GDPR Artikel 32: Wie man nachweist, dass man Dokumente sicher teilt
Published on 22. April 2026
GDPR Artikel 32 erfordert von Organisationen, angemessene technische und organisatorische Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten zu implementieren. Für Finanzteams, die Dokumente extern teilen, bedeutet dies, Daten während der Übertragung und im Ruhezustand zu verschlüsseln, zu kontrollieren, wer auf Dokumente zugreifen kann, und Aufzeichnungen zu führen, die nachweisen, dass Ihre Sicherheitsmaßnahmen vorhanden sind. Dieser Artikel erklärt genau, was Artikel 32 verlangt und wie Sie die Einhaltung nachweisen können.
Was Artikel 32 tatsächlich erfordert
Artikel 32(1) listet die Maßnahmen auf, die Verantwortliche und Auftragsverarbeiter berücksichtigen müssen, wobei der Stand der Technik, die Implementierungskosten und die Risiken, die durch die Verarbeitung entstehen, zu berücksichtigen sind. Dazu gehören:
- Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme sicherzustellen
- Die Fähigkeit, den Zugang zu personenbezogenen Daten nach einem physischen oder technischen Vorfall zeitnah wiederherzustellen
- Ein Prozess zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen
Der Ausdruck "angemessene Maßnahmen" ist bedeutend. Aufsichtsbehörden erwarten nicht die gleichen Kontrollen von einem zweiköpfigen Beratungsunternehmen wie von einer systemrelevanten Bank. Der Standard ist proportional zu Ihrem Risikoprofil, der Sensibilität der Daten und dem potenziellen Schaden für die betroffenen Personen im Falle eines Verstoßes.
Die vier technischen Kontrollen, die Artikel 32 für den Dokumentenaustausch erfüllen
Für Teams, die Dokumente mit Kunden, Geschäftspartnern oder Beratern teilen, bilden vier technische Kontrollen die Grundlage eines Artikel 32-konformen Ansatzes.
Verschlüsselung während der Übertragung und im Ruhezustand. Jedes Dokument, das über das Internet übertragen wird, sollte mit TLS 1.2 oder höher verschlüsselt werden. Dokumente, die auf Servern gespeichert sind, sollten im Ruhezustand verschlüsselt werden, wobei AES-256 der aktuelle Branchenstandard ist. Wenn Sie Dokumente als E-Mail-Anhänge senden, haben Sie keine Garantie, dass eine der Bedingungen erfüllt ist.
Zugriffskontrollen. Nur autorisierte Empfänger sollten in der Lage sein, ein Dokument zu öffnen. Das bedeutet, dass Sie einzigartige Zugriffslinks anstelle von öffentlich zugänglichen URLs verwenden, eine E-Mail-Verifizierung oder ein Passwort vor dem Zugriff verlangen und Ablaufdaten für Links festlegen, damit der Zugriff nicht unbegrenzt bestehen bleibt.
Prüfprotokollierung. Artikel 32 verlangt, dass Sie nachweisen können, dass Ihre Sicherheitsmaßnahmen funktionieren. Ein Prüfprotokoll, das aufzeichnet, wer auf ein Dokument zugegriffen hat, wann, von welcher IP-Adresse oder Standort und wie lange, liefert diesen Nachweis. Ohne dies können Sie die Einhaltung nicht nachweisen, selbst wenn Ihre Kontrollen stark sind.
Datenresidenz. Für EU-Datenbetroffene stellt die Verarbeitung ihrer personenbezogenen Daten auf Servern außerhalb des EWR ein Übertragungsrisiko gemäß Kapitel V der GDPR dar. Das Hosting von Dokumenten auf EU-Infrastruktur beseitigt dieses Risiko und vereinfacht Ihre Compliance-Position.
Erstellung Ihres Artikel 32 Nachweis-Pakets
Wenn eine Aufsichtsbehörde Ihre Dokumentenaustauschpraktiken untersucht, wird sie erwarten, Beweise zu sehen, nicht nur Behauptungen. Ihr Nachweis-Paket sollte Folgendes enthalten:
- Einen Datenverarbeitungsvertrag mit jeder Plattform, die Sie zum Teilen von Dokumenten verwenden, der die Sicherheitsmaßnahmen des Auftragsverarbeiters bestätigt.
- Sicherheitskonfigurationsaufzeichnungen, die zeigen, dass Verschlüsselung, Zugriffskontrollen und Protokollierung in Ihrem Dokumentenaustausch-Tool aktiv sind.
- Beispielprüfprotokolle, die das Niveau der erfassten Details für jedes Zugriffsereignis demonstrieren.
- Eine Risikobewertung oder DPIA, die dokumentiert, warum Ihre gewählten Maßnahmen für die Kategorien von Daten, die Sie teilen, angemessen sind.
- Vorfallaufzeichnungen, selbst wenn die Vorfälle geringfügig waren, die zeigen, dass Sie Sicherheitsereignisse überwachen, erkennen und darauf reagieren.
Wie eine Dokumentenaustauschplattform Artikel 32 Nachweise generiert
Die Verwendung einer speziell entwickelten Dokumentenaustauschplattform anstelle von E-Mail oder allgemeinem Cloud-Speicher vereinfacht die Einhaltung von Artikel 32 erheblich. Jeder geteilte Dokumentenlink kann einen automatischen Prüfungsnachweis generieren, und die Zertifizierungen der Infrastruktur der Plattform dienen als Drittanbieter-Nachweis für die implementierten technischen Kontrollen.
Mit SendNow generiert jeder Dokumentenlink ein detailliertes Zugriffsprotokoll. Sie können diese Protokolle für jedes Dokument exportieren und als Teil Ihres Artikel 32 Nachweis-Pakets präsentieren. Zusammen mit der AES-256-Verschlüsselung von SendNow, der EU-gehosteten Infrastruktur und den Standardzugriffskontrollen bietet die Plattform die technische Schicht, auf der Ihre organisatorischen Maßnahmen aufbauen.
Artikel 32 Compliance-Checkliste für den Dokumentenaustausch
| Anforderung | Wie man sie erfüllt |
|---|---|
| Verschlüsselung während der Übertragung | TLS 1.2+ auf allen Dokumentenlinks durchgesetzt |
| Verschlüsselung im Ruhezustand | AES-256 auf allen gespeicherten Dokumenten |
| Zugriffsbeschränkung | E-Mail-geschützte oder passwortgeschützte Links |
| Linkablauf | Automatischer Ablauf nach festgelegtem Zeitraum |
| Prüfprotokollierung | Zeitstempelte Zugriffsaufzeichnungen pro Dokument |
| EU-Datenresidenz | Dokumente auf EU-Servern gehostet |
| DPA mit Auftragsverarbeiter | Unterzeichneter DPA mit Dokumentenaustauschanbieter |
| Sicherheitstest | Jährliche Überprüfung der Sicherheitseinstellungen der Plattform |
Für tiefere Hintergrundinformationen zu Prüfpfaden speziell lesen Sie Wie man einen GDPR-konformen Prüfpfad aufrechterhält. Für das vollständige Framework siehe unseren GDPR Dokumentenaustausch Komplettleitfaden und AES-256-Verschlüsselung für Dokumentenaustausch erklärt.
Beginnen Sie noch heute mit der Generierung von Artikel 32 Nachweisen. Jedes über SendNow geteilte Dokument wird automatisch protokolliert, verschlüsselt und in der EU gehostet. Besuchen Sie sendnow.live, um zu sehen, wie es funktioniert.
Häufig gestellte Fragen
F: Gilt Artikel 32 auch für den Dokumentenaustausch sowie für gespeicherte Daten? A: Ja. Artikel 32 gilt für alle Verarbeitung personenbezogener Daten, was das Übertragen von Dokumenten, die personenbezogene Daten enthalten, an externe Parteien einschließt. Der Akt des Teilens ist eine Verarbeitungsaktivität und muss denselben Sicherheitsstandard wie die Speicherung erfüllen.
F: Was bedeutet "angemessene" Sicherheit gemäß Artikel 32? A: Angemessenheit wird anhand der Risiken bewertet. Für Finanzteams, die vertrauliche Kundendaten teilen, ist das Risikoniveau hoch, sodass der Standard der erwarteten Sicherheitsmaßnahmen entsprechend hoch ist. AES-256-Verschlüsselung, Zugriffskontrollen und Prüfprotokollierung stellen die aktuellen Best Practices für dieses Risikoniveau dar.
F: Kann ich mich auf die Sicherheit eines Empfängers verlassen, wenn ich ihm ein Dokument sende? A: Nein. Sobald ein Dokument Ihre Kontrolle verlässt, liegt die Sicherheitslage des Empfängers in seiner Verantwortung. Ihre Verpflichtung gemäß Artikel 32 besteht darin, die Übertragung selbst zu sichern. Die Verwendung eines zugriffskontrollierten, verschlüsselten Links anstelle eines E-Mail-Anhangs begrenzt Ihre Exposition, sobald das Dokument geliefert wurde.
F: Ist E-Mail-Verschlüsselung ausreichend für die Einhaltung von Artikel 32? A: Standard-E-Mail ist nicht ausreichend. Während TLS E-Mails während der Übertragung zwischen Servern verschlüsselt, sind Anhänge auf dem Server des Empfängers nicht im Ruhezustand verschlüsselt, es gibt keine Zugriffsprotokollierung und Sie können den Zugriff nach dem Versand nicht widerrufen. Speziell entwickelte Dokumentenaustausch-Tools bieten erheblich stärkere Kontrollen.
F: Müssen wir unsere Artikel 32 Bewertung aktualisieren, wenn wir die Dokumentenaustausch-Tools ändern? A: Ja. Artikel 32 ist eine lebendige Verpflichtung. Die Änderung Ihrer Dokumentenaustauschplattform ist eine wesentliche Änderung Ihrer Verarbeitungsumgebung und sollte eine Überprüfung Ihrer technischen Maßnahmen und gegebenenfalls eine aktualisierte DPIA auslösen.
F: Was passiert, wenn eine Aufsichtsbehörde unsere Artikel 32 Maßnahmen als unzureichend erachtet? A: Sie kann eine Korrekturverfügung erlassen, die Sie auffordert, Ihre Maßnahmen zu verbessern, und in schweren Fällen kann sie eine Geldbuße von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes gemäß Artikel 83(4) verhängen.
F: Befriedigt die Verwendung eines GDPR-konformen Anbieters automatisch Artikel 32? A: Nein. Die Compliance Ihres Anbieters ist eine notwendige, aber nicht hinreichende Bedingung. Sie müssen auch das Tool korrekt konfigurieren und organisatorische Maßnahmen wie Schulungen für Mitarbeiter und eine Dokumentenaustauschrichtlinie implementieren. Die Einhaltung von Artikel 32 erfordert beide Ebenen.
F: Wie oft sollten wir unsere Dokumentensicherheitsmaßnahmen testen? A: Artikel 32(1)(d) verlangt ausdrücklich einen Prozess zur regelmäßigen Überprüfung und Bewertung der Sicherheitsmaßnahmen. Jährliche Tests sind für die meisten Organisationen ein Minimum. Nach jeder wesentlichen Änderung Ihrer Plattform oder Verarbeitungsaktivitäten ist eine sofortige Überprüfung ratsam.
Ready to share documents smarter?
Start tracking who reads your documents, page by page. Free trial, no credit card required.
Get Started for Free →