Direkt zum Hauptinhalt

Stand der Technik nach DSGVO - Was sagt ChatGPT?

Auf Nachfrage interessierte mich die Meinung von ChatGPT zum Thema Übergangsfristen für abgelaufene Software, wie z. B. Kopano u. Ä. Nicht immer schafft man rechtzeitig die Migration auf aktuelle Systeme, meist wegen der Absprachen und Termin- und Kostengespräche mit Kunden

Nach der Datenschutz-Grundverordnung (DSGVO) gibt es keine ausdrücklichen Übergangsfristen für die Pflicht, Serversoftware auf dem Stand der Technik zu halten. Die Verordnung trat am 25. Mai 2018 in Kraft und gilt seither unmittelbar in allen EU-Mitgliedstaaten.

Was bedeutet "Stand der Technik" laut DSGVO?

Die DSGVO verlangt in Art. 32 Abs. 1 von Verantwortlichen und Auftragsverarbeitern geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei ist „der Stand der Technik“ ein zentrales Kriterium.

Das bedeutet konkret:

  • Sicherheitslücken in Server- oder Anwendungssoftware müssen zeitnah geschlossen werden.

  • Der Einsatz nicht mehr unterstützter oder veralteter Software (z. B. alte PHP-Versionen, Windows 7, EOL-Linux-Distributionen) ist nicht zulässig, wenn dadurch Sicherheitsrisiken entstehen.

Gibt es trotzdem Spielräume oder Fristen?

Zwar gibt es keine festen Fristen in der DSGVO, aber:

  • In der Praxis kann bei Updates oder Umstellungen ein kurzer Zeitraum zur Umsetzung toleriert werden – solange ein Risikoanalyse- und Migrationsplan dokumentiert ist.

  • Bei Audits oder Vorfällen ist entscheidend, ob du als Verantwortlicher:

    • Risiken erkannt hast,

    • Maßnahmen geplant und priorisiert hast,

    • dokumentieren kannst, warum du etwas wie schnell umgesetzt hast.

Beispiele:

Software Stand der Technik? Kommentar
Ubuntu 20.04 Ja (bis 2025) Unterstützt, wenn regelmäßig aktualisiert
Windows Server 2012 R2 Nein (EOL) Nicht mehr sicher, nicht DSGVO-konform
Apache 2.2 Nein Veraltet, seit Jahren nicht mehr unterstützt
Nextcloud (aktuelle LTS-Version) Ja Regelmäßige Updates, DSGVO-konform

Fazit:

  • Keine Übergangsfristen – aber Planung und dokumentierte Risikobewertung sind wichtig.

  • Veraltete Software = hohes Bußgeldrisiko bei Datenschutzverstößen.

  • IT-Sicherheitsrichtlinien (z. B. vom BSI oder ISO 27001) helfen bei der Definition des „Stands der Technik“.

Wenn du willst, kann ich dir eine Checkliste zur DSGVO-konformen Server-Softwarepflege erstellen.