IT-Strategie

IT-Sicherheit und DSGVO: Beide Anforderungen in einem Vorgehen bündeln

Michael Scharf Michael ScharfGründer & Geschäftsführer, Prometheus Consulting GmbH 14. Oktober 2025 7 Min. Lesezeit
IT-Sicherheit und DSGVO: Beide Anforderungen in einem Vorgehen bündeln

In vielen mittelständischen Unternehmen kümmert sich die IT um Firewalls und Backups, während ein externer Datenschutzbeauftragter das Verarbeitungsverzeichnis pflegt — beide arbeiten gewissenhaft, aber selten miteinander. Das Ergebnis sind doppelte Dokumentation, widersprüchliche Vorgaben und blinde Flecken genau dort, wo Angriffe tatsächlich stattfinden. Dabei verlangt Art. 32 DSGVO nichts anderes als solide Informationssicherheit: technische und organisatorische Maßnahmen, die dem Risiko angemessen sind. Wer beides in einem Vorgehen bündelt, spart Aufwand und schließt Lücken.

Warum Sicherheit und Datenschutz zusammengehören

Ein Ransomware-Vorfall ist fast immer beides zugleich: ein Sicherheitsvorfall und eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO. Wer die beiden Themen organisatorisch trennt, stellt im Ernstfall fest, dass zwei Prozesse mit unterschiedlichen Zuständigkeiten parallel anlaufen — und die 72-Stunden-Meldefrist an die Aufsichtsbehörde verstreicht, während intern noch geklärt wird, wer eigentlich entscheidet. Sinnvoller ist eine gemeinsame Risikobetrachtung: Welche Daten verarbeiten wir, welche Systeme tragen sie, was passiert bei Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit?

Startpunkt: das Verarbeitungsverzeichnis als Systemlandkarte

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO wird oft als lästige Pflichtübung geführt. Richtig aufgebaut ist es die beste Landkarte der eigenen IT: Je Verarbeitung stehen dort Zweck, Datenkategorien, beteiligte Systeme, Empfänger und Löschfristen. Wir ergänzen diese Sicht in Projekten um zwei Spalten — Schutzbedarf und technischer Verantwortlicher — und erhalten so eine priorisierte Liste, welche Systeme zuerst abgesichert werden müssen. Bei einem Handelsunternehmen mit rund 80 Mitarbeitenden ergab diese Übung 23 Verarbeitungen auf 11 Systemen; nur 4 davon trugen hohen Schutzbedarf. Genau dort wurden Budget und Aufmerksamkeit konzentriert. Nebenbei deckt diese Inventur regelmäßig vergessene Auftragsverarbeiter auf — Cloud-Dienste, die eine Fachabteilung eigenständig eingeführt hat und für die weder ein Vertrag nach Art. 28 DSGVO noch eine Sicherheitsbewertung existiert.

Technische Maßnahmen mit dem größten Hebel

Die Praxis zeigt: Ein kleiner Satz von Maßnahmen deckt den Großteil der realen Risiken ab. Dazu gehören Multi-Faktor-Authentifizierung für alle von außen erreichbaren Zugänge, ein Patch-Prozess mit definierten Fristen statt „wenn Zeit ist“, Backups nach der 3-2-1-Regel mit regelmäßig getesteter Wiederherstellung sowie ein Rechtekonzept nach dem Need-to-know-Prinzip. Letzteres ist zugleich eine Kernforderung des Datenschutzes: Wer Zugriffe auf das Notwendige beschränkt, reduziert sowohl die Angriffsfläche als auch das Ausmaß einer möglichen Datenschutzverletzung. Orientierung bieten die Bausteine des BSI-IT-Grundschutzes — für den Mittelstand genügt in der Regel die Basis-Absicherung als Zielniveau.

Der Faktor Mensch: Awareness ist ein Prozess, keine Schulung

Die meisten erfolgreichen Angriffe beginnen mit einer E-Mail. Eine jährliche Pflichtschulung ändert daran wenig. Wirksamer ist ein fortlaufendes Programm: kurze Lerneinheiten, simulierte Phishing-Kampagnen mit anschließender Aufklärung statt Bloßstellung, und klare, einfache Meldewege für verdächtige Nachrichten. In einem Kundenprojekt sank die Klickquote auf simulierte Phishing-Mails über vier Quartale von 28 auf 6 Prozent — nicht durch Druck, sondern weil das Melden verdächtiger Mails ausdrücklich gelobt und in Minuten beantwortet wurde.

Vorfallmanagement: vorbereitet sein, bevor es ernst wird

Ob ein Vorfall glimpflich verläuft, entscheidet sich in den ersten Stunden. Dafür braucht es kein dickes Handbuch, sondern eine Seite mit dem Wesentlichen: Wer wird in welcher Reihenfolge informiert, wer entscheidet über das Trennen von Systemen, wer bewertet die Meldepflicht nach Art. 33 DSGVO, wer kommuniziert mit Betroffenen und Dienstleistern. Diese Abläufe sollten einmal jährlich als Planübung durchgespielt werden — 90 Minuten, die im Ernstfall Tage sparen. Wie wir Unternehmen beim Aufbau solcher Strukturen begleiten, von der Risikoanalyse bis zum Notfallplan, zeigt unsere Übersicht unter Dienstleistungen.

Fazit: eine Struktur, zwei Pflichten erfüllt

IT-Sicherheit und DSGVO sind kein Widerspruch und kein doppelter Aufwand, wenn sie auf derselben Grundlage stehen: einem ehrlichen Bild der Systeme und Daten, einer risikobasierten Priorisierung und wenigen, konsequent umgesetzten Maßnahmen. Der Einstieg ist überschaubar — eine strukturierte Bestandsaufnahme dauert je nach Unternehmensgröße zwei bis vier Wochen und liefert eine belastbare Grundlage für alle weiteren Entscheidungen. Wenn Sie wissen möchten, wo Ihr Unternehmen steht: Sprechen Sie uns an — im Erstgespräch klären wir gemeinsam die wichtigsten Handlungsfelder.

Teilen
Weiterlesen

Verwandte Artikel

Nächster Schritt

Sprechen wir über Ihr Vorhaben.

Ob Digitalisierung, Individualsoftware oder Prozessoptimierung: In einem unverbindlichen Erstgespräch klären wir, wo Ihr größter Hebel liegt — konkret und ohne Verkaufsfolien.

Kanalstr. 47-51, 12357 Berlin Mo–Fr 09:00 – 18:00 Uhr ISO 9001 orientiert · Seit 2018