Die DSGVO fordert das Einhalten der Datenintegrität und Datenvertraulichkeit von Verarbeitungen personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen. Das Einsetzen eines Virenschutzprogramms auf den unternehmensinternen Rechnern ist eine solche technische Maßnahme und schützt die Daten vor Datenverlust, -missbrauch oder -schädigung gegen Viren, Würmer und Trojaner, indem diese aufgespürt und gegebenenfalls beseitigt werden. Das Virenprogramm sollte stets das neuste sein. Auch die regelmäßige Datensicherung ist notwendig, um den Schaden bei einem Virenbefall möglichst gering zu halten.
https://dsgvo-gesetz.de/art-5-dsgvo/
https://dsgvo-gesetz.de/art-32-dsgvo/