Datenschutz und IT-Sicherheit
Setze Digitalisierung DSGVO-konform um und schuetze dein Unternehmen vor Cyberangriffen — mit praktischen Checklisten und KI-Unterstuetzung.
🔄 Kurzer Rueckblick: In der letzten Lektion hast du gelernt, wie du dein Team bei der Digitalisierung mitnimmst — mit der richtigen Kommunikation und Multiplikatoren-Methode. Jetzt kommt ein Thema, vor dem sich viele druecken: Datenschutz und IT-Sicherheit. Kein Spass — aber ueberlebenswichtig.
Tja, Datenschutz. Das Thema, bei dem alle die Augen verdrehen. Aber die Realitaet ist: 60% aller Cyberangriffe treffen KMU, und ein einziger Ransomware-Angriff kann einen kleinen Betrieb in die Insolvenz treiben. DSGVO-Bussgelder kommen oben drauf.
DSGVO fuer KMU: Was du wirklich brauchst
Die DSGVO klingt furchteinflossend — ist aber fuer KMU handhabbarer als die meisten denken. Hier sind die fuenf Pflichten, die du kennen musst:
1. Verzeichnis von Verarbeitungstaetigkeiten (Artikel 30)
Dokumentiere: Welche personenbezogenen Daten verarbeitest du? Warum? Wie lange? Mit welchen Sicherheitsmassnahmen?
Erstelle ein Verzeichnis von Verarbeitungstaetigkeiten
fuer mein Unternehmen:
Branche: [deine Branche]
Mitarbeiter: [Anzahl]
Kundendaten die wir speichern: [Liste]
Tools die wir nutzen: [Liste]
Website: ja/nein, mit Kontaktformular/Newsletter?
Erstelle das VVT mit allen Pflichtfeldern nach
Artikel 30 DSGVO.
2. Auftragsverarbeitungsvertraege (AVV)
Fuer jedes Tool, das Kundendaten verarbeitet, brauchst du einen AVV mit dem Anbieter. Die meisten Cloud-Anbieter bieten diesen zum Download an — du musst ihn nur herunterladen und archivieren.
3. Datenschutzerklaerung
Auf deiner Website und in deinen AGB. Muss alle Datenverarbeitungen beschreiben.
4. Betroffenenrechte
Kunden koennen Auskunft, Loeschung und Berichtigung ihrer Daten verlangen. Du musst innerhalb von 30 Tagen reagieren.
5. Meldepflicht bei Datenpannen
Bei einer Datenpanne (Hack, verlorener Laptop, falsch versendete E-Mail mit Kundendaten) musst du die Aufsichtsbehoerde innerhalb von 72 Stunden informieren.
✅ Quick Check: Ein Mitarbeiter verliert seinen Laptop mit unverschluesselten Kundendaten. Was musst du tun? (Antwort: Datenpanne melden — innerhalb von 72 Stunden bei der zustaendigen Datenschutz-Aufsichtsbehoerde. Wenn ein hohes Risiko fuer die betroffenen Personen besteht, muessen auch die Kunden informiert werden. Praevention: Laptops immer verschluesseln, am besten mit BitLocker oder FileVault.)
IT-Sicherheit: Die Basics
Das BSI empfiehlt fuer KMU ein Basissicherheitsniveau, das mit ueberschaubarem Aufwand erreichbar ist:
Die 7 Grundregeln:
| Massnahme | Aufwand | Wirkung |
|---|---|---|
| Regelmaessige Updates | Gering | Schliesst bekannte Sicherheitsluecken |
| Sichere Passwoerter + Passwortmanager | Gering | Verhindert 80% der Einbrueche |
| Zwei-Faktor-Authentifizierung (2FA) | Gering | Schuetzt auch bei gestohlenem Passwort |
| Regelmaessige Backups (3-2-1-Regel) | Mittel | Rettung bei Ransomware |
| Mitarbeiter-Sensibilisierung | Mittel | Verhindert Phishing-Angriffe |
| Firewall und Antivirensoftware | Gering | Grundschutz gegen Malware |
| Verschluesselung von Laptops/Handys | Gering | Schutz bei Geraeteverlust |
Die 3-2-1 Backup-Regel:
- 3 Kopien deiner Daten
- 2 verschiedene Speichermedien
- 1 Kopie an einem externen Standort (oder in der Cloud)
KI und Datenschutz: Die Spielregeln
KI-Tools im Unternehmen nutzen — aber sicher:
| Regel | Erklaerung |
|---|---|
| Keine echten Kundendaten in KI-Prompts | Platzhalter verwenden, echte Daten erst nachtraeglich einsetzen |
| Business-Versionen bevorzugen | ChatGPT Team/Enterprise, Claude Pro — keine Trainingsnutzung |
| Interne KI-Richtlinie erstellen | Was darf mit KI gemacht werden, was nicht? |
| Ergebnisse pruefen | KI kann falsche Informationen generieren — immer gegenchecken |
| Sensible Daten nie hochladen | Vertraege, Personalakten, Finanzdaten gehoeren nicht in KI-Tools |
Erstelle eine interne KI-Nutzungsrichtlinie fuer mein
Unternehmen:
Branche: [Branche]
Genutzte KI-Tools: [ChatGPT, Claude, etc.]
Sensible Datenkategorien: [was auf keinen Fall in
KI-Tools darf]
Die Richtlinie soll enthalten:
1. Erlaubte Nutzung (Textgenerierung, Recherche)
2. Verbotene Nutzung (personenbezogene Daten, Vertraege)
3. Platzhalter-Regeln fuer Kundendaten
4. Wer ist Ansprechpartner bei Fragen?
5. Unterschrift der Mitarbeiter
Key Takeaways
- DSGVO fuer KMU ist machbar: Verarbeitungsverzeichnis, AVV-Vertraege, Datenschutzerklaerung, Betroffenenrechte und Meldepflicht
- IT-Sicherheit: 7 Grundregeln schuetzen vor den haeufigsten Angriffen — Updates, Passwoerter, 2FA, Backups
- KI-Tools sicher nutzen: keine echten Kundendaten in Prompts, Business-Versionen bevorzugen, interne Richtlinie erstellen
- Das BSI bietet kostenlose Leitfaeden speziell fuer KMU
- KI erstellt DSGVO-Dokumente (VVT, Richtlinien, Datenschutzerklaerungen) als Entwurf — den Feinschliff macht dein Datenschutzbeauftragter
Up Next
In der letzten Lektion bringst du alles zusammen: Dein fertiger Digitalisierungsplan — von der Bestandsaufnahme ueber die Foerdermittel bis zur DSGVO-konformen Umsetzung.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!