So wichtig das Thema Datenschutz auch ist: Es gibt weitaus mehr gesetzliche Compliance-Vorgaben und Branchenstandards, die die Informationssicherheit betreffen. Angesichts der Haftungsrisiken sollten sich Führungskräfte dessen stets bewusst sein.
In Deutschland rücken Cyberrisiken unter die Top 10 Unternehmensrisiken, wie das Allianz Risk Barometer 2015 zeigt.
(Bild: Allianz Global Corporate & Specialty)
Die Zeiten, in denen der Datenschutz ein Schattendasein fristete, sind lange vorbei. Inzwischen sind die Schlagzeilen ebenso gefüllt mit Themen rund um den Datenschutz wie die politischen Diskussionen und die IT-Sicherheitskonferenzen.
Laut dem aktuellem eco Report „IT Sicherheit 2015“ sehen 88 Prozent der befragten Sicherheitsexperten den „Datenschutz“ als das wichtigste Sicherheitsthema für 2015 an. Es besteht kein Zweifel, dass noch zahlreiche Aufgaben zu bewältigen sind, damit die Mehrzahl der Unternehmen die Vorgaben des Datenschutzes tatsächlich umgesetzt hat.
Es kommt nicht von ungefähr, dass die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz regelmäßig Mängelberichte über den Datenschutz in Unternehmen enthalten. Allerdings wäre es auch verfehlt, wenn sich die Geschäftsleitung eines Unternehmens ganz auf die Fragen des Datenschutzes konzentriert, wenn es um die rechtlichen und vertraglichen Forderungen zur IT-Sicherheit geht.
IT-Sicherheit muss vielen Forderungen gerecht werden
Oftmals ist sich das Management der Vielfalt der IT-Sicherheitsanforderungen und der damit verbundenen Risiken nicht bewusst genug. Einer der Gründe dafür ist die mangelnde Kommunikation zwischen den IT-Sicherheitsverantwortlichen und den Vertretern der Geschäftsleitung, wie eine Ponemon-Studie deutlich gemacht hat.
Weitere Probleme bereitet die Komplexität der rechtlichen Vorgaben für die IT-Sicherheit. Ein ganzes Bündel an Gesetzen, Verordnungen, Richtlinien und vertraglichen Vereinbarungen kann zur sogenannten IT-Compliance gezählt werden, die erreicht werden muss. Fehlt ein Prozess zur Erreichung der IT-Compliance, ist der Prozess und der Status nicht ausreichend dokumentiert oder wird die IT-Compliance insgesamt nicht erreicht, kann dies spürbare Folgen haben.
Sicherheitsrelevante Compliance-Vorgaben
Die folgenden Beispiele für Compliance-Vorgaben mit Bezug zur IT-Sicherheit sind teilweise branchenabhängig und/oder Gegenstand vertraglicher Vereinbarungen.
Dies gilt insbesondere für die Geschäftsleitung, die sowohl beim Datenschutz als auch bei den anderen Compliance-Vorgaben als die verantwortliche Stelle betrachtet wird. Compliance-Verstöße können je nach rechtlichem Bereich zu Vertragsstrafen, Bußgeldern und sogar zur persönlichen Haftung der Unternehmensleitung führen.
Compliance-Verstöße und Haftungsrisiken vermeiden
Jedes Unternehmen sollte für sich prüfen, welche rechtlichen Anforderungen hinsichtlich IT-Compliance für die eigene Branche und das eigene Unternehmen bestehen. Dabei sollte man auch die einzelvertraglichen Pflichten nicht vergessen, denn in Kundenverträgen können ebenfalls konkrete Forderungen an die IT-Sicherheit zu finden sein.
Im Fall einer Auftragsdatenverarbeitung ist dies sogar Pflichtbestandteil der Verträge. Zusätzliche Verpflichtungen ergeben sich aus internen IT-Sicherheitsrichtlinien und einzuhaltenden SLAs (Service Level Agreements).
Die Geschäftsleitung muss die IT-Compliance sehr ernst nehmen, um (teilweise persönliche) Konsequenzen zu vermeiden. Die Benennung eines Compliance-Beauftragten oder zum Beispiel eines Datenschutzbeauftragten (DSB) entbindet das Management nicht von der eigenen Verantwortung.
Trotzdem ist die Beauftragung einer speziell zuständigen Person sehr sinnvoll, teilweise auch rechtlich gefordert. Hinzu kommt, dass die IT selbst ihren Beitrag leisten kann, um den Prozess und die Einhaltung der IT-Compliance besser in den Griff zu bekommen.
Compliance-Tools helfen bei der Übersicht und Dokumentation
Eine Reihe von Speziallösungen können Unternehmen dabei unterstützen, die jeweiligen IT-Risiken zu identifizieren und zu bewerten, Gegenmaßnahmen zu definieren und zu dokumentieren und den Umsetzungsstand mit verschiedenen Compliance-Vorgaben abzugleichen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ganz gleich, mit welcher Lösung oder Methode ein Unternehmen den Überblick zur IT-Compliance behält: das Risiko einer Haftung oder von Vertragsstrafen sollte keiner unbeantwortet lassen, weder im Datenschutz noch in einem anderen Bereich der IT-Compliance.
* Oliver Schonschek, Dipl.-Phys., ist IT-Fachjournalist und IT-Analyst. Sein Fokus liegt auf IT-Sicherheit und Datenschutz in allen Bereichen der IT wie Cloud Computing, Mobile Enterprise, Big Data und Social Enterprise.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/6f/166f2092164f9bb95999f1d8c2614445/0129477879v1.jpeg "China hat die Regeln für Cybervorfälle neu geschrieben und verlangt jetzt Reaktionen in Minuten statt Tagen. Deutsche Unternehmen brauchen belastbare Prozesse die auch unter Zeitdruck noch funktionieren. (Bild: © AH TAR STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/c6/e7c6e41949801faccd560e1f61887ef6/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/c3/22c36f0b47643c75b3fc2cfbaaafc029/0121183489v2.jpeg "Die Auswirkungen der kritischen Sicherheitslücke im Microsoft Configuration Manager können bei einem erfolgreichen Angriff fatal sein. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/f3/f2f38be8340a8b744e5c693e90aabfd4/0128625667v2.jpeg "Auch 2026 ist der Microsoft Patchday immer am zweiten Dienstag des Monats. (Bild: Microsoft, Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/f4/daf4ae15cb0048c9f6fc9f6a73e57ae6/0129257890v2.jpeg "KMU erhalten nun einfachen Zugang zu bewährten IT-Sicherheitslösungen. (Bild: © Cisco Team)")
:quality(80)/p7i.vogel.de/wcms/df/bc/dfbcc513eacc7711f228d27580aceed5/0129149468v2.jpeg "Ghost Pairing ist eine Phishing-Masche, bei der Cyberkriminelle gefälschte Links nutzen, um an die Telefonnummer des Nutzers zu gelangen und mit dieser unbefugt ein Gerät an dessen WhatsApp-Konto zu koppeln. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d3/a8/d3a8e5d0c386e216cb80a9f86adf71c1/0129257881v2.jpeg "Für die Umsetzung der NIS2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:quality(80)/p7i.vogel.de/wcms/86/04/8604ee53149bd6315d60d6a376b998f7/0123840725v1.jpeg "Ein zeitgemäßes SOC muss nicht nur neue Herausforderungen bewältigen, sondern auch steigenden Compliance-Anforderungen gerecht werden. (Bild: T-Rex - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/e9/7de9a309c98605ff6edea5151f61916e/0124302592v4.jpeg "Die weltweite geopolitische Lage bleibt angespannt – und mit ihr die Unsicherheiten im Datenschutz. (Bild: Dall-E / KI-generiert)")