Du hast Fragen? +49 5474 936 - 0 info@softwarepartner.net
Datenschutz: Lehren aus bekannten Datenschutzskandalen
Acht Fälle aus DACH und Europa und welche Konsequenzen wir daraus ableiten
Acht reale Fälle zeigen, wo Datenschutz im Alltag stolpert – und wie er wieder festen Boden bekommt. Statt Einzelfall‑Empörung gibt es hier Orientierung: Was ist passiert, welche Prinzipien der Datenschutz‑Grundverordnung waren betroffen und welche konkrete Konsequenz folgt daraus für Organisation, Technik und Prozesse? Aus den Beispielen entsteht ein Kompass, um es künftig besser zu machen: eine Vorstands‑Tabelle als Schnellcheck, eine RACI‑Matrix (Responsible, Accountable, Consulted, Informed) für die ersten 72 Stunden, Messgrößen für das Reporting und ein Umsetzungsplan für 90 und 180 Tage. So wird Datenschutz von der Pflicht zur verlässlichen Routine.
Einordnung und Datenschutzanforderungen
Beinahe jede größere Datenschutzpanne erzählt dieselbe Geschichte: Nicht die Technik „ist schuld“, sondern der Umgang mit ihr. Fehlende Zuständigkeiten, unklare Prozesse und mangelnde Kontrolle von Dienstleistern öffnen Türen, die nie hätten offenstehen dürfen. Das ist keine Theorie, sondern wiederkehrendes Muster quer durch Branchen und Länder.
Für die Praxis helfen drei Grundfragen, die du jederzeit beantworten können solltest:
1. Welche personenbezogenen Daten verarbeiten wir – und wo?
2. Welche Risiken sind damit verbunden – und welche Schutzmaßnahmen sind angemessen?
3. Wie reagieren wir, wenn doch etwas passiert – nachweisbar, fristgerecht, ruhig?
Die Datenschutz‑Grundverordnung gibt darauf einen klaren Rahmen. Die Grundprinzipien nach Artikel 5 definieren, wie Daten verarbeitet werden dürfen. Artikel 32 verpflichtet dich, ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten – von Verschlüsselung bis Wiederherstellbarkeit. Artikel 33 verlangt eine strukturierte und fristgebundene Meldung von Verletzungen des Schutzes personenbezogener Daten. Diese Artikel sollte jede Führungskraft kennen – nicht aus juristischem Ehrgeiz, sondern weil sie den Alltag lenken.
Was dir im Meldefall hilft: Der Europäische Datenschutzausschuss (European Data Protection Board) hat in Leitlinien zu Beispielen von Meldungen konkrete Szenarien beschrieben – mit Entscheidungshilfen, wann eine Meldung fällig ist, was hinein gehört und wie die 72‑Stunden‑Frist zu lesen ist. Das Dokument ist kein „nur für Juristen“, sondern eine Arbeitsvorlage für Incident‑Teams: Es macht Grenzfälle greifbar und hilft, die eigene Dokumentation belastbar zu gestalten.
Quick Scan: Fälle, Prinzipien, Lehren
Bevor wir in die Details gehen, bekommst du die Orientierung auf einen Blick. Die folgende Tabelle ist als Vorstands‑„Kurzlageblatt“ gedacht. Sie verdichtet für jeden Fall die berührten DSGVO‑Prinzipien und die zentrale Lehre. Nutze sie im Führungskreis, um Prioritäten zu setzen – ohne in die Fallberichte abtauchen zu müssen.
| Fall | Betroffene Prinzipien/Artikel | Kurz Lehre |
|---|---|---|
| Volkswagen/Cariad (2024) | Integrität/Vertraulichkeit (Art. 5 Abs. 1 f), Sicherheit der Verarbeitung (Art. 32) | Fahrzeug Telemetrie ist personenbezogen. Cloud streng härten (Rollenprinzip, Verschlüsselung „in Ruhe“ und „in Übertragung“, Geheimnis /Schlüsselmanagement), Konfigurationsabweichungen regelmäßig prüfen; kritische Datenflüsse zentral dokumentieren. |
| H&M (2020) | Zweckbindung, Datenminimierung (Art. 5), Rechtsgrundlage (Art. 6) | Beschäftigtendaten nur mit enger Rechtsgrundlage verarbeiten; Profilbildung vermeiden; kurze Speicherfristen und Mitbestimmung sicherstellen. |
| notebooksbilliger.de (2021) | Rechtmäßigkeit/Verhältnismäßigkeit (Art. 5, 6), Datenschutz Folgenabschätzung (Art. 35) | Videoüberwachung nur ausnahmsweise und verhältnismäßig; Folgenabschätzung durchführen; restriktive Sichtungsrechte und belastbares Löschkonzept verankern. |
| TikTok (2023) | Transparenz (Art. 12–13), Datenschutz durch Technik und durch Voreinstellungen (Art. 25) | Minderjährige durch datenschutzfreundliche Voreinstellungen schützen; Informationen klar und verständlich bereitstellen. |
| TikTok (2025) | Datenübermittlungen in Drittländer (Kap. V), Transparenz (Art. 12–13) | Übermittlungen nach China nur mit tragfähiger Rechtsgrundlage und zusätzlichen Maßnahmen; Fristen für Korrekturen einhalten. |
| Meta/Facebook (2023) | Datenübermittlungen (Art. 44 ff.), geeignete Garantien (Art. 46) | Standardvertragsklauseln reichen nicht ohne zusätzliche technische Maßnahmen und dokumentierte Transfer Risikoanalyse. |
| Booking.com (2021) | Meldung von Verletzungen (Art. 33), Protokollierung (Art. 33 Abs. 5) | 72 Stunden ab Kenntnis; Stellvertretungen und Wochenend Regel festlegen; Begründung sauber dokumentieren. |
| Clearview AI (2022/23) | Rechtsgrundlage (Art. 6), besondere Daten (Art. 9), Betroffenenrechte (Art. 12/15/17) | Biometrie nur mit tragfähiger Grundlage; Lösch und Unterlassungsanordnungen sind durchsetzbar – auch gegenüber Anbietern außerhalb der EU. |
| Deutsche Wohnen (2019–2025) | Speicherbegrenzung (Art. 5), Rechenschaftspflicht/Verantwortlichkeit (Art. 24/25), Bußgelder (Art. 83) | Löschkonzept verbindlich umsetzen und Systemtauglichkeit belegen; EuGH stärkt die Sanktionspraxis. |
Fallskizzen: Was geschah, was lehrt uns das?
Jetzt gehen wir die Fälle detaillierter durch. Ziel ist nicht, mit dem Finger zu zeigen, sondern das Muster zu erkennen – und daraus robuste Maßnahmen abzuleiten.
Der Chaos Computer Club zeigte: Bewegungsdaten hunderttausender Elektrofahrzeuge und Kontaktdaten von Halterinnen und Haltern waren über Monate offen erreichbar. In Teilen ließen sich Positionen sehr genau nachvollziehen. Auslöser waren Fehlkonfigurationen in einer Cloud‑Umgebung und unzureichende Zugriffstrennung.
Die Lehre: Fahrzeug‑Telemetrie ist personenbezogen und hochsensibel. Du brauchst eine harte Cloud‑Baseline (Rollenprinzip mit minimalen Rechten, Verschlüsselung „in Ruhe“ und „in Übertragung“, sauberes Schlüssel‑ und Geheimnis‑Management) plus regelmäßige Prüfungen auf Konfigurationsabweichungen. Ein Register kritischer Datenflüsse (welche Daten, wohin, warum, mit welchen Schutzmaßnahmen) schafft Kontrolle statt Blindflug. (ccc.de)
Genauere Infos, was bei VW/Cariad schief ging und welche Lehren wir daraus ziehen sollten, liefern dir Inga und Dirk aus dem S+S SoftwarePartner-Team im folgenden Video:
An dieser Stelle würden wir dir gerne ein Video unseres YouTube-Kanals zeigen.
Dieser Inhalt eines Drittanbieters wird aufgrund deiner fehlenden Zustimmung zu Drittanbieter-Inhalten nicht angezeigt.
Die Aufsicht in Hamburg verhängte 35,3 Millionen Euro wegen jahrelanger Erfassung und Auswertung sensibler Beschäftigtendaten in einem Servicecenter – intime Details, die für Personalentscheidungen genutzt wurden.
Lehre: Beschäftigtendaten sind besonders schutzwürdig. Jede Form der Profilbildung braucht eine tragfähige Rechtsgrundlage, klare Zwecke, kurze Speicherfristen und Beteiligung der Mitbestimmung. Die Entscheidung zeigt, dass Grundprinzipien wie Zweckbindung und Datenminimierung keine „Kür“ sind, sondern Prüfmaßstab. (HmbBfDI)
10,4 Millionen Euro Bußgeld wegen flächendeckender Videoüberwachung – erfasst wurden unter anderem Arbeitsplätze und Aufenthaltsbereiche.
Lehre: Videoüberwachung ist die Ausnahme, nicht die Regel. Du brauchst eine Datenschutz‑Folgenabschätzung (sofern hohes Risiko zu erwarten ist), enge Zwecke, strikte Sichtungsrechte und ein wirksames Löschkonzept. Sonst werden Bilder zur Dauerbelastung. (Niedersachsen Data Protection Authority)
345 Millionen Euro wegen Defiziten beim Schutz Minderjähriger und bei der Transparenz.
Lehre: Dienste, die wahrscheinlich von Jugendlichen genutzt werden, müssen standardmäßig auf Schutz eingestellt sein: Profile nicht öffentlich, Funktionen zurückhaltend, Hinweise klar. Kommunikation ist Teil des Schutzes – unklare Erklärungen genügen nicht. (Data Protection Commissioner)
530 Millionen Euro und Korrektur‑ beziehungsweise Sperr‑Anordnungen zu Datenübermittlungen nach China, mit Frist zur Abhilfe.
Lehre: Übermittlungen in Drittländer sind kein Formalakt. Es braucht eine belastbare Rechtsgrundlage, technische Zusatzmaßnahmen gegen Zugriffe sowie transparente Information. Fristen der Aufsicht sind ernst – sonst droht die Suspendierung von Transfers. (Data Protection Commissioner)
Rekordbuße von 1,2 Milliarden Euro wegen unzulässiger EU‑US‑Übermittlungen. Die Vorsitzende des Europäischen Datenschutzausschusses sprach von „systematischen, wiederholten und fortlaufenden“ Transfers.
Lehre: Standardvertragsklauseln sind kein Freifahrtschein. Ohne dokumentierte Transfer‑Risikoanalyse und zusätzliche technische Maßnahmen steht der Transfer auf wackligen Füßen. (European Data Protection Board)
475.000 Euro Bußgeld – nicht für die Ursache, sondern weil die Meldung zu spät bei der Aufsicht einging. Die 72‑Stunden‑Frist läuft ab Kenntnis im Unternehmen.
Lehre: Der Meldeprozess muss geübt sein – mit Stellvertretungen, Wochenend‑ und Feiertagsregel, Vorlagen und sauberer Protokollführung. Sonst ist der zweite Fehler teurer als der erste. (Autoriteit Persoonsgegevens)
20 Millionen Euro plus Lösch‑ und Unterlassungsanordnung wegen massenhaften Scrapings und biometrischer Verarbeitung ohne Rechtsgrundlage; später Zwangsgeld wegen Nichtbefolgung. Clearview sammelte automatisiert Milliarden frei zugänglicher Fotos aus dem Netz, generierte daraus biometrische Gesichtskennungen und bot Ermittlungsbehörden eine Suchfunktion zur Wiedererkennung an – ohne Einwilligung, ohne transparente Information und ohne tragfähige Rechtsgrundlage.
Lehre: Biometrie ist Hochrisiko. Ohne tragfähige Rechtsgrundlage, Transparenz und Wahrung der Betroffenenrechte ist der Einsatz unzulässig – auch bei Anbietern außerhalb der EU. (CNIL)
Kern des Falls: fehlende Löschung alter Mieterdaten und unzureichende Speicherbegrenzung. Der Europäische Gerichtshof stärkte Ende 2023 die Sanktionspraxis; das Verfahren wurde an die nationale Ebene zurückverwiesen und läuft weiter.
Lehre: Speicherbegrenzung ist ein Prüfpunkt mit Gewicht. Du brauchst ein Löschkonzept, das in den Systemen funktioniert – belegt durch Stichproben. (EUR-Lex)
Lehren in drei Clustern
Bevor du in Maßnahmen investierst, ordnest du sie. Die folgenden Cluster helfen dabei, das Richtige zuerst zu tun – und es dauerhaft zu tun.
A) Technik – Schutz in der Fläche statt Einzelfall‑Heldentaten
Einzelne „harte“ Maßnahmen bringen wenig, wenn die Fläche weich bleibt. Ziel ist eine technische Grundsicherung, die sich täglich bewährt:
- Zugriffsverwaltung und Authentisierung: Führe die Mehrfaktor‑Authentifizierung für alle Konten ein – beginnend mit Administrator‑ und Dienstleisterkonten. Ergänze risikobasierte Anmeldungen (z. B. Standort‑ oder Geräte‑Signale) und eine regelmäßige Rezertifizierung von Rechten. So verhinderst du, dass eine Fehlkonfiguration gleich das ganze Haus öffnet.
- Verschlüsselung und Schlüsselverwaltung: Verschlüssele Daten „in Ruhe“ und „in Übertragung“. Verwahre Schlüssel getrennt, lege Rotationspläne fest und protokolliere Zugriffe. Das senkt das Schadensausmaß, selbst wenn es zu einem Vorfall kommt.
- Protokollierung und Überwachung: Setze auf unveränderliche Protokolle, erkenne ungewöhnliche Datenabflüsse, begrenze Aufrufe über Programmierschnittstellen und setze Geobeschränkungen, wenn Daten das Unternehmen verlassen. So erzeugst du einen Frühindikator, statt nur Spuren zu lesen.
- Cloud‑Härtung und Konfigurationsdisziplin: Definiere eine Basislinie: Netzwerksegmente, private Endpunkte, Prüfung von Geheimnissen, automatisierte Kontrollen gegen Konfigurationsabweichungen. Was täglich geprüft wird, bleibt stabil.
- Wiederanlauf und Resilienz: Probiere die Wiederherstellung regelmäßig aus – zuerst bei Systemen mit hohem Personenbezug. Prüfe, ob sich Daten nach einem Vorfall rasch und vollständig wiederherstellen lassen. Artikel 32 verlangt diese Fähigkeit ausdrücklich; sie gehört ins Rechenzentrum und in die Cloud gleichermaßen.
B) Organisation – Zuständigkeit, Kontrolle, Schulung
Technik ohne Zuständigkeit ist wie ein Schloss ohne Schlüssel. Du brauchst ein Betriebssystem für Entscheidungen:
- Rollen und Verantwortung: Lege fest, wer entscheidet, wer ausführt und wer beratend eingebunden wird. Dokumentiere Stellvertretungen – ausdrücklich auch für Wochenenden und Feiertage. So bleibt der Betrieb handlungsfähig. Ein Ratgeber zur Entwicklung einer Berechtigungsstrategie und -matrix kann hier hilfreich sein.
- Lieferanten‑ und Auftragsverarbeitung: Prüfe Auswahl, Verträge und Nachweise technischer und organisatorischer Maßnahmen. Nutze Prüfrechte. Der Fall notebooksbilliger.de zeigt, dass vermeintlich praktische Lösungen (z. B. flächige Videoüberwachung) ohne Rechtsgrundlage teuer werden.
- Schulung und Kultur: Vermittle in kurzen, konkreten Einheiten das, was wirklich passiert: Fehlkonfiguration, Phishing, unbedachte Weitergabe. Administratoren erhalten verpflichtende Vertiefungen. Wiederhole lieber knapp und oft als selten und umfangreich.
- Dateninventar und Löschkonzepte: Ohne Datenlandkarte keine Kontrolle. Die Lehre aus Deutsche Wohnen ist eindeutig: Speicherbegrenzung muss wirksam sein. Erstelle verbindliche Lösch‑Regeln und prüfe sie stichprobenhaft – nicht nur im Produktivsystem, sondern auch in Backups.
C) Recht und Prozesse – Pflichten kennen, Reaktion üben
Rechtliche Anforderungen sind der Taktgeber für deine Abläufe. Wer sie in klare Prozesse übersetzt, bleibt auch im Ernstfall ruhig:
- Datentransfers in Drittländer: Nach Meta 2023 und TikTok 2025 ist klar: Du brauchst eine Transfer‑Risikoanalyse, zusätzliche Maßnahmen (etwa Verschlüsselung mit Schlüsseln unter deiner Kontrolle) und eine klare Information deiner Nutzerinnen und Nutzer. Kinder und biometrische Daten verlangen besondere Sorgfalt.
- Meldung von Verletzungen: Die 72‑Stunden‑Frist ist knapp. Du brauchst eine geübte Entscheidungskette, Vorlagen für die Meldung, eine Kontaktliste der Aufsichten – und die Fähigkeit, deine Entscheidung, warum du meldest oder nicht meldest, zu dokumentieren. Der Leitfaden des Europäischen Datenschutzausschusses bietet hierfür Beispiele und Kriterien. (European Data Protection Board)
- Grundprinzipien leben: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit sind nicht nur juristische Begriffe, sondern Prüfmaßstäbe der Aufsichten. Richte Prozesse daran aus – von der Planung bis zur Stilllegung eines Systems.
Was zählt: die wichtigsten Kennzahlen auf einen Blick
Bevor du steuerst, definierst du messbar, was „gut“ ist. Die folgenden Kennzahlen sind klar, auditierbar und lassen sich monatlich berichten. Stell dir vor, du bekommst ein einseitiges Dashboard: Es zeigt dir, ob deine Organisation im Takt bleibt.
Zeitraum von der internen Erstmeldung bis zur dokumentierten Entscheidung „melden“ oder „nicht melden“.
Zielkorridor: im Median unter 24 Stunden, in 9 von 10 Fällen unter 60 Stunden.
Nutzen: zeigt früh, wo der Ablauf stockt – bevor die 72‑Stunden‑Frist eng wird.
Anteil aller Konten mit Mehrfaktor‑Authentifizierung, getrennt ausgewiesen für Administrator‑, Dienstleister‑ und Standardkonten.
Zielkorridor: 100 Prozent bei Administrator‑ und Dienstleisterkonten, mindestens 97 Prozent gesamt.
Nutzen: Du siehst, ob Angriffsflächen geschlossen sind.
Anteil der kritischen Datenflüsse, für die Zweck, Rechtsgrundlage, Speicherorte, Empfänger, Aufbewahrungsfristen und verantwortliche Personen dokumentiert sind.
Zielkorridor: über 90 Prozent binnen sechs Monaten, 100 Prozent binnen zwölf Monaten.
Nutzen: Du vermeidest Überraschungen.
Zeit von einem Löschanstoß (etwa auf Basis von Fristen) bis zur belegt durchgeführten Löschung – inklusive der Behandlung in Sicherungskopien.
Zielkorridor: unter 30 Tage im Primärsystem; für Sicherungskopien definierter Zyklenplan mit Nachweis.
Nutzen: Du überprüfst, ob Speicherbegrenzung real ist.
Anteil der Dienstleister mit aktuellen Verträgen, Nachweisen zu technischen und organisatorischen Maßnahmen und – falls vereinbart – Prüfberichten aus den letzten zwölf Monaten.
Zielkorridor: 100 Prozent bei kritischen Dienstleistern, über 95 Prozent insgesamt.
Nutzen: Du hältst die Lieferkette belastbar.
Ziel‑Wiederanlaufzeit basierend auf Testläufen für Systeme mit Personenbezug.
Zielkorridor: vier bis acht Stunden je nach Kritikalität.
Nutzen: Du stellst sicher, dass Artikel 32 nicht nur auf Papier steht.
Rollen RACI Mini Matrix für den Meldefall (72 Stunden Takt)
Bevor die Tabelle kommt, ein Wort zur Idee dahinter: Wenn ein Vorfall am Freitagabend aufläuft, zählt nicht nur die Technik – es zählt das Zusammenspiel. Die 72‑Stunden‑Frist beginnt mit Kenntnis im Unternehmen. Du brauchst also eine Struktur, die auch bei Abwesenheit funktioniert. Die RACI‑Logik (Responsible, Accountable, Consulted, Informed) übersetzen wir in eine klare Aufgabenverteilung: Wer verantwortet, wer führt aus, wer wird einbezogen, wer informiert? Diese Rollenklärung ist nicht „Bürokratie“, sondern die Abkürzung durch die Krise: Sie verhindert Doppelarbeit, Lücken und Reibungsverluste. Der Leitfaden des Europäischen Datenschutzausschusses unterstützt diese Struktur mit Beispielen und Mindestinhalten für Meldungen. (European Data Protection Board)
| Aufgabe (Meldefall) | Geschäftsführung | IT Leitung / Sicherheitsverantwortliche | Datenschutzbeauftragte Person | Fachbereich | Rechtsabteilung / Kommunikation | Incident Leitung |
|---|---|---|---|---|---|---|
| 1) Erstaufnahme und Eindämmung | informiert | führt aus | informiert | einbezogen | informiert | verantwortet/ führt aus |
| 2) Risikoanalyse für Betroffene | informiert | führt aus | einbezogen/ führt aus | einbezogen | informiert | verantwortet |
| 3) Meldeentscheidung (unter 36 Stunden) | verantwortet | einbezogen | einbezogen | einbezogen | einbezogen | führt aus |
| 4) Meldung an Aufsicht / Information Betroffener | informiert | einbezogen | führt aus | einbezogen | einbezogen | verantwortet |
| 5) Dokumentation (Artikel 33 Absatz 5) | informiert | einbezogen | verantwortet/ führt aus | einbezogen | einbezogen | führt aus |
| 6) Interne und externe Kommunikation | informiert | einbezogen | einbezogen | informiert | verantwortet/ führt aus | einbezogen |
| 7) Nachbereitung und Maßnahmen | verantwortet | führt aus | einbezogen | einbezogen | einbezogen | führt aus |
Hinweise: Hinterlege Stellvertretungen namentlich, halte eine aktuelle Kontaktliste der Aufsichten vor und stelle Vorlagen für Meldungen und Betroffeneninformationen bereit.
Vor dem Produktivgang: drei Pflichtfragen, bevor ein System live geht
Noch bevor ein neues System live geht, stellst du drei einfache, aber harte Fragen. Sie bilden eine Schranke, die nur mit Nachweisen passiert wird. So verhinderst du, dass Risiken erst im Betrieb auffallen.
- Datenarten und Schutzbedarf: Welche personenbezogenen Daten verarbeitet das System? Gibt es besondere Kategorien (zum Beispiel Gesundheits‑ oder biometrische Daten), Daten von Kindern oder Bewegungsdaten wie Telemetrie? Ist Datenminimierung umgesetzt (nur erforderliche Felder, deaktivierte Standardfelder, zurückhaltende Protokollierung)?
- Rechtsgrundlage und Datenschutz‑Folgenabschätzung: Welche Rechtsgrundlage gilt (zum Beispiel Vertragserfüllung oder berechtigtes Interesse)? Ist bei voraussichtlich hohem Risiko die Datenschutz‑Folgenabschätzung abgeschlossen – einschließlich Beteiligung der Interessenvertretungen und Dokumentation der Abwägungen?
- Löschung und Sicherungskopien: Gibt es ein verbindliches Löschkonzept mit konkreten Fristen? Wurde der technische Löschpfad einschließlich der Behandlung in Sicherungskopien getestet und protokolliert?
Gate‑Logik: Es gibt nur „Go“, wenn alle drei Antworten „Ja, mit Nachweis“ lauten.
90 /180 Tage Fahrplan, um dein Unternehmen sicher zu machen
Ein Fahrplan hilft, Tempo mit Gründlichkeit zu verbinden. Nachfolgend ein Vorschlag, der bewusst auf Breite statt auf Spezialfälle setzt. Vorangestellt jeweils ein kurzer Nutzenhinweis.
In 90 Tagen:
- Datenlandkarte und Kritikalität erstellen: Eine „Karte“ ist hier wörtlich zu nehmen: ein konsistentes Inventar, das Systeme, Prozesse, Datenfelder, Datenflüsse, Empfänger, Speicherorte, Aufbewahrungsfristen und verantwortliche Personen sichtbar macht – verknüpft mit einer Einstufung des Schutzbedarfs (zum Beispiel Kinder‑, Gesundheits‑, Bewegungs‑, biometrische Daten).
Nutzen: Du siehst Risiken, bevor sie wirken. - Zugriffsverwaltung straffen: Führe die Mehrfaktor‑Authentifizierung überall ein, priorisiert für Administrator‑ und Dienstleisterkonten. Prüfe, ob Rollen streng nach dem Prinzip der minimalen Rechte zugewiesen sind, und rezertifiziere Administratorrechte quartalsweise.
Nutzen: Du reduzierst die größte Einfallsrichtung – schwache oder gestohlene Zugangsdaten. - Meldeablauf testen: Spiele ein realitätsnahes Szenario durch (zum Beispiel: Samstag, Teil‑Ausfall eines Systems, unklare Datenabflüsse). Miss die Zeit bis zur Meldeentscheidung und überprüfe, ob deine Vorlagen tragen.
Nutzen: Du gewinnst Routine, bevor es ernst wird. - Auftragsverarbeiter prüfen: Fordere aktuelle Nachweise zu technischen und organisatorischen Maßnahmen an, gleiche vertragliche Vorgaben mit der Praxis ab und nutze vereinbarte Prüfrechte.
Nutzen: Du schließt die Lücke in der Lieferkette.
In 180 Tagen:
- Cloud‑Basislinie umsetzen: Baue eine Grundkonfiguration mit Netzwerksegmentierung, privaten Endpunkten, Prüfung von Geheimnissen, unveränderlichen Protokollen und Alarmierung auf. Lege automatisierte Kontrollen gegen Konfigurationsabweichungen fest.
Nutzen: Du stabilisierst den Alltag und entlastest die Teams. - Löschkonzept verbindlich einführen: Definiere Fristen, Rollen und Protokolle für Primärsysteme und Sicherungskopien. Prüfe stichprobenhaft, ob Löschungen tatsächlich erfolgen und nachweisbar sind.
Nutzen: Du erfüllst Speicherbegrenzung nicht nur auf dem Papier. - Transfer‑Risikoanalysen dokumentieren: Für jede Übermittlung in Drittländer erstellst du eine nachvollziehbare Risikoprüfung, legst technische Zusatzmaßnahmen fest (zum Beispiel Verschlüsselung mit Schlüsseln unter deiner Kontrolle) und aktualisierst Informationen für Nutzerinnen und Nutzer.
- Jährliches Audit und Kennzahlen etablieren: Stimme mit der Geschäftsführung einen Jahreskreis ab (Audits, Schulungen, Berichtslinien). Berichte regelmäßig die datenschutzrelevanten Kennzahlen.
Nutzen: Du hältst das Thema im Takt – ohne Alarmmodus.
EU US Transfers – kurzer Lagebericht (Stand: 09/2025)
Seit dem 10. Juli 2023 gilt die Angemessenheitsentscheidung der EU‑Kommission zum EU‑US Data Privacy Framework. Damit können Daten an zertifizierte US‑Unternehmen übertragen werden, ohne zusätzliche Instrumente. Für die Praxis heißt das: Prüfe die Zertifizierung deines Dienstleisters und dokumentiere sie. Zugleich bleibt es sinnvoll, die eigene Transfer‑Risikoanalyse zu führen und – wo nötig – zusätzliche technische Maßnahmen einzuplanen. Die erste Überprüfung 2024 bestätigte die Implementierung zentraler Elemente. Rechtliche Diskussionen laufen weiter, die Entscheidung gilt fort.
Checkliste für Vorstände und IT Leitung
Zum Abschluss ein kompaktes Prüfblatt. Lies jede Zeile, hake ab oder setze einen Termin – und nimm dir für offene Punkte ausreichend Zeit, um die nächsten Schritte zu planen.
✔ Zuständigkeiten und Eskalation geklärt – inklusive Stellvertretungen?
✔ Vollständige Datenlandkarte vorhanden – mit Zweck, Rechtsgrundlage, Speicherorten, Aufbewahrungsfristen und Verantwortlichen?
✔ Mehrfaktor‑Authentifizierung und strenges Rollenprinzip durchgesetzt – auch bei Dienstleistern?
✔ Datenschutz‑Folgenabschätzung für Hochrisikofälle (zum Beispiel Videoüberwachung, biometrische Verfahren, Angebote an Kinder) durchgeführt und dokumentiert?
✔ Meldeablauf geübt – Vorlagen, Kontaktliste, Entscheidungskriterien vorhanden, Dokumentation nach Artikel 33 Absatz 5 gesichert?
✔ Löschkonzept wirksam – inklusive Behandlung in Sicherungskopien, Stichproben dokumentiert?
✔ Datenübermittlungen dokumentiert und abgesichert (zum Beispiel via EU‑US‑Data‑Privacy‑Framework, sonst geeignete Garantien und Zusatzmaßnahmen)?
✔ Jährliche Schulungen und Audits terminiert – Kennzahlen definiert und im Reporting verankert?
Fazit
Datenschutz scheitert selten an fehlendem Wissen – er scheitert am Zusammenspiel. Die acht Fälle zeigen, wie schnell kleine Lücken große Wirkung entfalten: eine unbedachte Cloud‑Einstellung, eine zu weit ausgerollte Kamera, eine Meldung, die zu spät kommt. Wer die Grundprinzipien ernst nimmt, eine technische Basislinie etablieren lässt und die eigene Reaktion einübt, reduziert Risiken spürbar und gewinnt Vertrauen zurück.
Hinweis: keine Rechtsberatung. Stand: 09/2025.
S+S SoftwarePartner GmbH ist dein Ansprechpartner für sichere Unternehmenssoftware
Vom Cloud-ERP über die Finanzbuchhaltung bis hin zur Lösung für das Wertpapier- und Vermögensmanagement: Die Anwendungen der S+S SoftwareParter GmbH liefern dir die besten Voraussetzungen, damit in deinem Unternehmen alle Daten bestens geschützt sind. Komme bei Fragen und Beratungsbedarf gerne auf unsere Experten zu.
An dieser Stelle würden wir dir gerne einen Kalender mit möglichen Gesprächsterminen anzeigen. Zur Anzeige ist es notwendig, Drittanbieter-Inhalte unseres Partners Calendly zu akzeptieren.
An dieser Stelle würden wir dir gerne einen Kalender mit möglichen Gesprächsterminen anzeigen. Zur Anzeige ist es notwendig, Drittanbieter-Inhalte unseres Partners Calendly zu akzeptieren.
