Dienstag, 7. Juli 2026

Datenschutz in der Lieferkette: Wenn der Kunde Nachweise verlangt

Datenschutz in der Lieferkette: Wenn der Kunde Nachweise verlangt

Datenschutz in der Lieferkette: Wenn der Kunde Nachweise verlangt


Es beginnt oft mit einem schlichten Anhang zur Bestellung: ein Fragebogen, ein Audit-Formular oder eine Selbstauskunft zur Informationssicherheit. Immer mehr Großkunden verlangen von ihren Zulieferern und Dienstleistern den Nachweis, dass Datenschutz und Informationssicherheit im Unternehmen ernsthaft umgesetzt sind. Wer diesen Nachweis nicht liefern kann, riskiert – im schlimmsten Fall – den Auftrag.

Ein wachsender Druck in der Lieferkette

Was vor einigen Jahren noch die Ausnahme war, ist heute in vielen Branchen Standard: Automobilhersteller, Konzerne aus der Medizintechnik, dem Maschinenbau oder der Finanzbranche schreiben ihren Zulieferern zunehmend vor, welche Sicherheitsstandards einzuhalten sind. Das betrifft längst nicht mehr nur die großen Tier-1-Lieferanten. Auch kleine und mittlere Unternehmen geraten in diesen Sog – oft unvorbereitet.

Der Grund ist nachvollziehbar: Ein Angriff auf einen schlecht gesicherten Zulieferer kann über Schnittstellen, gemeinsam genutzte Systeme oder weitergegebene Daten direkt auf den Auftraggeber übergreifen. Lieferkettensicherheit ist damit kein Thema mehr, das nur Konzerne betrifft.

Datenschutz und Informationssicherheit als Vertragsbedingung

In der Praxis zeigt sich das in verschiedenen Formen: Lieferantenaudits, Sicherheitsfragebögen, vertragliche Klauseln zur EU-DSGVO-Konformität oder die ausdrückliche Forderung nach einer ISO-27001-Zertifizierung. Besonders in der Automobilindustrie hat sich mit TISAX (Trusted Information Security Assessment Exchange) ein branchenspezifischer Standard etabliert, der von VDA-Mitgliedern und deren Zulieferern verlangt wird.

Wer als Zulieferer mit vertraulichen Konstruktionsdaten, Prototypen-Informationen oder personenbezogenen Daten von Kunden des Auftraggebers arbeitet, wird früher oder später mit diesen Anforderungen konfrontiert. Die Frage ist nicht mehr ob – sondern wann.

Wie die Grundlagen eines solchen Datenschutzrahmens aussehen, haben wir in unserem Artikel zum Auftragsverarbeitungsvertrag beschrieben: Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht.

Was kleine Zulieferer jetzt konkret brauchen

Die gute Nachricht: Auch ohne Konzernressourcen lässt sich eine solide Basis aufbauen. Was Großkunden in der Regel erwarten, lässt sich auf drei Kernbereiche herunterbrechen:

  • Dokumentierter Datenschutz nach EU-DSGVO – ein aktuelles Verarbeitungsverzeichnis, abgeschlossene Auftragsverarbeitungsverträge, eine Datenschutzerklärung und klare interne Zuständigkeiten.
  • Nachweisbare Informationssicherheit – technische und organisatorische Maßnahmen (TOMs), ein definiertes Vorgehen bei Sicherheitsvorfällen und ein Grundverständnis für Risikomanagement.
  • Sensibilisierte Mitarbeitende – denn auch der sicherste Prozess nützt wenig, wenn Mitarbeitende auf Phishing hereinfallen oder vertrauliche Daten ungeschützt weitergeben. Mehr dazu in unserem Artikel: Mitarbeiter als Einfallstor: Warum Awareness kein Nice-to-have ist.

Wer diese drei Bereiche strukturiert abdeckt, ist nicht nur gegenüber Kunden auskunftsfähig – er ist auch deutlich widerstandsfähiger gegen Cyberangriffe und Datenpannen.

Die Brücke zu TISAX: Wenn ISO 27001 allein nicht reicht

Für Unternehmen, die in der Automobilindustrie tätig sind oder es werden wollen, ist TISAX das relevante Prüfformat. Es basiert auf dem Information Security Assessment (ISA) des VDA und orientiert sich inhaltlich an ISO 27001 – geht in einigen Bereichen aber darüber hinaus, etwa beim Schutz von Prototypen oder dem Umgang mit Fahrzeuginformationen.

Eine TISAX-Bewertung ist kein Zertifikat im klassischen Sinne, sondern ein Nachweis gegenüber Geschäftspartnern innerhalb der VDA-Plattform. Wer bereits auf dem Weg zu ISO 27001 ist, hat einen erheblichen Vorsprung – die Grundlagen überschneiden sich stark. Mehr zu ISO 27001 und was es für Ihr Unternehmen bedeutet, finden Sie auf unserer Übersichtsseite: ISO 27001 bei yourIT.

Und auch das Verarbeitungsverzeichnis spielt bei TISAX-Assessments eine Rolle: Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will.

BAFA-Förderung: Beratungskosten teilweise erstattet bekommen

Ein häufiges Hindernis für KMU ist die Frage der Kosten. Was viele nicht wissen: Für Beratungsleistungen rund um Informationssicherheit und Datenschutz können kleine und mittlere Unternehmen unter bestimmten Voraussetzungen BAFA-Fördermittel in Anspruch nehmen. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle fördert Unternehmensberatungen für KMU im Rahmen des Programms „Förderung unternehmerischen Know-hows".

Das bedeutet: Der Weg zu einem nachweisbaren Datenschutz- und Sicherheitsniveau muss nicht vollständig aus eigener Tasche finanziert werden. yourIT unterstützt Sie dabei, die passende Förderung zu beantragen und die Beratung effizient zu gestalten. Wir beraten Sie gerne um mehr Informationen zu Fördermöglichkeiten zu bekommen.

Jetzt handeln – bevor der Kunde fragt

Wer wartet, bis der erste Großkunde einen Nachweis fordert, gerät unter Zeitdruck. Wer jetzt handelt, kann strukturiert vorgehen, Fördermittel nutzen und seine Position als verlässlicher Partner in der Lieferkette aktiv stärken.

Sprechen Sie uns an – wir analysieren gemeinsam mit Ihnen, wo Ihr Unternehmen heute steht und welche Schritte als nächstes sinnvoll sind.

→ Jetzt Erstberatung anfragen

Dienstag, 30. Juni 2026

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?

Löschkonzept: Wie lange dürfen Sie Daten wirklich behalten?


„Wir behalten einfach alles – man weiß ja nie." Dieser Satz fällt in der Datenschutzberatung erschreckend häufig. Er klingt vorsichtig, ist aber aus datenschutzrechtlicher Sicht eines der größten Risiken, das ein Unternehmen eingehen kann. Denn die EU-DSGVO verlangt das Gegenteil: Daten dürfen nur so lange gespeichert werden, wie es einen klaren Zweck dafür gibt.

Der Grundsatz der Speicherbegrenzung nach EU-DSGVO

Artikel 5 Abs. 1 lit. e der EU-DSGVO legt den sogenannten Grundsatz der Speicherbegrenzung fest. Personenbezogene Daten dürfen demnach nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nur so lange, wie es für den jeweiligen Verarbeitungszweck erforderlich ist.

Das klingt abstrakt, hat aber sehr konkrete Konsequenzen: Wer Bewerberdaten nach Abschluss des Bewerbungsprozesses nicht löscht, wer alte Kundendaten aus abgeschlossenen Projekten dauerhaft im System behält oder wer E-Mail-Verläufe ohne Grund jahrzehntelang archiviert, verstößt gegen diesen Grundsatz – unabhängig davon, ob diese Daten jemals missbraucht werden.

Aufbewahrungsfristen vs. Löschpflichten: Was gilt wann?

Hier liegt die häufigste Verwechslung in der Praxis: Aufbewahrungsfristen und Löschpflichten sind keine Gegensätze – sie greifen ineinander.

Aufbewahrungsfristen entstehen aus gesetzlichen Vorgaben, etwa aus der Abgabenordnung (10 Jahre für steuerrelevante Unterlagen), dem Handelsgesetzbuch (6 Jahre für Handelsbriefe) oder berufsrechtlichen Regelungen. Diese Fristen erlauben das Aufbewahren – sie sind aber gleichzeitig auch eine Obergrenze. Nach Ablauf der Frist entsteht in der Regel eine aktive Löschpflicht.

Ein Dokument, für das keine gesetzliche Aufbewahrungsfrist gilt, muss gelöscht werden, sobald der ursprüngliche Verarbeitungszweck entfallen ist. Nicht irgendwann. Zeitnah.

Einen guten Überblick darüber, welche Daten Ihr Unternehmen überhaupt verarbeitet und welche Fristen dafür relevant sind, bietet das Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO – mehr dazu in unserem Artikel: Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will.

Der typische Fehler: „Wir behalten einfach alles"

In der Praxis begegnet uns dieser Ansatz regelmäßig – und er entsteht meist nicht aus böser Absicht, sondern aus Unsicherheit. Wenn nicht klar ist, welche Daten wie lange aufbewahrt werden dürfen, erscheint das Behalten sicherer als das Löschen.

Das Gegenteil ist der Fall. Je mehr Daten ein Unternehmen vorhält, desto größer ist die potenzielle Angriffsfläche bei einem Datenschutzvorfall, desto umfangreicher sind Auskunftspflichten gegenüber betroffenen Personen und desto schwieriger wird die Nachweispflicht gegenüber Aufsichtsbehörden. Datensparsamkeit schützt – nicht nur rechtlich, sondern auch operativ.

Eine einfache Heuristik für den Einstieg

Wer noch kein formales Löschkonzept hat, kann mit folgenden drei Fragen starten:

  • Warum haben wir diesen Datensatz? – Gibt es einen dokumentierten Verarbeitungszweck?
  • Wie lange brauchen wir ihn? – Gibt es eine gesetzliche Frist oder endet der Zweck früher?
  • Was passiert danach? – Ist ein konkreter Löschprozess definiert und verantwortlich zugewiesen?

Wenn auch nur eine dieser Fragen nicht beantwortet werden kann, besteht Handlungsbedarf. Diese drei Fragen sind kein Ersatz für ein vollständiges Löschkonzept – aber sie helfen, die größten Risiken schnell zu identifizieren.

Das Löschkonzept wird in Phase A geprüft

Im Rahmen unserer Datenschutz-Erstberatung – der sogenannten Phase A – gehört die Prüfung des Löschkonzepts zu den Standardthemen. Wir schauen gemeinsam mit Ihnen, welche Datenkategorien Ihr Unternehmen verarbeitet, welche Fristen gelten und ob ein nachvollziehbarer Löschprozess existiert.

Das Löschkonzept ist dabei kein isoliertes Dokument. Es ist eng verknüpft mit dem Verarbeitungsverzeichnis, mit Auftragsverarbeitungsverträgen und mit den technischen und organisatorischen Maßnahmen Ihres Unternehmens. Wie AVV und Datenschutzprozesse zusammenhängen, beschreiben wir ausführlich in unserem Artikel: Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht.

Jetzt handeln: Löschkonzept aufbauen – bevor die Behörde fragt

Ein fehlendes oder unvollständiges Löschkonzept gehört zu den häufigsten Feststellungen bei Datenschutzprüfungen. Wer jetzt handelt, ist vorbereitet – und schützt gleichzeitig sein Unternehmen vor unnötigen Risiken.

→ Jetzt Erstberatung anfragen

Montag, 22. Juni 2026

Mitarbeiter als Einfallstor: Warum Awareness kein Nice - to - have ist

Mitarbeiter als Einfallstor: Warum Awareness kein Nice-to-have ist

Firewalls, Virenscanner, verschlüsselte Verbindungen – viele Unternehmen investieren erheblich in technische Schutzmaßnahmen. Und trotzdem gelingt es Angreifern immer wieder, in Unternehmenssysteme einzudringen. Der Grund ist selten ein Fehler in der Technik. Der Grund ist der Mensch.

Warum Awareness kein Nice- to- have ist

Über 80 % aller IT-Vorfälle starten beim Menschen

Mehr als 80 Prozent aller IT-Sicherheitsvorfälle beginnen nicht mit einem technischen Angriff auf eine Infrastruktur – sie beginnen mit einem Menschen. Eine unachtsam geöffnete E-Mail, ein Anruf eines vermeintlichen IT-Dienstleisters, ein USB-Stick auf dem Firmenparkplatz: Phishing und Social Engineering sind die mit Abstand häufigsten Einstiegspunkte für Cyberkriminelle.

Das ist kein Vorwurf an Mitarbeitende. Es ist eine Tatsache, auf die Unternehmen aktiv reagieren müssen – mit gezielter Security Awareness.

Ein Beispiel, das jeder kennt: CEO-Fraud

Eine Mitarbeiterin aus der Buchhaltung erhält eine E-Mail, scheinbar vom Geschäftsführer. Der Betreff lautet: „Dringende Überweisung – bitte sofort ausführen." Die Absenderadresse sieht auf den ersten Blick korrekt aus, der Ton ist vertraut, der Zeitdruck hoch.

Ohne gezielte Schulung ist die Wahrscheinlichkeit groß, dass die Überweisung ausgeführt wird – bevor jemand nachfragt. Dieses Szenario ist kein Einzelfall. Unter dem Begriff CEO-Fraud oder Business E-Mail Compromise ist es eine der häufigsten und kostspieligsten Angriffsformen weltweit. Wie vielfältig Cyberbetrug heute ist, haben wir bereits ausführlich beschrieben: Cyberbetrug hat viele Gesichter – Warum Phishing nicht nur per E-Mail passiert.

Awareness ist keine Kür – sie ist gesetzliche Pflicht

Was viele Unternehmen noch als freiwillige Maßnahme betrachten, ist längst regulatorische Anforderung. Sowohl die NIS2-Richtlinie als auch die internationale Norm ISO 27001 fordern ausdrücklich, dass Mitarbeitende regelmäßig im sicheren Umgang mit IT-Systemen und Informationen geschult werden.

Wer diese Anforderung ignoriert, riskiert nicht nur Sicherheitsvorfälle – sondern auch empfindliche Bußgelder und regulatorische Konsequenzen. Security Awareness ist damit kein Nice-to-have, das man irgendwann noch angeht. Es ist Pflicht.

Übrigens gilt das nicht nur für klassische Phishing-Mails: Auch der unbedachte Umgang mit KI-Tools im Arbeitsalltag kann zur Sicherheitslücke werden. Mehr dazu in unserem Artikel: Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht.

BE AWÄRE: Schulung und Phishing-Simulation aus einer Hand

Mit BE AWÄRE bietet yourIT eine Lösung, die genau hier ansetzt. Das Programm kombiniert zwei wesentliche Bausteine:

  • Mitarbeiterschulungen – praxisnah und verständlich aufgebaut, keine trockene Pflichtveranstaltung, sondern relevante Inhalte, die im Arbeitsalltag ankommen.
  • Phishing-Simulationen – kontrollierte Tests, die ohne realen Schaden zeigen, wie sensibilisiert Ihr Team tatsächlich ist und wo gezielter Nachholbedarf besteht.

Die Kombination aus Wissen und realitätsnahem Training ist nachweislich wirksamer als rein theoretische Schulungsformate. Denn nur wer eine Phishing-Mail einmal selbst – sicher und kontrolliert – erlebt hat, erkennt sie beim nächsten Mal.

Awareness gehört in jeden Maßnahmenkatalog

Technische Schutzmaßnahmen und organisatorische Prozesse greifen nur dann vollständig, wenn auch der Faktor Mensch einbezogen wird. Security Awareness ist deshalb kein eigenständiges Randthema – sie ist ein integraler Bestandteil eines ganzheitlichen IT-Sicherheitskonzepts.

Wer seinen Maßnahmenkatalog im Rahmen von NIS2, ISO 27001 oder einer allgemeinen Risikobetrachtung aufstellt, sollte Awareness von Anfang an mitdenken. Nicht als Ergänzung. Als Fundament. Wie wichtig auch die Vorbereitung auf den Ernstfall ist, zeigt unser Artikel zum Thema: Notfallmanagement: Wenn nichts mehr geht, muss Kommunikation trotzdem funktionieren.

Jetzt handeln: Wie gut ist Ihr Team vorbereitet?

Sie möchten wissen, wie gut Ihre Mitarbeitenden auf Phishing und Social Engineering vorbereitet sind? Sprechen Sie uns an – wir zeigen Ihnen, wie BE AWÄRE in Ihrem Unternehmen wirkt und welche ersten Schritte sinnvoll sind.

→ Jetzt kostenlose Erstberatung anfragen

Donnerstag, 11. Juni 2026

Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht

Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht

Wenn Unternehmen über DSGVO reden, fallen meist die großen Schlagworte: Datenschutzerklärung, Einwilligung, Verarbeitungsverzeichnis. Der Auftragsverarbeitungsvertrag – kurz AVV – landet dabei regelmäßig auf dem letzten Platz. Dabei ist er in der Prüfungspraxis einer der häufigsten Stolpersteine. Und er betrifft nicht nur die Endkunden. Gerade IT-Dienstleister und Systemhäuser sind gleich doppelt in der Pflicht.


Typische Lücken im AVV

Dienstag, 9. Juni 2026

Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will

Auf den Punkt: Wer in den letzten Jahren mit einer Datenschutzbehörde zu tun hatte, kennt das Muster: Die erste Anfrage betrifft fast immer das Verarbeitungsverzeichnis. Wer es nicht vorlegen kann, hat den Termin schon halb verloren – wer ein veraltetes oder lückenhaftes Dokument schickt, oft auch. Aus 18 Jahren Beratungspraxis im Mittelstand ist es die häufigste vermeidbare Schwachstelle.

Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO

Dienstag, 2. Juni 2026

Heimliche Überwachung per Newsletter: Wie Tracking-Pixel E-Mail-Empfänger ausspähen können

Heimliche Überwachung per Newsletter: Wie Tracking-Pixel E-Mail-Empfänger ausspähen können

Online-Tracking findet nicht nur auf Webseiten statt. Auch Newsletter und Werbe-E-Mails können genutzt werden, um das Verhalten von Empfängerinnen und Empfängern nachzuverfolgen. Viele denken dabei nur an angeklickte Links. Tatsächlich kann das Tracking aber schon beim Öffnen einer E-Mail beginnen.


Genau deshalb warnen Datenschutzaufsichtsbehörden vor heimlichem Tracking in Newslettern. Für Unternehmen ist das ein klares Datenschutzthema. Für Mitarbeitende und private Nutzer ist es ein Awareness-Thema: Nicht jede E-Mail ist nur eine Nachricht. Manche E-Mails beobachten mit.

Newsletter können mehr erfassen als nur Klicks – unsichtbare Tracking-Pixel können bereits beim Öffnen einer E-Mail Daten übertragen.

Dienstag, 26. Mai 2026

Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht

Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht

Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Texte werden zusammengefasst, Ideen entwickelt, E-Mails formuliert, Dokumente geprüft oder Informationen recherchiert. Das kann enorm hilfreich sein. Aber es kann auch gefährlich werden, wenn Mitarbeitende unüberlegt Daten in KI-Systeme eingeben.

Der wichtigste Grundsatz lautet deshalb: Erst denken, dann eingeben. Denn ein guter Prompt verbessert zwar die Antwort. Eine falsche oder ungeprüfte Eingabe kann aber Datenschutz, Vertraulichkeit und Informationssicherheit gefährden.

Prompt-Eingaben wirken harmlos – können aber vertrauliche Daten offenlegen.


KI kann im Arbeitsalltag helfen – aber nur, wenn klar ist, welche Daten eingegeben werden dürfen und welche nicht.

Dienstag, 19. Mai 2026

Notfallmanagement: Wenn nichts mehr geht, muss Kommunikation trotzdem funktionieren

Was passiert, wenn im Unternehmen plötzlich nichts mehr geht?

Keine E-Mails. Kein Zugriff auf Dateien. Keine internen Systeme. Keine gewohnten Kommunikationswege. 


Mitarbeitende in einer IT-Notfallsituation nutzen sichere Kommunikation, während interne Systeme nicht verfügbar sind.

Und genau dann stellt sich die wichtigste Frage: Wie erreichen wir jetzt die richtigen Personen?

Dienstag, 12. Mai 2026

Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden

Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden

Auf dem eigenen Smartphone ist es praktisch: Die Foto-App erkennt Gesichter und filtert aus Tausenden Bildern genau die Personen heraus, die man sucht. Für private Erinnerungen ist das bequem. In anderen Zusammenhängen kann dieselbe Technik aber schnell zum Datenschutz- und Sicherheitsrisiko werden.

Denn Fotos zeigen nicht nur Menschen. Sie können auch Aufenthaltsorte, Gewohnheiten, Beziehungen, Arbeitsumgebungen und technische Zusatzinformationen verraten. Genau deshalb sollten Unternehmen und Mitarbeitende bewusster mit Bildern umgehen.


Fotos können mehr verraten als den sichtbaren Bildinhalt – Gesichtserkennung und Metadaten machen sie zum Datenschutz- und Sicherheitsrisiko.


Fotos sind mehr als Momentaufnahmen: Gesichtserkennung und Metadaten können zusätzliche Informationen über Personen und Orte preisgeben.

Dienstag, 5. Mai 2026

Cyberbetrug hat viele Gesichter: Warum Phishing nicht nur per E-Mail passiert

Cyberbetrug hat viele Gesichter: Warum Phishing nicht nur per E-Mail passiert

Beim Stichwort Cyberbetrug denken viele zuerst an Phishing-Mails oder gefälschte Online-Shops. Doch diese Sicht greift zu kurz. Internetkriminelle nutzen längst alle verfügbaren Kommunikationskanäle, um an Daten zu gelangen oder ihre Opfer zu schädigen.

Das bedeutet: Die Gefahr kommt nicht nur per E-Mail – sondern auch per Brief, Telefon, SMS oder sogar über QR-Codes.

Cyberbetrug nutzt heute alle Kommunikationskanäle – wer nur auf E-Mails achtet, übersieht einen Großteil der Angriffe


Cyberbetrug erfolgt heute über alle Kommunikationskanäle – nicht nur per E-Mail.

Dienstag, 28. April 2026

Parkplätze mit Kennzeichenerfassung: Was ist erlaubt und worauf Sie achten sollten

Parkplätze mit Kennzeichenerfassung: Was ist erlaubt und worauf Sie achten sollten

Kennzeichenerfassung auf Parkplätzen ist längst Alltag. Ob Supermarkt, Einkaufszentrum oder Parkhaus – immer häufiger ersetzt die Kamera das klassische Ticket oder die Parkscheibe.

Viele fragen sich dabei: Ist das überhaupt erlaubt? Und: Was passiert eigentlich mit meinen Daten?

Kamera zur automatischen Kennzeichenerfassung an der Einfahrt eines Parkplatzes

Kennzeichenerfassung ersetzt zunehmend Tickets und Parkscheiben – entscheidend ist dabei die datenschutzkonforme Verarbeitung der Daten.

Dienstag, 21. April 2026

Zwei-Faktor-Authentifizierung (2FA): Wie sicher ist sie wirklich?

Zwei-Faktor-Authentifizierung (2FA): Wie sicher ist sie wirklich?

Phishing-Mails, gestohlene Passwörter und kompromittierte Accounts gehören inzwischen zum Alltag. Wer sich nur auf ein Passwort verlässt, geht ein hohes Risiko ein. Genau deshalb wird die Zwei-Faktor-Authentifizierung (2FA) seit Jahren als zusätzlicher Schutz empfohlen.

Gleichzeitig häufen sich Berichte, dass auch 2FA nicht unüberwindbar ist. Das sorgt für Verunsicherung: Ist Zwei-Faktor-Authentifizierung überhaupt noch sicher?

Zwei-Faktor-Authentifizierung erhöht die Sicherheit deutlich


Montag, 13. April 2026

Digitale Daten analog verschicken: So versenden Sie USB-Sticks und Geräte sicher per Post

Digitale Daten analog verschicken: So versenden Sie USB-Sticks und Geräte sicher per Post

Einen USB-Stick, eine Speicherkarte oder sogar ein Smartphone mit der Post zu verschicken, wirkt auf den ersten Blick banal. Gerade deshalb passieren dabei immer wieder vermeidbare Fehler. Der Datenträger ist schlecht verpackt, die Sendung lässt sich nicht nachverfolgen oder sensible Inhalte werden unverschlüsselt verschickt, obwohl das Risiko unnötig hoch ist.

Dabei kommt der analoge Versand digitaler Daten auch heute noch häufiger vor, als viele denken. Mal geht es um einen USB-Stick mit großen Datenmengen, mal um eine Kamera, ein Handy oder ein anderes Gerät mit fest verbautem Speicher. Wer ein paar Grundregeln beachtet, kann das Risiko deutlich reduzieren.

Sicher verpackter USB-Stick und Smartphone für den Postversand mit Schutzmaterial und Versandetikett

Montag, 6. April 2026

Sind Sie Teil eines Datenlecks? So prüfen Sie, ob Ihre E-Mail-Adresse betroffen ist

Sind Sie Teil eines Datenlecks? So prüfen Sie, ob Ihre E-Mail-Adresse betroffen ist

„Schon wieder eine Datenpanne in den Schlagzeilen“ – dieser Eindruck kommt nicht von ungefähr. Fast jede Woche wird über neue Sicherheitsvorfälle, gestohlene Zugangsdaten oder veröffentlichte Nutzerinformationen berichtet. Besonders unangenehm wird es dann, wenn der betroffene Online-Dienst privat oder beruflich von Ihnen genutzt wird.

Die entscheidende Frage lautet dann: Sind meine Daten Teil des Datenlecks? Und wenn ja: Muss ich mein Passwort sofort ändern? Genau darum geht es in diesem Beitrag.


Prüfung einer E-Mail-Adresse auf ein mögliches Datenleck an einem Laptop mit Warnhinweisen


Dienstag, 31. März 2026

Kritische Schwachstelle: Wenn niemand sagen kann, ob Sie betroffen sind, haben Sie kein Technikproblem

Kritische Schwachstelle: Wenn niemand sagen kann, ob Sie betroffen sind, haben Sie kein Technikproblem

Die Meldung ist da. Eine neue kritische Schwachstelle wurde veröffentlicht. Die ersten Warnungen laufen ein. Kunden fragen nach. Die Geschäftsführung will wissen, ob Handlungsbedarf besteht. Und intern beginnt hektische Betriebsamkeit.

Dann kommt die eigentliche Schlüsselfrage: Sind wir betroffen?

Wenn darauf keine schnelle und belastbare Antwort möglich ist, liegt das Problem oft nicht zuerst in der Technik. Es liegt an fehlender Transparenz, unklaren Zuständigkeiten und einem Sicherheitsprozess, der im Alltag nicht sauber gesteuert wird.


IT-Verantwortliche prüfen eine kritische Schwachstelle und gleichen betroffene Systeme mit einer Asset-Übersicht ab


Freitag, 20. März 2026

DORA für IKT-Dienstleister - Wann Sie betroffen sind und welche Lücken jetzt kritisch werden

DORA für IKT-Dienstleister - Wann Sie betroffen sind und was jetzt konkret zu tun ist

Viele IKT-Dienstleister glauben noch, DORA betreffe nur Banken und Versicherungen. Das ist zu kurz gedacht. DORA ist eine EU-Verordnung für den Finanzsektor, gilt seit dem 17. Januar 2025 und verpflichtet Finanzunternehmen unter anderem zu IKT-Risikomanagement, Vorfallbehandlung, Resilienztests und zur Steuerung von IKT-Drittparteien. Genau dadurch wird DORA auch für IT- und IKT-Dienstleister praktisch relevant. 

Gestresster IKT-Dienstleister am Arbeitsplatz mit DORA-Checkliste eines Kunden aus dem Finanzsektor; sichtbar sind die Punkte Leistungsbeschreibung, Nachweise, Incident-Management, Subdienstleister und Verträge.
DORA-Checkliste vom Kunden: Warum IKT-Dienstleister im Finanzsektor bei Nachweisen, Incident-Management, Subdienstleistern und Verträgen schnell unter Druck geraten.

Dienstag, 17. März 2026

KI-Stimmen erzeugen: Was bei Datenschutz, Voice Cloning und Persönlichkeitsrecht gilt

KI-Stimmen erzeugen: Was bei Datenschutz, Voice Cloning und Persönlichkeitsrecht gilt

Eine Stimme per KI zu erzeugen, ist heute schnell erledigt. Für private Spielereien wirkt das harmlos. Im Unternehmenskontext kann dieselbe Technik jedoch zum echten Risiko werden: für Datenschutz, für das allgemeine Persönlichkeitsrecht und für die Security Awareness im Unternehmen.


KI-generierte Stimme bei einem betrügerischen Anruf als Risiko für Datenschutz und Awareness im Unternehmen

Genau darin liegt das Problem. Dieselbe Technologie, mit der sich ein kreativer Geburtstagsgruß oder ein professioneller Werbespot erzeugen lässt, kann auch für Täuschung, Identitätsmissbrauch und Social Engineering eingesetzt werden.


Dienstag, 10. März 2026

KI-Kompetenz – warum ist sie nötig?

KI-Kompetenz – warum ist sie nötig? 

Immer mehr Unternehmen fordern ihre Beschäftigten dazu auf, an einem allgemeinen KI Training teilzunehmen. Oft wird es als Selbstlern-Kurs online angeboten. 

Schatten-KI

 

Die Teilnahme ist in der Regel verbindlich. Was ist der Hintergrund dafür? 

Dienstag, 24. Februar 2026

NIS2 in der Medizintechnik: Betroffenheit, Pflichten, ISO 27001 und Lieferkette | THE COMPLIÄNCE

NIS2 in der Medizintechnik: Warum ISO 13485 nicht reicht und ISO 27001 der beste Umsetzungsrahmen ist

Medizintechnik-Unternehmen sind reguliert wie kaum eine andere Branche: MDR, ISO 13485, Risikomanagement nach ISO 14971. Viele Organisationen schließen daraus: „Wir sind sauber aufgestellt.“

Schichtenmodell: ISO 13485 (Qualitätsmanagement) als Basis, ISO 27001 (Informationssicherheitsmanagement) als Organisationsrahmen und NIS2 als gesetzliche Cyber-Resilienz für Medizintechnik-Unternehmen.
Branchen-Special: NIS2 in der Medizintechnik

Mit NIS2 gilt jetzt: Reguliert heißt nicht automatisch resilient. NIS2 verlangt nachweisbare Cyber-Resilienz der Organisation und rückt Geschäftsführung und Lieferkette in den Mittelpunkt.

Ich schreibe das als CEO und Leiter von THE COMPLIÄNCE – aus der Praxis mit MedTech-Unternehmen und Zulieferern, auch hier bei uns im Süden (Baden-Württemberg, Medical-Valley-Umfeld).

Führerscheinkontrolle durch den Arbeitgeber

Führerscheinkontrolle durch den Arbeitgeber

Sie sollen ein Firmenfahrzeug benutzen, um einen Arbeitsauftrag zu erledigen. Als Sie den Autoschlüssel in Empfang nehmen wollen, heißt es plötzlich „Ihren Führerschein bitte!“. Lesen Sie, warum das so ist und welche Spielregeln für den Umgang mit Ihren Daten gelten.

 

Führerscheinkontrolle 

Dienstag, 17. Februar 2026

IT-Vorfall: Was tun im Ernstfall?

IT-Vorfall: Was tun im Ernstfall?

Die Mehrheit der IT-Nutzerinnen und -Nutzer ist sich unsicher, wie man bei einem IT-Notfall richtig reagiert, wie der Cybersicherheitsmonitor 2025 des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Polizei zeigt. Unsicherheit bei einem IT-Vorfall erhöht aber die Datenrisiken. 

Was tun im Ersntfall?

Dienstag, 10. Februar 2026

Clean Desk Policy: Warum Datenschutz bereits an der Schreibtischkante beginnt

Clean Desk Policy: Warum Datenschutz bereits an der Schreibtischkante beginnt

Warum ein aufgeräumter Arbeitsplatz die beste Firewall ist: Erfahren Sie, wie eine Clean Desk Policy die Informationssicherheit stärkt und Compliance-Risiken gemäß Art. 32 EU-DSGVO effektiv minimiert.
 

Clean Desk Policy

Dienstag, 20. Januar 2026

KI-Systeme & Datenschutz – Anforderungen an Governance und Datenkontrolle

KI-Systeme & Datenschutz – Anforderungen an Governance und Datenkontrolle

Die Nutzung von Künstlicher Intelligenz (KI) wächst rasant in Unternehmen – von Chatbots über automatisierte Auswertungssysteme bis zu Entscheidungs-Engines. Doch die EU-DSGVO trifft hier klare Vorgaben: Sobald KI personenbezogene Daten verarbeitet, müssen Datenschutz-Grundsätze wie Rechtmäßigkeit, Transparenz und Datenminimierung eingehalten werden. In diesem Beitrag beleuchten wir, welche Anforderungen sich daraus ergeben, welche Praxisregeln gelten und wie Datenschutz- und IT-Sicherheitsteams effektiv zusammenarbeiten können.


KI-Systeme & Datenschutz  

Dienstag, 13. Januar 2026

Transparenzpflichten 2026 – Warum DSGVO besonders auf Sichtbarkeit und Verständlichkeit achtet

Transparenzpflichten 2026 – Warum DSGVO besonders auf Sichtbarkeit und Verständlichkeit achtet

Im Jahr 2026 steht ein zentrales Datenschutzthema im Fokus der europäischen Aufsicht: Die Transparenz- und Informationspflichten aus der DSGVO werden europaweit geprüft und durchgesetzt. Für Unternehmen bedeutet das: Wer seine Datenverarbeitung nicht verständlich und vollständig erklärt, gerät ins Visier der Behörden – mit konkreten Konsequenzen.

Transparenzpflicht DSGVO 2026


Dienstag, 6. Januar 2026

Ohne SPF, DKIM & DMARC kein sicherer Mailverkehr – was ISO 27001 und NIS2 jetzt fordern

Ohne SPF, DKIM & DMARC kein sicherer Mailverkehr – was ISO 27001 und NIS2 jetzt fordern

E-Mails sind Einfallstor Nr. 1! Schützen Sie Ihre Domain vor Spoofing. So erfüllen Sie die E-Mail-Sicherheitsanforderungen von ISO 27001 und NIS2. Jetzt DNS prüfen! 


Ohne SPF, DKIM & DMARC kein sicherer Mailverkehr