Auftragsverarbeitung (AVV): Der Vertrag, den fast jeder falsch macht

Wenn Unternehmen über DSGVO reden, fallen meist die großen Schlagworte: Datenschutzerklärung, Einwilligung, Verarbeitungsverzeichnis. Der Auftragsverarbeitungsvertrag – kurz AVV – landet dabei regelmäßig auf dem letzten Platz. Dabei ist er in der Prüfungspraxis einer der häufigsten Stolpersteine. Und er betrifft nicht nur die Endkunden. Gerade IT-Dienstleister und Systemhäuser sind gleich doppelt in der Pflicht.

Typische Lücken im AVV

Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO: Warum die Behörde es zuerst sehen will

Auf den Punkt: Wer in den letzten Jahren mit einer Datenschutzbehörde zu tun hatte, kennt das Muster: Die erste Anfrage betrifft fast immer das Verarbeitungsverzeichnis. Wer es nicht vorlegen kann, hat den Termin schon halb verloren – wer ein veraltetes oder lückenhaftes Dokument schickt, oft auch. Aus 18 Jahren Beratungspraxis im Mittelstand ist es die häufigste vermeidbare Schwachstelle.

Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO

Auf einen Blick

• Das Verarbeitungsverzeichnis (VVT) ist nach Art. 30 DSGVO Pflicht – in der Praxis für nahezu jedes Unternehmen, unabhängig von der Mitarbeiterzahl.
• Es ist das erste Dokument, das die Datenschutzbehörde bei einer Prüfung anfordert.
• Häufige Fehler in der Praxis: nie aktualisiert, unvollständig, ohne benannte Verantwortlichkeit.
• Empfehlung: VVT als lebendes Dokument führen – mindestens jährlich aktualisieren und bei jeder neuen Verarbeitung anfassen.
• Das Fehlen kann Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes nach sich ziehen (Art. 83 Abs. 4 DSGVO).

Heimliche Überwachung per Newsletter: Wie Tracking-Pixel E-Mail-Empfänger ausspähen können

Online-Tracking findet nicht nur auf Webseiten statt. Auch Newsletter und Werbe-E-Mails können genutzt werden, um das Verhalten von Empfängerinnen und Empfängern nachzuverfolgen. Viele denken dabei nur an angeklickte Links. Tatsächlich kann das Tracking aber schon beim Öffnen einer E-Mail beginnen.

Genau deshalb warnen Datenschutzaufsichtsbehörden vor heimlichem Tracking in Newslettern. Für Unternehmen ist das ein klares Datenschutzthema. Für Mitarbeitende und private Nutzer ist es ein Awareness-Thema: Nicht jede E-Mail ist nur eine Nachricht. Manche E-Mails beobachten mit.

Newsletter können mehr erfassen als nur Klicks – unsichtbare Tracking-Pixel können bereits beim Öffnen einer E-Mail Daten übertragen.

Vorsicht bei Prompt-Eingaben: Warum KI-Nutzung im Unternehmen klare Regeln braucht

Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Texte werden zusammengefasst, Ideen entwickelt, E-Mails formuliert, Dokumente geprüft oder Informationen recherchiert. Das kann enorm hilfreich sein. Aber es kann auch gefährlich werden, wenn Mitarbeitende unüberlegt Daten in KI-Systeme eingeben.

Der wichtigste Grundsatz lautet deshalb: Erst denken, dann eingeben. Denn ein guter Prompt verbessert zwar die Antwort. Eine falsche oder ungeprüfte Eingabe kann aber Datenschutz, Vertraulichkeit und Informationssicherheit gefährden.

Prompt-Eingaben wirken harmlos – können aber vertrauliche Daten offenlegen.

KI kann im Arbeitsalltag helfen – aber nur, wenn klar ist, welche Daten eingegeben werden dürfen und welche nicht.

Notfallmanagement: Wenn nichts mehr geht, muss Kommunikation trotzdem funktionieren

Was passiert, wenn im Unternehmen plötzlich nichts mehr geht?

Keine E-Mails. Kein Zugriff auf Dateien. Keine internen Systeme. Keine gewohnten Kommunikationswege. 

Mitarbeitende in einer IT-Notfallsituation nutzen sichere Kommunikation, während interne Systeme nicht verfügbar sind.

Und genau dann stellt sich die wichtigste Frage: Wie erreichen wir jetzt die richtigen Personen?

Personensuche mit Fotos: Warum Bilder, Gesichtserkennung und Metadaten zum Datenschutzrisiko werden

Auf dem eigenen Smartphone ist es praktisch: Die Foto-App erkennt Gesichter und filtert aus Tausenden Bildern genau die Personen heraus, die man sucht. Für private Erinnerungen ist das bequem. In anderen Zusammenhängen kann dieselbe Technik aber schnell zum Datenschutz- und Sicherheitsrisiko werden.

Denn Fotos zeigen nicht nur Menschen. Sie können auch Aufenthaltsorte, Gewohnheiten, Beziehungen, Arbeitsumgebungen und technische Zusatzinformationen verraten. Genau deshalb sollten Unternehmen und Mitarbeitende bewusster mit Bildern umgehen.

Fotos können mehr verraten als den sichtbaren Bildinhalt – Gesichtserkennung und Metadaten machen sie zum Datenschutz- und Sicherheitsrisiko.

Fotos sind mehr als Momentaufnahmen: Gesichtserkennung und Metadaten können zusätzliche Informationen über Personen und Orte preisgeben.

Cyberbetrug hat viele Gesichter: Warum Phishing nicht nur per E-Mail passiert

Beim Stichwort Cyberbetrug denken viele zuerst an Phishing-Mails oder gefälschte Online-Shops. Doch diese Sicht greift zu kurz. Internetkriminelle nutzen längst alle verfügbaren Kommunikationskanäle, um an Daten zu gelangen oder ihre Opfer zu schädigen.

Das bedeutet: Die Gefahr kommt nicht nur per E-Mail – sondern auch per Brief, Telefon, SMS oder sogar über QR-Codes.

Cyberbetrug nutzt heute alle Kommunikationskanäle – wer nur auf E-Mails achtet, übersieht einen Großteil der Angriffe

Cyberbetrug erfolgt heute über alle Kommunikationskanäle – nicht nur per E-Mail.

Parkplätze mit Kennzeichenerfassung: Was ist erlaubt und worauf Sie achten sollten

Kennzeichenerfassung auf Parkplätzen ist längst Alltag. Ob Supermarkt, Einkaufszentrum oder Parkhaus – immer häufiger ersetzt die Kamera das klassische Ticket oder die Parkscheibe.

Viele fragen sich dabei: Ist das überhaupt erlaubt? Und: Was passiert eigentlich mit meinen Daten?

Kamera zur automatischen Kennzeichenerfassung an der Einfahrt eines Parkplatzes

Kennzeichenerfassung ersetzt zunehmend Tickets und Parkscheiben – entscheidend ist dabei die datenschutzkonforme Verarbeitung der Daten.

Zwei-Faktor-Authentifizierung (2FA): Wie sicher ist sie wirklich?

Phishing-Mails, gestohlene Passwörter und kompromittierte Accounts gehören inzwischen zum Alltag. Wer sich nur auf ein Passwort verlässt, geht ein hohes Risiko ein. Genau deshalb wird die Zwei-Faktor-Authentifizierung (2FA) seit Jahren als zusätzlicher Schutz empfohlen.

Gleichzeitig häufen sich Berichte, dass auch 2FA nicht unüberwindbar ist. Das sorgt für Verunsicherung: Ist Zwei-Faktor-Authentifizierung überhaupt noch sicher?

Zwei-Faktor-Authentifizierung erhöht die Sicherheit deutlich

Digitale Daten analog verschicken: So versenden Sie USB-Sticks und Geräte sicher per Post

Einen USB-Stick, eine Speicherkarte oder sogar ein Smartphone mit der Post zu verschicken, wirkt auf den ersten Blick banal. Gerade deshalb passieren dabei immer wieder vermeidbare Fehler. Der Datenträger ist schlecht verpackt, die Sendung lässt sich nicht nachverfolgen oder sensible Inhalte werden unverschlüsselt verschickt, obwohl das Risiko unnötig hoch ist.

Dabei kommt der analoge Versand digitaler Daten auch heute noch häufiger vor, als viele denken. Mal geht es um einen USB-Stick mit großen Datenmengen, mal um eine Kamera, ein Handy oder ein anderes Gerät mit fest verbautem Speicher. Wer ein paar Grundregeln beachtet, kann das Risiko deutlich reduzieren.

Sicher verpackter USB-Stick und Smartphone für den Postversand mit Schutzmaterial und Versandetikett

Sind Sie Teil eines Datenlecks? So prüfen Sie, ob Ihre E-Mail-Adresse betroffen ist

„Schon wieder eine Datenpanne in den Schlagzeilen“ – dieser Eindruck kommt nicht von ungefähr. Fast jede Woche wird über neue Sicherheitsvorfälle, gestohlene Zugangsdaten oder veröffentlichte Nutzerinformationen berichtet. Besonders unangenehm wird es dann, wenn der betroffene Online-Dienst privat oder beruflich von Ihnen genutzt wird.

Die entscheidende Frage lautet dann: Sind meine Daten Teil des Datenlecks? Und wenn ja: Muss ich mein Passwort sofort ändern? Genau darum geht es in diesem Beitrag.

Prüfung einer E-Mail-Adresse auf ein mögliches Datenleck an einem Laptop mit Warnhinweisen

KI-Stimmen erzeugen: Was bei Datenschutz, Voice Cloning und Persönlichkeitsrecht gilt

Eine Stimme per KI zu erzeugen, ist heute schnell erledigt. Für private Spielereien wirkt das harmlos. Im Unternehmenskontext kann dieselbe Technik jedoch zum echten Risiko werden: für Datenschutz, für das allgemeine Persönlichkeitsrecht und für die Security Awareness im Unternehmen.

KI-generierte Stimme bei einem betrügerischen Anruf als Risiko für Datenschutz und Awareness im Unternehmen

Genau darin liegt das Problem. Dieselbe Technologie, mit der sich ein kreativer Geburtstagsgruß oder ein professioneller Werbespot erzeugen lässt, kann auch für Täuschung, Identitätsmissbrauch und Social Engineering eingesetzt werden.

KI-Kompetenz – warum ist sie nötig? 

Immer mehr Unternehmen fordern ihre Beschäftigten dazu auf, an einem allgemeinen KI Training teilzunehmen. Oft wird es als Selbstlern-Kurs online angeboten. 

Schatten-KI

 

Die Teilnahme ist in der Regel verbindlich. Was ist der Hintergrund dafür? 

Führerscheinkontrolle durch den Arbeitgeber

Sie sollen ein Firmenfahrzeug benutzen, um einen Arbeitsauftrag zu erledigen. Als Sie den Autoschlüssel in Empfang nehmen wollen, heißt es plötzlich „Ihren Führerschein bitte!“. Lesen Sie, warum das so ist und welche Spielregeln für den Umgang mit Ihren Daten gelten.

 

Führerscheinkontrolle 

Computer Sperren!

Ihr starkes Passwort ist nutzlos, solange Sie diese zwei Tasten nicht drücken 

Windows + L: Bildschirm sperren

 

KI-Systeme & Datenschutz – Anforderungen an Governance und Datenkontrolle

Die Nutzung von Künstlicher Intelligenz (KI) wächst rasant in Unternehmen – von Chatbots über automatisierte Auswertungssysteme bis zu Entscheidungs-Engines. Doch die EU-DSGVO trifft hier klare Vorgaben: Sobald KI personenbezogene Daten verarbeitet, müssen Datenschutz-Grundsätze wie Rechtmäßigkeit, Transparenz und Datenminimierung eingehalten werden. In diesem Beitrag beleuchten wir, welche Anforderungen sich daraus ergeben, welche Praxisregeln gelten und wie Datenschutz- und IT-Sicherheitsteams effektiv zusammenarbeiten können.

KI-Systeme & Datenschutz  

Transparenzpflichten 2026 – Warum DSGVO besonders auf Sichtbarkeit und Verständlichkeit achtet

Im Jahr 2026 steht ein zentrales Datenschutzthema im Fokus der europäischen Aufsicht: Die Transparenz- und Informationspflichten aus der DSGVO werden europaweit geprüft und durchgesetzt. Für Unternehmen bedeutet das: Wer seine Datenverarbeitung nicht verständlich und vollständig erklärt, gerät ins Visier der Behörden – mit konkreten Konsequenzen.

Transparenzpflicht DSGVO 2026

Warum Awareness mehr ist als „Klick und weiter“ 🎯

Security-Awareness braucht mehr als Tools: ISO 27001 verlangt nachhaltiges Bewusstsein, messbare Verhaltensänderung und echte Konzepte.

Awareness

Warum KI-Apps wie DeepSeek besonders riskant sein können 

4 von 10 Deutschen haben generative KI (Künstliche Intelligenz) wie ChatGPT, Google Gemini oder Microsoft Copilot zumindest einmal ausprobiert. Mit DeepSeek scheint sich ein weiterer KI-Dienst einzureihen.

Achtung bei Nutzung von KI-Apps

Doch vor DeepSeek wird besonders gewarnt.

Made in Germany – und plötzlich weg?

Warum Systemhäuser ihre Datenschutzverträge jetzt prüfen müssen

Es ist ein Satz, den viele Systemhäuser mit Stolz in Kundengesprächen sagen:

„Unsere Lösung? Made in Germany. Gehostet in deutschen Rechenzentren. DSGVO-konform.“

Doch was passiert, wenn dieser Satz plötzlich nicht mehr stimmt?