Alle Tabs der Lerneinheit (Erklärung · Interaktiv verstehen · Praxis-Übung · Klausur-Quiz) als durchgehender Text. Ideal zum Wiederholen vor der Klausur, und für Suchmaschinen wie Google, Bing und KI-Suche (ChatGPT, Perplexity).
Teil 1·Erklärung
Diese Lerneinheit wurde für typische Bachelor-Klausuren konzipiert. So prüfen wir · Fehler entdeckt? Melde ihn uns oder markiere die fragliche Stelle direkt im Text oben.
Alle Tabs der Lerneinheit (Erklärung · Interaktiv verstehen · Praxis-Übung · Klausur-Quiz) als durchgehender Text. Ideal zum Wiederholen vor der Klausur, und für Suchmaschinen wie Google, Bing und KI-Suche (ChatGPT, Perplexity).
Datenschutz + Sicherheit = Pflicht. Klausurthema in 5/9 IT-Management-Modulen, stark wachsende Bedeutung seit DSGVO 2018.
Klausur-Tipp: Bei "IT-Compliance" IMMER 1) DSGVO mit 7 Grundsätzen + Daten-Lifecycle + 72-h-Meldung + 2) ISO 27001:2022 mit 4 Domänen + CIA-Trias + 3) Schrems II Konsequenzen für Cloud-Anbieter.
Anmelden, um den Fortschritt zu speichern.
Nächster Schritt
Aktives Abrufen festigt Wissen schneller als nochmal lesen.
Datenschutz + Sicherheit = Pflicht. Klausurthema in 5/9 IT-Management-Modulen, stark wachsende Bedeutung seit DSGVO 2018.
IT-Compliance: Einhaltung gesetzlicher + regulatorischer + interner Anforderungen an die IT — von Datenschutz (DSGVO) über Sicherheit (ISO 27001) bis zu branchen-spezifischen Vorgaben (BaFin, BSI).
DSGVO (Datenschutz-Grundverordnung, EU-VO 2016/679):
| Recht | Artikel | Erklärung |
|---|---|---|
| Auskunft | Art. 15 | Welche Daten habt ihr von mir? |
| Berichtigung | Art. 16 | Korrektur falscher Daten |
| Löschung | Art. 17 | Recht auf Vergessenwerden |
| Einschränkung | Art. 18 | Sperrung statt Löschung |
| Datenübertragbarkeit | Art. 20 | Daten-Export im Standardformat |
| Widerspruch | Art. 21 | gegen Verarbeitung |
| Keine automatische Entscheidung | Art. 22 | inkl. Profiling |
Pflicht bei:
ISO/IEC 27001:2022 (Update von 2013-Version):
| Code | Domain | Anzahl |
|---|---|---|
| A.5 | Organisations-Controls | 37 |
| A.6 | Personen-Controls | 8 |
| A.7 | Physische Controls | 14 |
| A.8 | Technologische Controls | 34 |
Erste umfassende AI-Regulierung. Risiko-basierte Klassifikation:
Cybersicherheit kritischer Infrastruktur EU-weit. Erweitert Anwendungsbereich.
Finanz-Sektor: ICT-Risk-Management + Incident-Reporting.
Deutscher Standard, vor allem für Behörden. Maßnahmen-Katalog.
Trust Services Criteria: Security + Availability + Processing Integrity + Confidentiality + Privacy. Wichtig für US-Cloud-Anbieter.
| Komponente | Beschreibung |
|---|---|
| Compliance-Officer | Zentrale Rolle (CCO) |
| Compliance-Policies | Schriftliche Regeln |
| Trainings | Mitarbeiter-Sensibilisierung |
| Audits | Intern + extern |
| Incident-Response | Was tun bei Verstoß? |
| Reporting | An Vorstand + Aufsicht |
1. DSGVO seit 25.05.2018, Sanktionen bis 4 % Welt-Jahresumsatz oder 20 Mio €.
2. 7 DSGVO-Grundsätze (Art. 5): Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität+Vertraulichkeit, Rechenschaftspflicht.
3. Datenpannen-Meldung: 72 h an Aufsichtsbehörde (Art. 33).
4. ISO 27001:2022 hat 93 Controls in 4 Domänen (A.5/A.6/A.7/A.8).
5. CIA-Trias: Confidentiality + Integrity + Availability — Grundpfeiler IT-Security.
6. Schrems II (2020): US-Privacy Shield gekippt, SCC + zusätzliche Maßnahmen für USA-Transfers.
1. DSGVO nur für 'Daten' sehen. DSGVO gilt nur für PERSONENBEZOGENE Daten (= bezieht sich auf identifizierte/identifizierbare natürliche Personen). NICHT für Maschinendaten ohne Personen-Bezug.
2. ISO 27001 = ISMS. ISO 27001 ist der STANDARD, ISMS ist das System. ISO 27001 spezifiziert was ein ISMS haben muss.
3. DSGVO und ISO 27001 als identisch. DSGVO = Datenschutz (Schutz von Personen). ISO 27001 = Informationssicherheit (Schutz von Daten). Überschneidung, aber unterschiedlicher Fokus.
4. 72-Stunden-Frist bei Datenpannen vergessen. Meldung an Aufsichtsbehörde IMMER innerhalb 72 h ab Kenntniserlangung.
5. Schrems II nur als USA-Problem sehen. Generell: jeder Drittländer-Transfer braucht eine Rechtsgrundlage. USA ist nur prominentestes Beispiel.
6. AVV mit Joint-Controllership verwechseln. AVV (Art. 28) = Auftragsverarbeitung (Provider verarbeitet im Auftrag). Joint-Controllership (Art. 26) = gemeinsame Verantwortung mehrerer Parteien. Klausur-Falle.
Toggle zwischen DSGVO-Datenfluss-Lifecycle (5 Phasen mit Rechtsgrundlagen + Maßnahmen) und ISO 27001:2022-Controls (4 Domänen mit Beispielen).
Interaktive Visualisierung
Interaktive Komponente: probiere sie im Topic-Player oben aus.
Klausur-Tipp: Bei "IT-Compliance" IMMER 1) DSGVO mit 7 Grundsätzen + Daten-Lifecycle + 72-h-Meldung + 2) ISO 27001:2022 mit 4 Domänen + CIA-Trias + 3) Schrems II Konsequenzen für Cloud-Anbieter.
6 Aufgaben zu DSGVO, ISO 27001 und Compliance-Praxis.
Klausurfragen mit Lösungen (6)
Antwort: 25.05.2018
Erklärung: DSGVO (EU-VO 2016/679): in Kraft seit 25.05.2018 — nach 2-jähriger Übergangsfrist (Verabschiedung April 2016, Anwendbarkeit Mai 2018). Ersetzt nationale Datenschutz-Gesetze in EU/EWR. Klausur-Pflichtwissen.
Antwort: Bis zu 4% des welt-weiten Jahresumsatzes ODER 20 Mio. €
Erklärung: DSGVO-Sanktionen Art. 83: bis zu 4 % des WELT-WEITEN JAHRESUMSATZES ODER 20 Mio. € (der höhere Betrag gilt). Für schwere Verstöße. Bei minderschweren Verstößen: 2 % oder 10 Mio. €. Beispiele: Meta (Facebook) 1.2 Mrd. €, Amazon 746 Mio. €, Google 50 Mio. €. Größte Sanktion: Meta 2023.
Zuordnungen:
Erklärung: Wichtige DSGVO-Artikel: Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 15 (Auskunft), Art. 17 (Löschung), Art. 20 (Datenübertragbarkeit), Art. 28 (AVV), Art. 30 (Verarbeitungsverzeichnis), Art. 32 (Sicherheit), Art. 33 (Meldepflicht), Art. 37 (DSB). Diese Artikel-Nummern sollte man kennen — Klausur-Standard.
Typ: Zuordnung
Antwort: 93
Erklärung: ISO 27001:2022 hat 93 Controls in 4 Themen-Domänen (A.5 Organisations-Controls 37 + A.6 Personen 8 + A.7 Physisch 14 + A.8 Technologisch 34). Reduziert von 114 in 14 Domänen (Version 2013). Update brachte Konsolidierung + 11 neue Controls. Klausur-Standard.
Antwort: Wahr
Erklärung: RICHTIG. CIA-Trias = Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). Grundpfeiler der Informationssicherheit, in ISO 27001/27002 + BSI IT-Grundschutz zentral. Erweiterung: AAA (Authenticity, Accountability, Auditability) — diese drei werden manchmal hinzugefügt. Klausur-Klassiker.
Typ: Wahr/Falsch
Antwort: US-Privacy-Shield wurde gekippt — USA-Datentransfers brauchen zusätzliche Maßnahmen (z.B. SCC + technische Garantien)
Erklärung: Schrems II (EuGH Urteil 16.07.2020): EuGH kippt EU-US Privacy Shield (Adequacy Decision) — wegen US-Massenüberwachungs-Gesetze (FISA 702). Konsequenz: USA-Transfers brauchen seitdem STANDARDVERTRAGSKLAUSELN (SCC) + zusätzliche technische Garantien (Verschlüsselung, Pseudonymisierung). Neuer 'EU-US Data Privacy Framework' seit 2023 als Nachfolger (aber rechtlich angefochten). Aktuelles Klausur-Thema.
6 typische Klausurfragen zu DSGVO, ISO 27001 und Trends.
Klausurfragen mit Lösungen (6)
Antwort: 72 Stunden
Erklärung: DSGVO Art. 33: Datenpanne (= Vorfall mit personenbezogenen Daten) muss innerhalb 72 STUNDEN ab Kenntniserlangung an Aufsichtsbehörde gemeldet werden. Bei höherem Risiko zusätzlich Betroffene benachrichtigen (Art. 34). Verspätete Meldung = eigener Verstoß. Klausur-Pflicht.
Antwort: Auftragsverarbeitungs-Vertrag (Art. 28)
Erklärung: AVV = Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO). PFLICHT-Vertrag zwischen Auftraggeber (z.B. Online-Shop) und Auftragsverarbeiter (z.B. Cloud-Provider wie AWS, Salesforce). Regelt Pflichten des Verarbeiters. Anders als Joint-Controllership (Art. 26 — gemeinsame Verantwortung). Standard-Klausel-Template gibt's von Aufsichtsbehörden. Klausur-Standard.
Lösungen pro Lücke:
Erklärung: IT-Compliance-Standardwissen: DSGVO seit 25.05.2018, max. 4 % Jahresumsatz Sanktion, 72-h-Meldepflicht. ISO 27001:2022 mit 93 Controls. CIA = Confidentiality/Integrity/Availability. Klausur-Pflicht.
Typ: Lückentext
Richtige Reihenfolge:
Erklärung: DSGVO-Daten-Lifecycle: 1) Erhebung (mit Rechtsgrundlage). 2) Speicherung (sicher). 3) Verarbeitung (zweck-gebunden). 4) Übermittlung (z.B. Drittländer). 5) Löschung (nach Frist oder Anfrage). Jede Phase hat eigene Pflichten. Klausur-Standard.
Typ: Reihenfolge
Antwort: A.9 Finanz-Controls
Erklärung: ISO 27001:2022 (4 Annex-A-Domänen): A.5 (37 Organisations-Controls), A.6 (8 Personen-Controls), A.7 (14 Physische Controls), A.8 (34 Technologische Controls). A.9 'Finanz-Controls' existiert NICHT. Vorher in 2013-Version waren es 14 Domänen — auf 4 konsolidiert. Klausur-Falle.
Antwort: Wahr
Erklärung: RICHTIG. EU AI Act (in Kraft Aug 2024, Anwendbarkeit gestaffelt 2025-2027): erste umfassende AI-Regulierung weltweit. Risiko-basierte Klassifikation: 1) Unacceptable Risk (verboten: Social Scoring, Manipulation, biometrische Real-Time-Identifikation). 2) High Risk (strenge Anforderungen: HR, Bildung, Justiz, kritische Infrastruktur). 3) Limited Risk (Transparenz-Pflichten: Chatbots, Deepfakes). 4) Minimal Risk (unreguliert). Sanktionen bis 7 % Welt-Jahresumsatz oder 35 Mio. €. Klausur-aktuelles Trend-Thema.
Typ: Wahr/Falsch