GesetzePreiseDokuBenchmarks

Art. 32 – Sicherheit der Verarbeitung

DSGVO · zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(1)Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(2)Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
(3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden Artikels genannten Anforderungen nachzuweisen.
(4)Der Verantwortliche und der Auftragsverarbeiter unternehmen Schritte, um sicherzustellen, dass ihnen unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.02.2025

Zitierende Gerichtsentscheidungen

  • C-492/23 – X gegen Russmedia Digital SRL und Inform Media Press SRLECLI:EU:C:2025:935

    Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Verantwortlichkeit des Betreibers eines Online-Marktplatzes für die Veröffentlichung personenbezogener Daten in Anzeigen, die von inserierenden Nutzern auf seinem Online-Marktplatz platziert werden – Art. 5 Abs. 2 – Grundsatz der Rechenschaftspflicht – Art. 26 – Gemeinsame Verantwortlichkeit mit diesen inserierenden Nutzern – Art. 9 Abs. 1 und Abs. 2 Buchst. a – Anzeigen, die sensible Daten enthalten – Rechtmäßigkeit der Verarbeitung – Einwilligung – Art. 24, 25 und 32 – Pflichten des Verantwortlichen – Vorherige Identifizierung von Anzeigen, die solche Daten enthalten – Vorabprüfung der Identität des inserierenden Nutzers – Verweigerung der Veröffentlichung unrechtmäßiger Anzeigen – Schutzmaßnahmen, die geeignet sind, das Kopieren der Anzeigen und ihre Veröffentlichung auf anderen Websites zu verhindern – Elektronischer Geschäftsverkehr – Richtlinie 2000/31/EG – Art. 12 bis 15 – Möglichkeit für einen solchen Betreiber, sich im Hinblick auf eine Verletzung dieser Verpflichtungen auf die Haftungsbefreiung eines Vermittlers von Diensten der Informationsgesellschaft zu berufen

  • BGH, Urt. v. 11.11.2025 – VI ZR 396/24ECLI:DE:BGH:2025:111125UVIZR396.24.0

    1. Der Verantwortliche hat auch im Zusammenhang mit der Beendigung einer Auftragsverarbeitung den Schutz der Rechte der betroffenen Personen zu gewährleisten. Er hat sicherzustellen, dass - vorbehaltlich etwaiger gesetzlicher Speicherpflichten - keinerlei personenbezogene Daten mehr beim Auftragsverarbeiter verbleiben, die diesem vom Verantwortlichen zwecks Auftragserfüllung überlassen wurden. Er hat daher das seinerseits nach den Umständen des Einzelfalls Erforderliche dazu beizutragen, dass sichergestellt ist, dass es bei Auftragsende tatsächlich zur Rückgabe bzw. Löschung der personenbezogenen Daten beim Auftragsverarbeiter kommt. 2. Verbleiben personenbezogene Daten nach Beendigung des Auftrags beim Auftragsverarbeiter, werden sie dort abgegriffen und im Darknet zum Verkauf angeboten, stellt dies einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO dar. Ein solcher ist nicht allein deshalb ausgeschlossen, weil die Daten schon zuvor rechtswidrig abgegriffen worden sind.

  • T-553/23 – Philippe Latombe gegen Europäische KommissionECLI:EU:T:2025:831

    Übermittlung personenbezogener Daten in die Vereinigten Staaten – Durchführungsbeschluss der Kommission über die Angemessenheit des von den Vereinigten Staaten gewährten Schutzniveaus für personenbezogene Daten – Recht auf einen wirksamen Rechtsbehelf – Recht auf Privat- und Familienleben – Entscheidungen, die ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten beruhen – Sicherheit der Verarbeitung personenbezogener Daten

  • C-313/23 – Inspektorat kam Visshia sadeben savetECLI:EU:C:2025:303

    Vorlage zur Vorabentscheidung – Rechtsstaatlichkeit – Richterliche Unabhängigkeit – Art. 19 Abs. 1 Unterabs. 2 EUV – Wirksamer Rechtsschutz in den vom Unionsrecht erfassten Bereichen – Justizorgan, das dafür zuständig ist, die Einleitung von Disziplinarverfahren gegen Richter, Staatsanwälte und Strafrechtspfleger zwecks Verhängung von Disziplinarmaßnahmen vorzuschlagen – Fortführung der Amtsgeschäfte durch die Mitglieder des Justizorgans nach Ablauf ihrer Amtszeit – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Datensicherheit – Zugang eines Justizorgans zu den Daten betreffend die Bankkonten der Richter, Staatsanwälte und Strafrechtspfleger und ihrer Familienangehörigen – Gerichtliche Genehmigung der Aufhebung des Bankgeheimnisses – Gericht, das die Aufhebung des Bankgeheimnisses genehmigt – Art. 4 Nr. 7 – Begriff ‚Verantwortlicher‘ – Art. 51 – Begriff ‚Aufsichtsbehörde‘

  • C-169/23 – Nemzeti Adatvédelmi és Információszabadság Hatóság gegen UCECLI:EU:C:2024:988

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und freier Datenverkehr – Verordnung (EU) 2016/679 – Bei der Ausstellung eines Covid‑19-Zertifikats verarbeitete Daten – Daten, die nicht bei der betroffenen Person erhoben wurden – Informationspflicht – Ausnahme von der Informationspflicht – Art. 14 Abs. 5 Buchst. c – Vom Verantwortlichen im Rahmen seines eigenen Verfahrens erzeugte Daten – Beschwerderecht – Zuständigkeit der Aufsichtsbehörde – Art. 77 Abs. 1 – Geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person gemäß dem Recht des Mitgliedstaats, dem der Verantwortliche unterliegt – Maßnahmen zur Sicherheit der Verarbeitung von Daten – Art. 32

  • C-741/21 – GP gegen juris GmbHECLI:EU:C:2024:288

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 82 – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Datenverarbeitung verursacht worden ist – Begriff des immateriellen Schadens – Auswirkung der Schwere des erlittenen Schadens – Haftung des Verantwortlichen – Möglichkeit der Befreiung im Fall des Fehlverhaltens einer ihm im Sinne von Art. 29 unterstellten Person – Bemessung des Schadenersatzbetrags – Unanwendbarkeit der in Art. 83 für Geldbußen vorgesehenen Kriterien – Bemessung im Fall mehrfacher Verstöße gegen diese Verordnung

  • BSG, Urt. v. 06.03.2024 – B 6 KA 23/22 RECLI:DE:BSG:2024:060324UB6KA2322R0

    1. Die gesetzlichen Regelungen im Quartal 1/2019 der Pflicht zur Durchführung des Versichertenstammdatenabgleichs und zur Anbindung von Vertrags(zahn)ärzten und Einrichtungen an die Telematikinfrastruktur widersprechen nicht den Vorgaben der Datenschutz-Grundverordnung (juris: EUV 2016/679). 2. Die Honorarkürzung der vertragsärztlichen Leistungen um ein Prozent im Quartal 1/2019 wegen unterbliebener Durchführung des Versichertenstammdatenabgleichs verletzt nicht die Berufsausübungsfreiheit.

  • C-687/21 – BL gegen MediaMarktSaturn Hagen-Iserlohn GmbHECLI:EU:C:2024:72

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Auslegung der Art. 5, 24, 32 und 82 – Beurteilung der Gültigkeit von Art. 82 – Unzulässigkeit des Ersuchens um Beurteilung der Gültigkeit – Anspruch auf Ersatz des Schadens, der durch eine unter Verstoß gegen diese Verordnung erfolgte Verarbeitung solcher Daten eingetreten ist – Übermittlung von Daten an einen unbefugten Dritten aufgrund eines Fehlers von Mitarbeitern des für die Verarbeitung Verantwortlichen – Beurteilung der Eignung der von dem für die Verarbeitung Verantwortlichen getroffenen Schutzmaßnahmen – Ausgleichsfunktion des Schadensersatzanspruchs – Auswirkung der Schwere des Verstoßes – Erfordernis des Nachweises eines durch den Verstoß verursachten Schadens – Begriff des immateriellen Schadens

  • C-667/21 – ZQ gegen Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen RechtsECLI:EU:C:2023:1022

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 6 Abs. 1 – Voraussetzungen für die Rechtmäßigkeit der Verarbeitung – Art. 9 Abs. 1 bis 3 – Verarbeitung besonderer Kategorien personenbezogener Daten – Gesundheitsdaten – Beurteilung der Arbeitsfähigkeit eines Angestellten – Medizinischer Dienst der Krankenkassen, der Gesundheitsdaten seiner eigenen Mitarbeiter verarbeitet – Zulässigkeit und Voraussetzungen einer solchen Verarbeitung – Art. 82 Abs. 1 – Haftung und Recht auf Schadenersatz – Ersatz eines immateriellen Schadens – Ausgleichsfunktion – Auswirkung des Verschuldens des Verantwortlichen

  • C-340/21 – VB gegen Natsionalna agentsia za prihoditeECLI:EU:C:2023:986

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 5 – Grundsätze dieser Verarbeitung – Art. 24 – Verantwortung des für die Verarbeitung Verantwortlichen – Art. 32 – Zur Gewährleistung der Sicherheit der Verarbeitung getroffene Maßnahmen – Beurteilung der Geeignetheit solcher Maßnahmen – Umfang der gerichtlichen Überprüfung – Beweisführung – Art. 82 – Haftung und Recht auf Schadenersatz – Mögliche Befreiung des Verantwortlichen von der Haftung bei Verstößen durch Dritte – Klage auf Ersatz eines immateriellen Schadens aufgrund der Befürchtung eines möglichen Missbrauchs personenbezogener Daten

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 32 DSGVO und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 32 DSGVO direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.