werden (Formulare, E-Mails)
  • Backups, die extern aufbewahrt werden

Drei praktische Schritte

1. Vollverschlüsselung auf allen Laptops

  • Windows: BitLocker (in Windows Pro und Enterprise integriert)
  • Mac: FileVault (in macOS integriert)
  • Linux: LUKS

Es kostet nichts extra, verlangsamt Ihren Computer kaum und schützt Sie bei Diebstahl oder Verlust.

2. TLS auf Ihrer Website

Wenn Ihre Website Formulare enthält, in denen Besucher personenbezogene Daten eingeben, muss der Datenverkehr mit TLS verschlüsselt sein (erkennbar am Schloss und “https” in der Adressleiste).

3. Verschlüsselte E-Mail für sensible Daten

Normale E-Mail ist nicht verschlüsselt - vergleichbar mit einer Postkarte, die jeder unterwegs lesen kann.

Optionen:

  • Verwenden Sie ein sicheres Nachrichtenportal
  • Verschlüsseln Sie Anhänge mit einem Passwort
  • Verwenden Sie S/MIME oder PGP, wenn Ihre Organisation dafür bereit ist

Der große Vorteil: weniger Meldepflicht bei Datenschutzverletzungen

Wenn personenbezogene Daten gestohlen werden, aber ordnungsgemäß verschlüsselt waren und der Schlüssel nicht durchgesickert ist, besteht kein reales Risiko für die Betroffenen. Die Aufsichtsbehörde wird in der Regel urteilen, dass eine Meldung nicht erforderlich ist.

Ein gestohlener Laptop mit aktiviertem BitLocker? Dokumentieren Sie es in Ihrem Register, aber wahrscheinlich müssen Sie es nicht melden. Derselbe Laptop ohne Verschlüsselung? Dann haben Sie eine meldepflichtige Verletzung.

Häufige Fehler

  • Verschlüsselung aktivieren, aber den Schlüssel schlecht verwalten
  • Nur die Festplatte verschlüsseln, USB-Sticks vergessen
  • Denken, ein Passwort auf einer Excel-Datei sei “Verschlüsselung”
  • Die Website noch auf http laufen lassen

Beginnen Sie heute

Verschlüsselung muss nicht kompliziert sein. Beginnen Sie damit, die Festplattenverschlüsselung auf allen Laptops zu aktivieren. Das dauert eine halbe Stunde pro Gerät und schützt Sie sofort.

auto_awesome Wissen Sie, ob Ihre Daten verschlüsselt sind?

GDPRWise erfasst, welche Systeme personenbezogene Daten verarbeiten und ob sie angemessen gesichert sind.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.