/
/
·
·
/
/
·
·
  • Einführung
  • Die Idee in einem Satz
  • DSGVO, die wichtigste Daten-Regulierung
  • ISO 27001, Information Security Management
  • Weitere wichtige IT-Compliance-Regularien
  • Compliance-Programm-Struktur
  • Klausur-Faustregeln
  • Häufige Stolpersteine
ThemenBusiness AnalyticsIT-Compliance: DSGVO + ISO 27001
Business Analytics·4Lerneinheiten·21min·Stand17.07.2026

IT-Compliance: DSGVO + ISO 27001.

Datenschutz + Sicherheit = Pflicht. Klausurthema in 5/9 IT-Management-Modulen, stark wachsende Bedeutung seit DSGVO 2018.

IT-Compliance: Einhaltung gesetzlicher + regulatorischer + interner Anforderungen an die IT, von Datenschutz (DSGVO) über Sicherheit (ISO 27001) bis zu branchen-spezifischen Vorgaben (BaFin, BSI).

DSGVO (Datenschutz-Grundverordnung, EU-VO 2016/679):

  • In Kraft: 25.05.2018
  • Gilt für: alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten
  • Sanktionen: bis 4 % des welt-weiten Jahresumsatzes oder 20 Mio. €

7 Grundsätze der DSGVO (Art. 5)

  1. Rechtmäßigkeit, Treu und Glauben, Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit
  7. Rechenschaftspflicht

Daten-Lifecycle (5 Phasen)

1. Erhebung

  • Rechtsgrundlage (Art. 6): Einwilligung / Vertrag / berechtigtes Interesse
  • Transparenz: Datenschutz-Erklärung, klare Informationen
  • Zweckbindung: nur erheben, was nötig

2. Speicherung

  • Sicherheit: Verschlüsselung at-rest (Art. 32)
  • Zugriffsschutz: Rollen + Berechtigungen
  • Speicherort: EU/EWR (Schrems II)

3. Verarbeitung

  • Pseudonymisierung / Anonymisierung
  • Verarbeitungsverzeichnis (Art. 30)
  • AVV (Auftragsverarbeitungs-Vertrag, Art. 28) mit Dienstleistern

4. Übermittlung

  • Verschlüsselung in-transit
  • Drittländer-Transfer (Art. 44 ff.):
    • Adequacy Decision (UK, Japan, Südkorea, Schweiz)
    • Standardvertragsklauseln (SCC)
    • Binding Corporate Rules (BCR)
  • Schrems II (EuGH 2020): US-Privacy Shield gekippt, verlangt zusätzliche Maßnahmen für USA-Transfers

5. Löschung / Anonymisierung

  • Lösch-Konzepte mit Fristen
  • Recht auf Vergessenwerden (Art. 17)
  • Backup-Lösung: wann werden Backups gelöscht?

Betroffenen-Rechte (Art. 12-23)

RechtArtikelErklärung
AuskunftArt. 15Welche Daten habt ihr von mir?
BerichtigungArt. 16Korrektur falscher Daten
LöschungArt. 17Recht auf Vergessenwerden
EinschränkungArt. 18Sperrung statt Löschung
DatenübertragbarkeitArt. 20Daten-Export im Standardformat
WiderspruchArt. 21gegen Verarbeitung
Keine automatische EntscheidungArt. 22inkl. Profiling

Meldepflicht bei Datenpannen

  • Aufsichtsbehörde: binnen 72 Stunden (Art. 33)
  • Betroffene: unverzüglich bei hohem Risiko (Art. 34)

Datenschutzbeauftragter (DSB, Art. 37-39)

Pflicht bei:

  • Öffentlichen Stellen
  • Kerntätigkeit = regelmäßige + systematische Beobachtung (z.B. Tracking)
  • Kerntätigkeit = besondere Datenkategorien (Gesundheit, etc.)

ISO/IEC 27001:2022 (Update von 2013-Version):

  • Internationaler Standard für Information Security Management System (ISMS)
  • Zertifizierungs-fähig (externe Auditoren)
  • 93 Controls in 4 Themen-Domänen (vorher 114 in 14 Domänen)

4 Control-Domänen (ISO 27001:2022)

CodeDomainAnzahl
A.5Organisations-Controls37
A.6Personen-Controls8
A.7Physische Controls14
A.8Technologische Controls34

Wichtige ISO-27001-Konzepte

  • CIA-Trias: Confidentiality, Integrity, Availability (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Risikoanalyse: Identifikation + Bewertung + Behandlung
  • Statement of Applicability (SoA): dokumentiert welche Controls implementiert
  • PDCA-Zyklus: Plan-Do-Check-Act
  • Internes Audit + Management Review

ISO 27001-Familie

  • ISO 27000: Übersicht + Vokabular
  • ISO 27001: ISMS-Standard
  • ISO 27002: Code of Practice (Best Practices zu Controls)
  • ISO 27017: Cloud-spezifisch
  • ISO 27018: Personenbezogene Daten in Cloud
  • ISO 27701: Privacy Information Management (DSGVO-Bridge)

EU AI Act (2024)

Erste umfassende AI-Regulierung. Risiko-basierte Klassifikation:

  • Unacceptable Risk: verboten (z.B. Social Scoring)
  • High Risk: strenge Anforderungen (z.B. HR, Bildung, Justiz)
  • Limited Risk: Transparenz-Pflichten
  • Minimal Risk: unreguliert

NIS2-Richtlinie (2023, Umsetzung 2024)

Cybersicherheit kritischer Infrastruktur EU-weit. Erweitert Anwendungsbereich.

DORA, Digital Operational Resilience Act (2025)

Finanz-Sektor: ICT-Risk-Management + Incident-Reporting.

BSI IT-Grundschutz

Deutscher Standard, vor allem für Behörden. Maßnahmen-Katalog.

SOC 2 (USA)

Trust Services Criteria: Security + Availability + Processing Integrity + Confidentiality + Privacy. Wichtig für US-Cloud-Anbieter.

KomponenteBeschreibung
Compliance-OfficerZentrale Rolle (CCO)
Compliance-PoliciesSchriftliche Regeln
TrainingsMitarbeiter-Sensibilisierung
AuditsIntern + extern
Incident-ResponseWas tun bei Verstoß?
ReportingAn Vorstand + Aufsicht

1. DSGVO seit 25.05.2018, Sanktionen bis 4 % Welt-Jahresumsatz oder 20 Mio €.

2. 7 DSGVO-Grundsätze (Art. 5): Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität+Vertraulichkeit, Rechenschaftspflicht.

3. Datenpannen-Meldung: 72 h an Aufsichtsbehörde (Art. 33).

4. ISO 27001:2022 hat 93 Controls in 4 Domänen (A.5/A.6/A.7/A.8).

5. CIA-Trias: Confidentiality + Integrity + Availability, Grundpfeiler IT-Security.

6. Schrems II (2020): US-Privacy Shield gekippt, SCC + zusätzliche Maßnahmen für USA-Transfers.

1. DSGVO nur für 'Daten' sehen. DSGVO gilt nur für PERSONENBEZOGENE Daten (= bezieht sich auf identifizierte/identifizierbare natürliche Personen). NICHT für Maschinendaten ohne Personen-Bezug.

2. ISO 27001 = ISMS. ISO 27001 ist der STANDARD, ISMS ist das System. ISO 27001 spezifiziert was ein ISMS haben muss.

3. DSGVO und ISO 27001 als identisch. DSGVO = Datenschutz (Schutz von Personen). ISO 27001 = Informationssicherheit (Schutz von Daten). Überschneidung, aber unterschiedlicher Fokus.

4. 72-Stunden-Frist bei Datenpannen vergessen. Meldung an Aufsichtsbehörde IMMER innerhalb 72 h ab Kenntniserlangung.

5. Schrems II nur als USA-Problem sehen. Generell: jeder Drittländer-Transfer braucht eine Rechtsgrundlage. USA ist nur prominentestes Beispiel.

6. AVV mit Joint-Controllership verwechseln. AVV (Art. 28) = Auftragsverarbeitung (Provider verarbeitet im Auftrag). Joint-Controllership (Art. 26) = gemeinsame Verantwortung mehrerer Parteien. Klausur-Falle.

Toggle zwischen DSGVO-Datenfluss-Lifecycle (5 Phasen mit Rechtsgrundlagen + Maßnahmen) und ISO 27001:2022-Controls (4 Domänen mit Beispielen).

Lade Visualisierung...

Klausur-Tipp: Bei "IT-Compliance" IMMER 1) DSGVO mit 7 Grundsätzen + Daten-Lifecycle + 72-h-Meldung + 2) ISO 27001:2022 mit 4 Domänen + CIA-Trias + 3) Schrems II Konsequenzen für Cloud-Anbieter.

Anmelden, um den Fortschritt zu speichern.

Nächster Schritt

Wenn du fertig bist: jetzt üben.

Aktives Abrufen festigt Wissen schneller als nochmal lesen.

War das hilfreich?

Verwandte Themen

  • Marketing-Konzept & Marketing-Mix (4P/7P)
  • Was ist Wirtschaftsinformatik?
  • BPMN 2.0: Grundelemente
  • Lineare Optimierung, Modellierung
  • Anwendungssysteme, Klassifikation

Tools

Bald: Karteikarten · Spaced-Repetition · Mind-Map-Export

Fachliche Qualität
Noch nicht klassifiziertNoch nicht geprüft.

Diese Lerneinheit wurde für typische Bachelor-Klausuren konzipiert. So prüfen wir · Fehler entdeckt? Melde ihn uns oder markiere die fragliche Stelle direkt im Text oben.

Klausur-ÜbersichtKomplette Übersicht: alle Tabs als linearer Text zum Lernen
▾

Alle Tabs der Lerneinheit (Erklärung · Interaktiv verstehen · Praxis-Übung · Klausur-Quiz) als durchgehender Text. Ideal zum Wiederholen vor der Klausur, und für Suchmaschinen wie Google, Bing und KI-Suche (ChatGPT, Perplexity).

Inhalt dieser Übersicht

  1. Erklärung(Erklärung)
  2. Interaktiv verstehen(Visualisierung / Interaktiv)
  3. Praxis-Übung(Quiz / Klausurfragen)
  4. Klausur-Quiz(Quiz / Klausurfragen)
Teil 1·Erklärung

Erklärung

Datenschutz + Sicherheit = Pflicht. Klausurthema in 5/9 IT-Management-Modulen, stark wachsende Bedeutung seit DSGVO 2018.

Die Idee in einem Satz

IT-Compliance: Einhaltung gesetzlicher + regulatorischer + interner Anforderungen an die IT, von Datenschutz (DSGVO) über Sicherheit (ISO 27001) bis zu branchen-spezifischen Vorgaben (BaFin, BSI).

DSGVO, die wichtigste Daten-Regulierung

DSGVO (Datenschutz-Grundverordnung, EU-VO 2016/679):

  • In Kraft: 25.05.2018
  • Gilt für: alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten
  • Sanktionen: bis 4 % des welt-weiten Jahresumsatzes oder 20 Mio. €
7 Grundsätze der DSGVO (Art. 5)
  1. Rechtmäßigkeit, Treu und Glauben, Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit
  7. Rechenschaftspflicht
Daten-Lifecycle (5 Phasen)

1. Erhebung

  • Rechtsgrundlage (Art. 6): Einwilligung / Vertrag / berechtigtes Interesse
  • Transparenz: Datenschutz-Erklärung, klare Informationen
  • Zweckbindung: nur erheben, was nötig

2. Speicherung

  • Sicherheit: Verschlüsselung at-rest (Art. 32)
  • Zugriffsschutz: Rollen + Berechtigungen
  • Speicherort: EU/EWR (Schrems II)

3. Verarbeitung

  • Pseudonymisierung / Anonymisierung
  • Verarbeitungsverzeichnis (Art. 30)
  • AVV (Auftragsverarbeitungs-Vertrag, Art. 28) mit Dienstleistern

4. Übermittlung

  • Verschlüsselung in-transit
  • Drittländer-Transfer (Art. 44 ff.):
    • Adequacy Decision (UK, Japan, Südkorea, Schweiz)
    • Standardvertragsklauseln (SCC)
    • Binding Corporate Rules (BCR)
  • Schrems II (EuGH 2020): US-Privacy Shield gekippt, verlangt zusätzliche Maßnahmen für USA-Transfers

5. Löschung / Anonymisierung

  • Lösch-Konzepte mit Fristen
  • Recht auf Vergessenwerden (Art. 17)
  • Backup-Lösung: wann werden Backups gelöscht?
Betroffenen-Rechte (Art. 12-23)
RechtArtikelErklärung
AuskunftArt. 15Welche Daten habt ihr von mir?
BerichtigungArt. 16Korrektur falscher Daten
LöschungArt. 17Recht auf Vergessenwerden
EinschränkungArt. 18Sperrung statt Löschung
DatenübertragbarkeitArt. 20Daten-Export im Standardformat
WiderspruchArt. 21gegen Verarbeitung
Keine automatische EntscheidungArt. 22inkl. Profiling
Meldepflicht bei Datenpannen
  • Aufsichtsbehörde: binnen 72 Stunden (Art. 33)
  • Betroffene: unverzüglich bei hohem Risiko (Art. 34)
Datenschutzbeauftragter (DSB, Art. 37-39)

Pflicht bei:

  • Öffentlichen Stellen
  • Kerntätigkeit = regelmäßige + systematische Beobachtung (z.B. Tracking)
  • Kerntätigkeit = besondere Datenkategorien (Gesundheit, etc.)

ISO 27001, Information Security Management

ISO/IEC 27001:2022 (Update von 2013-Version):

  • Internationaler Standard für Information Security Management System (ISMS)
  • Zertifizierungs-fähig (externe Auditoren)
  • 93 Controls in 4 Themen-Domänen (vorher 114 in 14 Domänen)
4 Control-Domänen (ISO 27001:2022)
CodeDomainAnzahl
A.5Organisations-Controls37
A.6Personen-Controls8
A.7Physische Controls14
A.8Technologische Controls34
Wichtige ISO-27001-Konzepte
  • CIA-Trias: Confidentiality, Integrity, Availability (Vertraulichkeit, Integrität, Verfügbarkeit)
  • Risikoanalyse: Identifikation + Bewertung + Behandlung
  • Statement of Applicability (SoA): dokumentiert welche Controls implementiert
  • PDCA-Zyklus: Plan-Do-Check-Act
  • Internes Audit + Management Review
ISO 27001-Familie
  • ISO 27000: Übersicht + Vokabular
  • ISO 27001: ISMS-Standard
  • ISO 27002: Code of Practice (Best Practices zu Controls)
  • ISO 27017: Cloud-spezifisch
  • ISO 27018: Personenbezogene Daten in Cloud
  • ISO 27701: Privacy Information Management (DSGVO-Bridge)

Weitere wichtige IT-Compliance-Regularien

EU AI Act (2024)

Erste umfassende AI-Regulierung. Risiko-basierte Klassifikation:

  • Unacceptable Risk: verboten (z.B. Social Scoring)
  • High Risk: strenge Anforderungen (z.B. HR, Bildung, Justiz)
  • Limited Risk: Transparenz-Pflichten
  • Minimal Risk: unreguliert
NIS2-Richtlinie (2023, Umsetzung 2024)

Cybersicherheit kritischer Infrastruktur EU-weit. Erweitert Anwendungsbereich.

DORA, Digital Operational Resilience Act (2025)

Finanz-Sektor: ICT-Risk-Management + Incident-Reporting.

BSI IT-Grundschutz

Deutscher Standard, vor allem für Behörden. Maßnahmen-Katalog.

SOC 2 (USA)

Trust Services Criteria: Security + Availability + Processing Integrity + Confidentiality + Privacy. Wichtig für US-Cloud-Anbieter.

Compliance-Programm-Struktur

KomponenteBeschreibung
Compliance-OfficerZentrale Rolle (CCO)
Compliance-PoliciesSchriftliche Regeln
TrainingsMitarbeiter-Sensibilisierung
AuditsIntern + extern
Incident-ResponseWas tun bei Verstoß?
ReportingAn Vorstand + Aufsicht

Klausur-Faustregeln

1. DSGVO seit 25.05.2018, Sanktionen bis 4 % Welt-Jahresumsatz oder 20 Mio €.

2. 7 DSGVO-Grundsätze (Art. 5): Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität+Vertraulichkeit, Rechenschaftspflicht.

3. Datenpannen-Meldung: 72 h an Aufsichtsbehörde (Art. 33).

4. ISO 27001:2022 hat 93 Controls in 4 Domänen (A.5/A.6/A.7/A.8).

5. CIA-Trias: Confidentiality + Integrity + Availability, Grundpfeiler IT-Security.

6. Schrems II (2020): US-Privacy Shield gekippt, SCC + zusätzliche Maßnahmen für USA-Transfers.

Häufige Stolpersteine

1. DSGVO nur für 'Daten' sehen. DSGVO gilt nur für PERSONENBEZOGENE Daten (= bezieht sich auf identifizierte/identifizierbare natürliche Personen). NICHT für Maschinendaten ohne Personen-Bezug.

2. ISO 27001 = ISMS. ISO 27001 ist der STANDARD, ISMS ist das System. ISO 27001 spezifiziert was ein ISMS haben muss.

3. DSGVO und ISO 27001 als identisch. DSGVO = Datenschutz (Schutz von Personen). ISO 27001 = Informationssicherheit (Schutz von Daten). Überschneidung, aber unterschiedlicher Fokus.

4. 72-Stunden-Frist bei Datenpannen vergessen. Meldung an Aufsichtsbehörde IMMER innerhalb 72 h ab Kenntniserlangung.

5. Schrems II nur als USA-Problem sehen. Generell: jeder Drittländer-Transfer braucht eine Rechtsgrundlage. USA ist nur prominentestes Beispiel.

6. AVV mit Joint-Controllership verwechseln. AVV (Art. 28) = Auftragsverarbeitung (Provider verarbeitet im Auftrag). Joint-Controllership (Art. 26) = gemeinsame Verantwortung mehrerer Parteien. Klausur-Falle.

Teil 2·Visualisierung / Interaktiv

Interaktiv verstehen

DSGVO + ISO 27001 interaktiv

Toggle zwischen DSGVO-Datenfluss-Lifecycle (5 Phasen mit Rechtsgrundlagen + Maßnahmen) und ISO 27001:2022-Controls (4 Domänen mit Beispielen).

Interaktive Visualisierung

Interaktive Komponente: probiere sie im Topic-Player oben aus.

Klausur-Tipp: Bei "IT-Compliance" IMMER 1) DSGVO mit 7 Grundsätzen + Daten-Lifecycle + 72-h-Meldung + 2) ISO 27001:2022 mit 4 Domänen + CIA-Trias + 3) Schrems II Konsequenzen für Cloud-Anbieter.

Teil 3·Quiz / Klausurfragen

Praxis-Übung

IT-Compliance, Praxis-Übung

6 Aufgaben zu DSGVO, ISO 27001 und Compliance-Praxis.

Klausurfragen mit Lösungen (6)

F1.Seit wann ist die DSGVO in Kraft?

Antwort: 25.05.2018

Erklärung: DSGVO (EU-VO 2016/679): in Kraft seit 25.05.2018, nach 2-jähriger Übergangsfrist (Verabschiedung April 2016, Anwendbarkeit Mai 2018). Ersetzt nationale Datenschutz-Gesetze in EU/EWR. Klausur-Pflichtwissen.

F2.Welche maximale Sanktion ist bei DSGVO-Verstößen möglich?

Antwort: Bis zu 4% des welt-weiten Jahresumsatzes ODER 20 Mio. €

Erklärung: DSGVO-Sanktionen Art. 83: bis zu 4 % des WELT-WEITEN JAHRESUMSATZES ODER 20 Mio. € (der höhere Betrag gilt). Für schwere Verstöße. Bei minderschweren Verstößen: 2 % oder 10 Mio. €. Beispiele: Meta (Facebook) 1.2 Mrd. €, Amazon 746 Mio. €, Google 50 Mio. €. Größte Sanktion: Meta 2023.

F3.Ordne DSGVO-Artikel der Bedeutung zu.

Zuordnungen:

  • Art. 5 → 7 Grundsätze (Rechtmäßigkeit, Zweckbindung, etc.)
  • Art. 6 → Rechtmäßigkeit der Verarbeitung (Einwilligung etc.)
  • Art. 17 → Recht auf Vergessenwerden (Löschung)
  • Art. 33 → Meldepflicht von Datenpannen (72 h)

Erklärung: Wichtige DSGVO-Artikel: Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 15 (Auskunft), Art. 17 (Löschung), Art. 20 (Datenübertragbarkeit), Art. 28 (AVV), Art. 30 (Verarbeitungsverzeichnis), Art. 32 (Sicherheit), Art. 33 (Meldepflicht), Art. 37 (DSB). Diese Artikel-Nummern sollte man kennen, Klausur-Standard.

Typ: Zuordnung

F4.Wieviele Controls hat ISO 27001:2022 (Annex A)?

Antwort: 93

Erklärung: ISO 27001:2022 hat 93 Controls in 4 Themen-Domänen (A.5 Organisations-Controls 37 + A.6 Personen 8 + A.7 Physisch 14 + A.8 Technologisch 34). Reduziert von 114 in 14 Domänen (Version 2013). Update brachte Konsolidierung + 11 neue Controls. Klausur-Standard.

F5.Die CIA-Trias der Informationssicherheit steht für Confidentiality, Integrity und Availability (Vertraulichkeit, Integrität, Verfügbarkeit).

Antwort: Wahr

Erklärung: RICHTIG. CIA-Trias = Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). Grundpfeiler der Informationssicherheit, in ISO 27001/27002 + BSI IT-Grundschutz zentral. Erweiterung: AAA (Authenticity, Accountability, Auditability), diese drei werden manchmal hinzugefügt. Klausur-Klassiker.

Typ: Wahr/Falsch

F6.Was war die Konsequenz des Schrems-II-Urteils (EuGH 2020)?

Antwort: US-Privacy-Shield wurde gekippt, USA-Datentransfers brauchen zusätzliche Maßnahmen (z.B. SCC + technische Garantien)

Erklärung: Schrems II (EuGH Urteil 16.07.2020): EuGH kippt EU-US Privacy Shield (Adequacy Decision), wegen US-Massenüberwachungs-Gesetze (FISA 702). Konsequenz: USA-Transfers brauchen seitdem STANDARDVERTRAGSKLAUSELN (SCC) + zusätzliche technische Garantien (Verschlüsselung, Pseudonymisierung). Neuer 'EU-US Data Privacy Framework' seit 2023 als Nachfolger (aber rechtlich angefochten). Aktuelles Klausur-Thema.

Teil 4·Quiz / Klausurfragen

Klausur-Quiz

IT-Compliance, Klausur-Quiz

6 typische Klausurfragen zu DSGVO, ISO 27001 und Trends.

Klausurfragen mit Lösungen (6)

F1.Innerhalb welcher Frist müssen DSGVO-Datenpannen an die Aufsichtsbehörde gemeldet werden?

Antwort: 72 Stunden

Erklärung: DSGVO Art. 33: Datenpanne (= Vorfall mit personenbezogenen Daten) muss innerhalb 72 STUNDEN ab Kenntniserlangung an Aufsichtsbehörde gemeldet werden. Bei höherem Risiko zusätzlich Betroffene benachrichtigen (Art. 34). Verspätete Meldung = eigener Verstoß. Klausur-Pflicht.

F2.Was bedeutet 'AVV' im DSGVO-Kontext?

Antwort: Auftragsverarbeitungs-Vertrag (Art. 28)

Erklärung: AVV = Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO). PFLICHT-Vertrag zwischen Auftraggeber (z.B. Online-Shop) und Auftragsverarbeiter (z.B. Cloud-Provider wie AWS, Salesforce). Regelt Pflichten des Verarbeiters. Anders als Joint-Controllership (Art. 26, gemeinsame Verantwortung). Standard-Klausel-Template gibt's von Aufsichtsbehörden. Klausur-Standard.

F3.DSGVO seit {{1}}. Maximum-Sanktion: {{2}} % des Jahresumsatzes. ISO 27001:2022 hat {{3}} Controls. CIA-Trias steht für {{4}}, Integrity und {{5}}. Datenpannen-Meldung an Aufsicht binnen {{6}} Stunden.

Lösungen pro Lücke:

  • {{1}}: 25.05.2018 / Mai 2018 / 2018
  • {{2}}: 4
  • {{3}}: 93
  • {{4}}: Confidentiality / Vertraulichkeit
  • {{5}}: Availability / Verfügbarkeit
  • {{6}}: 72

Erklärung: IT-Compliance-Standardwissen: DSGVO seit 25.05.2018, max. 4 % Jahresumsatz Sanktion, 72-h-Meldepflicht. ISO 27001:2022 mit 93 Controls. CIA = Confidentiality/Integrity/Availability. Klausur-Pflicht.

Typ: Lückentext

F4.Bringe den DSGVO-Daten-Lifecycle in die richtige Reihenfolge.

Richtige Reihenfolge:

  1. Erhebung (Einwilligung, Transparenz)
  2. Speicherung (Verschlüsselung, Zugriffsschutz)
  3. Verarbeitung (Pseudonymisierung, AVV)
  4. Übermittlung (Drittländer, Standardvertragsklauseln)
  5. Löschung (Recht auf Vergessenwerden)

Erklärung: DSGVO-Daten-Lifecycle: 1) Erhebung (mit Rechtsgrundlage). 2) Speicherung (sicher). 3) Verarbeitung (zweck-gebunden). 4) Übermittlung (z.B. Drittländer). 5) Löschung (nach Frist oder Anfrage). Jede Phase hat eigene Pflichten. Klausur-Standard.

Typ: Reihenfolge

F5.Welche der folgenden ist KEINE der 4 Control-Domänen von ISO 27001:2022?

Antwort: A.9 Finanz-Controls

Erklärung: ISO 27001:2022 (4 Annex-A-Domänen): A.5 (37 Organisations-Controls), A.6 (8 Personen-Controls), A.7 (14 Physische Controls), A.8 (34 Technologische Controls). A.9 'Finanz-Controls' existiert NICHT. Vorher in 2013-Version waren es 14 Domänen, auf 4 konsolidiert. Klausur-Falle.

F6.Der EU AI Act (2024) klassifiziert AI-Anwendungen in 4 Risiko-Stufen, wobei 'Unacceptable Risk' (z.B. Social Scoring) komplett verboten ist.

Antwort: Wahr

Erklärung: RICHTIG. EU AI Act (in Kraft Aug 2024, Anwendbarkeit gestaffelt 2025-2027): erste umfassende AI-Regulierung weltweit. Risiko-basierte Klassifikation: 1) Unacceptable Risk (verboten: Social Scoring, Manipulation, biometrische Real-Time-Identifikation). 2) High Risk (strenge Anforderungen: HR, Bildung, Justiz, kritische Infrastruktur). 3) Limited Risk (Transparenz-Pflichten: Chatbots, Deepfakes). 4) Minimal Risk (unreguliert). Sanktionen bis 7 % Welt-Jahresumsatz oder 35 Mio. €. Klausur-aktuelles Trend-Thema.

Typ: Wahr/Falsch

Zur KategorieBusiness Analytics.Mehr Themen entdeckenZum Themen-Hub.

UniProMax ist eine themenbasierte Lernplattform für Studierende an deutschen Unis.

Wir glauben, dass Verstehen besser ist als Auswendiglernen. Wir bauen Lerneinheiten die zeigen statt erzählen. Code, Visualisierung, Quiz. Auf Deutsch.

Marke

UniProMaxUniProMax

Themenbasiert, visuell, interaktiv.

Inhalte

  • Alle Themen (Hub)
  • Programmiergrundlagen
  • Algorithmen
  • Mathematik
  • Statistik
  • Datenbanken
  • Rechnungswesen
  • VWL

Studiengang-Filter

  • Informatik
  • Wirtschaftsinformatik
  • BWL
  • Data Science
  • VWL
  • Wirtschaftsingenieurwesen
  • Mathe
  • Psychologie
  • weitere Studiengänge folgen

Plattform

  • Mein Fortschritt
  • Impressum
  • Datenschutz
© 2026 UniProMaxAlle Systeme onlinev0.2 / Sommersemester 2026
UniProMaxUniProMaxUniProMaxUniProMax