Alle Tabs der Lerneinheit (Erklärung · Interaktiv verstehen · Praxis-Übung · Klausur-Quiz) als durchgehender Text. Ideal zum Wiederholen vor der Klausur, und für Suchmaschinen wie Google, Bing und KI-Suche (ChatGPT, Perplexity).
Erklärung
Datenschutz + Sicherheit = Pflicht. Klausurthema in 5/9 IT-Management-Modulen, stark wachsende Bedeutung seit DSGVO 2018.
Die Idee in einem Satz
IT-Compliance: Einhaltung gesetzlicher + regulatorischer + interner Anforderungen an die IT, von Datenschutz (DSGVO) über Sicherheit (ISO 27001) bis zu branchen-spezifischen Vorgaben (BaFin, BSI).
DSGVO, die wichtigste Daten-Regulierung
DSGVO (Datenschutz-Grundverordnung, EU-VO 2016/679):
- In Kraft: 25.05.2018
- Gilt für: alle Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten
- Sanktionen: bis 4 % des welt-weiten Jahresumsatzes oder 20 Mio. €
7 Grundsätze der DSGVO (Art. 5)
- Rechtmäßigkeit, Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
Daten-Lifecycle (5 Phasen)
1. Erhebung
- Rechtsgrundlage (Art. 6): Einwilligung / Vertrag / berechtigtes Interesse
- Transparenz: Datenschutz-Erklärung, klare Informationen
- Zweckbindung: nur erheben, was nötig
2. Speicherung
- Sicherheit: Verschlüsselung at-rest (Art. 32)
- Zugriffsschutz: Rollen + Berechtigungen
- Speicherort: EU/EWR (Schrems II)
3. Verarbeitung
- Pseudonymisierung / Anonymisierung
- Verarbeitungsverzeichnis (Art. 30)
- AVV (Auftragsverarbeitungs-Vertrag, Art. 28) mit Dienstleistern
4. Übermittlung
- Verschlüsselung in-transit
- Drittländer-Transfer (Art. 44 ff.):
- Adequacy Decision (UK, Japan, Südkorea, Schweiz)
- Standardvertragsklauseln (SCC)
- Binding Corporate Rules (BCR)
- Schrems II (EuGH 2020): US-Privacy Shield gekippt, verlangt zusätzliche Maßnahmen für USA-Transfers
5. Löschung / Anonymisierung
- Lösch-Konzepte mit Fristen
- Recht auf Vergessenwerden (Art. 17)
- Backup-Lösung: wann werden Backups gelöscht?
Betroffenen-Rechte (Art. 12-23)
| Recht | Artikel | Erklärung |
|---|---|---|
| Auskunft | Art. 15 | Welche Daten habt ihr von mir? |
| Berichtigung | Art. 16 | Korrektur falscher Daten |
| Löschung | Art. 17 | Recht auf Vergessenwerden |
| Einschränkung | Art. 18 | Sperrung statt Löschung |
| Datenübertragbarkeit | Art. 20 | Daten-Export im Standardformat |
| Widerspruch | Art. 21 | gegen Verarbeitung |
| Keine automatische Entscheidung | Art. 22 | inkl. Profiling |
Meldepflicht bei Datenpannen
- Aufsichtsbehörde: binnen 72 Stunden (Art. 33)
- Betroffene: unverzüglich bei hohem Risiko (Art. 34)
Datenschutzbeauftragter (DSB, Art. 37-39)
Pflicht bei:
- Öffentlichen Stellen
- Kerntätigkeit = regelmäßige + systematische Beobachtung (z.B. Tracking)
- Kerntätigkeit = besondere Datenkategorien (Gesundheit, etc.)
ISO 27001, Information Security Management
ISO/IEC 27001:2022 (Update von 2013-Version):
- Internationaler Standard für Information Security Management System (ISMS)
- Zertifizierungs-fähig (externe Auditoren)
- 93 Controls in 4 Themen-Domänen (vorher 114 in 14 Domänen)
4 Control-Domänen (ISO 27001:2022)
| Code | Domain | Anzahl |
|---|---|---|
| A.5 | Organisations-Controls | 37 |
| A.6 | Personen-Controls | 8 |
| A.7 | Physische Controls | 14 |
| A.8 | Technologische Controls | 34 |
Wichtige ISO-27001-Konzepte
- CIA-Trias: Confidentiality, Integrity, Availability (Vertraulichkeit, Integrität, Verfügbarkeit)
- Risikoanalyse: Identifikation + Bewertung + Behandlung
- Statement of Applicability (SoA): dokumentiert welche Controls implementiert
- PDCA-Zyklus: Plan-Do-Check-Act
- Internes Audit + Management Review
ISO 27001-Familie
- ISO 27000: Übersicht + Vokabular
- ISO 27001: ISMS-Standard
- ISO 27002: Code of Practice (Best Practices zu Controls)
- ISO 27017: Cloud-spezifisch
- ISO 27018: Personenbezogene Daten in Cloud
- ISO 27701: Privacy Information Management (DSGVO-Bridge)
Weitere wichtige IT-Compliance-Regularien
EU AI Act (2024)
Erste umfassende AI-Regulierung. Risiko-basierte Klassifikation:
- Unacceptable Risk: verboten (z.B. Social Scoring)
- High Risk: strenge Anforderungen (z.B. HR, Bildung, Justiz)
- Limited Risk: Transparenz-Pflichten
- Minimal Risk: unreguliert
NIS2-Richtlinie (2023, Umsetzung 2024)
Cybersicherheit kritischer Infrastruktur EU-weit. Erweitert Anwendungsbereich.
DORA, Digital Operational Resilience Act (2025)
Finanz-Sektor: ICT-Risk-Management + Incident-Reporting.
BSI IT-Grundschutz
Deutscher Standard, vor allem für Behörden. Maßnahmen-Katalog.
SOC 2 (USA)
Trust Services Criteria: Security + Availability + Processing Integrity + Confidentiality + Privacy. Wichtig für US-Cloud-Anbieter.
Compliance-Programm-Struktur
| Komponente | Beschreibung |
|---|---|
| Compliance-Officer | Zentrale Rolle (CCO) |
| Compliance-Policies | Schriftliche Regeln |
| Trainings | Mitarbeiter-Sensibilisierung |
| Audits | Intern + extern |
| Incident-Response | Was tun bei Verstoß? |
| Reporting | An Vorstand + Aufsicht |
Klausur-Faustregeln
1. DSGVO seit 25.05.2018, Sanktionen bis 4 % Welt-Jahresumsatz oder 20 Mio €.
2. 7 DSGVO-Grundsätze (Art. 5): Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität+Vertraulichkeit, Rechenschaftspflicht.
3. Datenpannen-Meldung: 72 h an Aufsichtsbehörde (Art. 33).
4. ISO 27001:2022 hat 93 Controls in 4 Domänen (A.5/A.6/A.7/A.8).
5. CIA-Trias: Confidentiality + Integrity + Availability, Grundpfeiler IT-Security.
6. Schrems II (2020): US-Privacy Shield gekippt, SCC + zusätzliche Maßnahmen für USA-Transfers.
Häufige Stolpersteine
1. DSGVO nur für 'Daten' sehen. DSGVO gilt nur für PERSONENBEZOGENE Daten (= bezieht sich auf identifizierte/identifizierbare natürliche Personen). NICHT für Maschinendaten ohne Personen-Bezug.
2. ISO 27001 = ISMS. ISO 27001 ist der STANDARD, ISMS ist das System. ISO 27001 spezifiziert was ein ISMS haben muss.
3. DSGVO und ISO 27001 als identisch. DSGVO = Datenschutz (Schutz von Personen). ISO 27001 = Informationssicherheit (Schutz von Daten). Überschneidung, aber unterschiedlicher Fokus.
4. 72-Stunden-Frist bei Datenpannen vergessen. Meldung an Aufsichtsbehörde IMMER innerhalb 72 h ab Kenntniserlangung.
5. Schrems II nur als USA-Problem sehen. Generell: jeder Drittländer-Transfer braucht eine Rechtsgrundlage. USA ist nur prominentestes Beispiel.
6. AVV mit Joint-Controllership verwechseln. AVV (Art. 28) = Auftragsverarbeitung (Provider verarbeitet im Auftrag). Joint-Controllership (Art. 26) = gemeinsame Verantwortung mehrerer Parteien. Klausur-Falle.
Interaktiv verstehen
DSGVO + ISO 27001 interaktiv
Toggle zwischen DSGVO-Datenfluss-Lifecycle (5 Phasen mit Rechtsgrundlagen + Maßnahmen) und ISO 27001:2022-Controls (4 Domänen mit Beispielen).
Interaktive Visualisierung
Interaktive Komponente: probiere sie im Topic-Player oben aus.
Klausur-Tipp: Bei "IT-Compliance" IMMER 1) DSGVO mit 7 Grundsätzen + Daten-Lifecycle + 72-h-Meldung + 2) ISO 27001:2022 mit 4 Domänen + CIA-Trias + 3) Schrems II Konsequenzen für Cloud-Anbieter.
Praxis-Übung
IT-Compliance, Praxis-Übung
6 Aufgaben zu DSGVO, ISO 27001 und Compliance-Praxis.
Klausurfragen mit Lösungen (6)
- F1.Seit wann ist die DSGVO in Kraft?
Antwort: 25.05.2018
Erklärung: DSGVO (EU-VO 2016/679): in Kraft seit 25.05.2018, nach 2-jähriger Übergangsfrist (Verabschiedung April 2016, Anwendbarkeit Mai 2018). Ersetzt nationale Datenschutz-Gesetze in EU/EWR. Klausur-Pflichtwissen.
- F2.Welche maximale Sanktion ist bei DSGVO-Verstößen möglich?
Antwort: Bis zu 4% des welt-weiten Jahresumsatzes ODER 20 Mio. €
Erklärung: DSGVO-Sanktionen Art. 83: bis zu 4 % des WELT-WEITEN JAHRESUMSATZES ODER 20 Mio. € (der höhere Betrag gilt). Für schwere Verstöße. Bei minderschweren Verstößen: 2 % oder 10 Mio. €. Beispiele: Meta (Facebook) 1.2 Mrd. €, Amazon 746 Mio. €, Google 50 Mio. €. Größte Sanktion: Meta 2023.
- F3.Ordne DSGVO-Artikel der Bedeutung zu.
Zuordnungen:
- Art. 5 → 7 Grundsätze (Rechtmäßigkeit, Zweckbindung, etc.)
- Art. 6 → Rechtmäßigkeit der Verarbeitung (Einwilligung etc.)
- Art. 17 → Recht auf Vergessenwerden (Löschung)
- Art. 33 → Meldepflicht von Datenpannen (72 h)
Erklärung: Wichtige DSGVO-Artikel: Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 15 (Auskunft), Art. 17 (Löschung), Art. 20 (Datenübertragbarkeit), Art. 28 (AVV), Art. 30 (Verarbeitungsverzeichnis), Art. 32 (Sicherheit), Art. 33 (Meldepflicht), Art. 37 (DSB). Diese Artikel-Nummern sollte man kennen, Klausur-Standard.
Typ: Zuordnung
- F4.Wieviele Controls hat ISO 27001:2022 (Annex A)?
Antwort: 93
Erklärung: ISO 27001:2022 hat 93 Controls in 4 Themen-Domänen (A.5 Organisations-Controls 37 + A.6 Personen 8 + A.7 Physisch 14 + A.8 Technologisch 34). Reduziert von 114 in 14 Domänen (Version 2013). Update brachte Konsolidierung + 11 neue Controls. Klausur-Standard.
- F5.Die CIA-Trias der Informationssicherheit steht für Confidentiality, Integrity und Availability (Vertraulichkeit, Integrität, Verfügbarkeit).
Antwort: Wahr
Erklärung: RICHTIG. CIA-Trias = Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). Grundpfeiler der Informationssicherheit, in ISO 27001/27002 + BSI IT-Grundschutz zentral. Erweiterung: AAA (Authenticity, Accountability, Auditability), diese drei werden manchmal hinzugefügt. Klausur-Klassiker.
Typ: Wahr/Falsch
- F6.Was war die Konsequenz des Schrems-II-Urteils (EuGH 2020)?
Antwort: US-Privacy-Shield wurde gekippt, USA-Datentransfers brauchen zusätzliche Maßnahmen (z.B. SCC + technische Garantien)
Erklärung: Schrems II (EuGH Urteil 16.07.2020): EuGH kippt EU-US Privacy Shield (Adequacy Decision), wegen US-Massenüberwachungs-Gesetze (FISA 702). Konsequenz: USA-Transfers brauchen seitdem STANDARDVERTRAGSKLAUSELN (SCC) + zusätzliche technische Garantien (Verschlüsselung, Pseudonymisierung). Neuer 'EU-US Data Privacy Framework' seit 2023 als Nachfolger (aber rechtlich angefochten). Aktuelles Klausur-Thema.
Klausur-Quiz
IT-Compliance, Klausur-Quiz
6 typische Klausurfragen zu DSGVO, ISO 27001 und Trends.
Klausurfragen mit Lösungen (6)
- F1.Innerhalb welcher Frist müssen DSGVO-Datenpannen an die Aufsichtsbehörde gemeldet werden?
Antwort: 72 Stunden
Erklärung: DSGVO Art. 33: Datenpanne (= Vorfall mit personenbezogenen Daten) muss innerhalb 72 STUNDEN ab Kenntniserlangung an Aufsichtsbehörde gemeldet werden. Bei höherem Risiko zusätzlich Betroffene benachrichtigen (Art. 34). Verspätete Meldung = eigener Verstoß. Klausur-Pflicht.
- F2.Was bedeutet 'AVV' im DSGVO-Kontext?
Antwort: Auftragsverarbeitungs-Vertrag (Art. 28)
Erklärung: AVV = Auftragsverarbeitungs-Vertrag (Art. 28 DSGVO). PFLICHT-Vertrag zwischen Auftraggeber (z.B. Online-Shop) und Auftragsverarbeiter (z.B. Cloud-Provider wie AWS, Salesforce). Regelt Pflichten des Verarbeiters. Anders als Joint-Controllership (Art. 26, gemeinsame Verantwortung). Standard-Klausel-Template gibt's von Aufsichtsbehörden. Klausur-Standard.
- F3.DSGVO seit {{1}}. Maximum-Sanktion: {{2}} % des Jahresumsatzes. ISO 27001:2022 hat {{3}} Controls. CIA-Trias steht für {{4}}, Integrity und {{5}}. Datenpannen-Meldung an Aufsicht binnen {{6}} Stunden.
Lösungen pro Lücke:
- {{1}}: 25.05.2018 / Mai 2018 / 2018
- {{2}}: 4
- {{3}}: 93
- {{4}}: Confidentiality / Vertraulichkeit
- {{5}}: Availability / Verfügbarkeit
- {{6}}: 72
Erklärung: IT-Compliance-Standardwissen: DSGVO seit 25.05.2018, max. 4 % Jahresumsatz Sanktion, 72-h-Meldepflicht. ISO 27001:2022 mit 93 Controls. CIA = Confidentiality/Integrity/Availability. Klausur-Pflicht.
Typ: Lückentext
- F4.Bringe den DSGVO-Daten-Lifecycle in die richtige Reihenfolge.
Richtige Reihenfolge:
- Erhebung (Einwilligung, Transparenz)
- Speicherung (Verschlüsselung, Zugriffsschutz)
- Verarbeitung (Pseudonymisierung, AVV)
- Übermittlung (Drittländer, Standardvertragsklauseln)
- Löschung (Recht auf Vergessenwerden)
Erklärung: DSGVO-Daten-Lifecycle: 1) Erhebung (mit Rechtsgrundlage). 2) Speicherung (sicher). 3) Verarbeitung (zweck-gebunden). 4) Übermittlung (z.B. Drittländer). 5) Löschung (nach Frist oder Anfrage). Jede Phase hat eigene Pflichten. Klausur-Standard.
Typ: Reihenfolge
- F5.Welche der folgenden ist KEINE der 4 Control-Domänen von ISO 27001:2022?
Antwort: A.9 Finanz-Controls
Erklärung: ISO 27001:2022 (4 Annex-A-Domänen): A.5 (37 Organisations-Controls), A.6 (8 Personen-Controls), A.7 (14 Physische Controls), A.8 (34 Technologische Controls). A.9 'Finanz-Controls' existiert NICHT. Vorher in 2013-Version waren es 14 Domänen, auf 4 konsolidiert. Klausur-Falle.
- F6.Der EU AI Act (2024) klassifiziert AI-Anwendungen in 4 Risiko-Stufen, wobei 'Unacceptable Risk' (z.B. Social Scoring) komplett verboten ist.
Antwort: Wahr
Erklärung: RICHTIG. EU AI Act (in Kraft Aug 2024, Anwendbarkeit gestaffelt 2025-2027): erste umfassende AI-Regulierung weltweit. Risiko-basierte Klassifikation: 1) Unacceptable Risk (verboten: Social Scoring, Manipulation, biometrische Real-Time-Identifikation). 2) High Risk (strenge Anforderungen: HR, Bildung, Justiz, kritische Infrastruktur). 3) Limited Risk (Transparenz-Pflichten: Chatbots, Deepfakes). 4) Minimal Risk (unreguliert). Sanktionen bis 7 % Welt-Jahresumsatz oder 35 Mio. €. Klausur-aktuelles Trend-Thema.
Typ: Wahr/Falsch