, ,

KI im Unternehmen – Chancen nutzen, Risiken managen

Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.

Öffentliche KI vs. Eigene Unternehmens-KI

Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.

  • Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
  • Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.

Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.

Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?

KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.

  • Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
  • Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
  • Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).

Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.

KI und Urheberrecht bei Bildern

Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.

Geprüfte Anbieter:

  • Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
  • Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
  • Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.

Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“

KI-Schutz für Diensthandys

Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.

Empfohlene Maßnahmen:

  • MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
  • Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
  • Einsatz von App-Sandboxing für KI-Chatfunktionen.
  • Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.

Basis-Schulung und Governance-Struktur

Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:

  • Datenschutz (personenbezogene Daten, DSGVO)
  • Sicherheit (Training, Zugriff, Speicherung)
  • Lizenz- und Nutzungsrechte
  • Transparenz und Nachvollziehbarkeit

Für die Einführung empfiehlt sich eine zweistufige Schulung:

  1. Grundverständnis, was KI kann, wo liegen die Grenzen.
  2. Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.

Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen

Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.

  1. Strategische Vorbereitung
  • Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z.  Textanalyse, Prozessautomatisierung, Vorhersage)?
  • Welches Modell: Öffentliche KI oder On-Premise Lösung
  • Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
  • Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
  1. Datenschutz & Compliance
  • DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
  • Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B.  über Cloud-API)?
  • Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
  • Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
  1. Informationssicherheit
  • Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
  • MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
  • Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
  • Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
  1. Qualitätskontrolle der KI-Ergebnisse
  • Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
  • Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
  • Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
  • Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
  1. Urheberrecht & Inhaltssicherheit
  • Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
  • KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
  • Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
  • Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
  1. Schulung & Awareness
  • Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
  • Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
  • Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
  • Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.

Whitepaper und Checklisten finden Sie z. B. auch bei:

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

/von
,

Das Diktiergerät – ein Bericht aus der Praxis

In meinen Jahren als Datenschutzbeauftragter habe ich immer wieder erlebt, dass nicht nur große Systemfehler oder Cyberangriffe, sondern gerade kleine, unscheinbare Nachlässigkeiten häufig den Auslöser für einen Datenschutzvorfall darstellen – genau darum soll es in diesem Praxisbeispiel gehen.

In einer mittelgroßen Organisation gehörte es seit vielen Jahren zur gängigen Praxis, Sitzungen der Leitungsebene mit einem Diktiergerät aufzuzeichnen. Die Absicht war zunächst pragmatisch: Diskussionen sollten später leichter protokolliert werden können. Das Gerät wurde regelmäßig auf Sitzungen genutzt.

Im Laufe der Jahre entwickelte sich daraus ein routinierter, jedoch kaum hinterfragter Prozess. Die Aufzeichnungen enthielten eine Vielzahl sensibler Inhalte: Personalangelegenheiten, strategische Planungen, finanzielle Entscheidungen, sowie vereinzelt auch personenbezogene Daten von Mitarbeitenden und externen Partnern.

Das Diktiergerät selbst war ein einfaches, handelsübliches Modell ohne Verschlüsselung. Weder war der Zugriff durch ein Passwort geschützt, noch existierte eine systematische Löschroutine. Die gespeicherten Dateien sammelten sich über Jahre hinweg auf dem Gerät. Eine formelle Regelung zur Aufbewahrung oder zur datenschutzkonformen Verarbeitung der Aufnahmen existierte nicht.

Aus Sicht der Informationssicherheit stellte dies mehrere strukturelle Schwachstellen dar. Es fehlten grundlegende organisatorische und technische Maßnahmen im Sinne der Schutzziele der Informationssicherheit – insbesondere hinsichtlich Vertraulichkeit und Integrität. Auch eine Risikoanalyse oder eine Klassifizierung der enthaltenen Informationen war nie durchgeführt worden.

Als wieder eine Sitzung aufgezeichnet werden sollte fiel auf, dass das Diktiergerät fehlte. Zunächst wurde ein Verlegen vermutet, doch nach kurzer Suche wurde klar: Das Gerät war gestohlen worden.

Mit einem Schlag wurde deutlich, welche Tragweite dieser Verlust haben konnte. Auf dem Gerät befanden sich viele Stunden von Sitzungsaufzeichnungen aus mehreren Jahren. Viele davon enthielten vertrauliche und schützenswerte Daten verschiedenster Ausprägung.

Aus rechtlicher Perspektive ergaben sich sofort mehrere Problemfelder:

Nach der Datenschutz-Grundverordnung (DSGVO) hätte die Organisation geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 implementieren müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen beispielsweise Verschlüsselung, Zugriffsbeschränkungen und klare Aufbewahrungsregelungen.

Darüber hinaus verlangt Artikel 5 der DSGVO das Prinzip der Datenminimierung und der Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind. In diesem Fall hätte nach Erstellung eines schriftlichen Protokolls eine zeitnahe Löschung der Audiodateien erfolgen müssen.

Auch eine Rechtsgrundlage für die Aufzeichnung der Gespräche wäre zu dokumentieren gewesen. Bei Sitzungen mit personenbezogenen Daten ist regelmäßig eine transparente Information der Betroffenen erforderlich. Zudem stellt sich die Frage, ob überhaupt eine Notwendigkeit bestand, vollständige Audioaufnahmen dauerhaft zu speichern.

Mit dem Diebstahl entstand schließlich ein Datenschutzvorfall im Sinne von Artikel 4 Nr. 12 DSGVO – eine Verletzung des Schutzes personenbezogener Daten. Daraus folgte eine weitere Verpflichtung: Die Organisation musste prüfen, ob eine Meldung an die zuständige Aufsichtsbehörde erforderlich war.

Parallel dazu stellte sich eine weitere Frage:

Hätte der Vorfall durch grundlegende Maßnahmen der Informationssicherheit verhindert werden können?

Die Antwort lautete eindeutig: ja.

Bereits einfache Maßnahmen hätten das Risiko erheblich reduziert. Dazu gehörten:

  • Verwendung eines verschlüsselten Aufnahmegeräts
  • Zugriffsschutz durch PIN oder Authentifizierung
  • sichere Aufbewahrung in einem abgeschlossenen Schrank
  • definierte Löschfristen für Aufzeichnungen
  • eine dokumentierte Datenschutz- und Informationssicherheitsrichtlinie
  • Sensibilisierung der Mitarbeitenden für den Umgang mit vertraulichen Informationen

Was als kleines Hilfsmittel für die Protokollführung begonnen hatte, entwickelte sich rückblickend zu einem exemplarischen Fall dafür, wie alltägliche Bequemlichkeit über Jahre hinweg zu erheblichen Datenschutzrisiken führen kann. In der Praxis sind es häufig nicht komplexe Cyberangriffe, sondern unscheinbare organisatorische Versäumnisse, die sensible Informationen gefährden.

Die eigentliche Ursache lag nicht im Diebstahl selbst, sondern in der fehlenden Umsetzung grundlegender Prinzipien des Datenschutzes und der Informationssicherheit.

Das verschwundene Diktiergerät ist bis heute nicht wieder aufgetaucht.

/von

Neuer Datenschutz-Newsletter ist da!

Die neueste Ausgabe unseres Datenschutz-Newsletters ist ab sofort verfügbar. Auch dieses Mal erwarten Sie spannende und praxisrelevante Themen rund um Datenschutz:

  • Unser ANMATHO-Forum – am 17.03.2026 im Business-Club Hamburg Anmeldung

  • Digitaler Omnibus: Welche Auswirkungen hat der aktuelle Entwurf auf den Datenschutz in der EU?

  • Microsoft Teams: Welche Risiken entstehen bei der Transkription von Meetings, und worauf sollten Unternehmen achten?

Registrieren Sie sich noch heute für unseren Newsletter und erhalten Sie quartalsweise einen kompakten Überblick über aktuelle Entwicklungen, praxisnahe Empfehlungen und relevante News aus Datenschutz und Informationssicherheit.

👉 Hier anmelden für den ANMATHO-Newsletter

/von
,

Podcast – Security on Air – Heute der EU-Datenschutztag

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der EU-Datenschutztag: Rückblick, Status quo und Ausblick auf 2026

Der 28. Januar ist in Europa mehr als nur ein Termin im Kalender: Er erinnert daran, dass der Schutz personenbezogener Daten längst ein strategisches Thema für Unternehmen, Behörden und jede einzelne Person geworden ist. Der Europäische Datenschutztag bietet jährlich Anlass, innezuhalten, die Entwicklung der letzten Jahre zu betrachten und den Blick nach vorne zu richten. Genau das tun wir in unserem aktuellen Podcast.

Im Gespräch beleuchten wir kurz die wichtigsten Meilensteine – vom Volkszählungsurteil über die DSGVO bis hin zur internationalen Rolle des europäischen Datenschutzmodells – und leiten daraus über zu den

Datenschutz-Schwerpunkten in 2026

  1. Künstliche Intelligenz und Datenverarbeitung

  2. Aufsichtsbehörden kontrollieren verstärkt die Einhaltung von Betroffenenrechten

  3. Cloudnutzung und Drittlandtransfers

  4. Vernetzte Produkte

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Podcast – Jahresrückblick 2025 & Ausblick 2026

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

2025 war ein Jahr der Weichenstellungen – nicht spektakulär, aber entscheidend. In der neuen Podcast-Folge blicken wir auf die wichtigsten Entwicklungen in Informationssicherheit und Datenschutz zurück und werfen einen fundierten Blick auf das, was 2026 bringen wird.

Vom Warten zum Handeln – NIS2 ist da

Lange war es Thema in der Branche, jetzt ist es Realität: Das NIS2-Umsetzungsgesetz wurde verabschiedet. Damit steigt die Zahl der Unternehmen, die sich künftig strukturierter mit Informationssicherheit beschäftigen müssen, erheblich.
Wir erklären im Podcast, warum 2026 das Jahr sein wird, in dem viele Organisationen wirklich beginnen, ihre Pflichten aus NIS2 umzusetzen – mit Themen wie RisikomanagementBusiness Continuity und der Schulung der Geschäftsleitungen.

Datenschutz unter Druck? Der digitale Omnibus

Auch im Datenschutzrecht wird es interessant: Der sogenannte digitale Omnibus der EU soll verschiedene Digitalgesetzgebungen zusammenführen und davon ist auch die DSGVO betroffen.
Doch die Meinungen gehen auseinander – während die einen die Vereinfachung begrüßen, warnen andere vor einer Aufweichung des Datenschutzes. Im Podcast beleuchten wir, welche Änderungen denkbar sind und wo sich Chancen für praxisnähere Regelungen eröffnen könnten.

Künstliche Intelligenz: Zwischen Innovation und Risiko

Kaum ein Thema hat 2025 so stark geprägt wie künstliche Intelligenz. Ob beim Schutz sensibler Daten, in Angriffsszenarien oder im Unternehmensalltag – KI verändert die Spielregeln grundlegend.
Klar ist – KI ist gekommen, um zu bleiben.

Awareness bleibt der beste Schutz

Einig sind sich wohl alle: Technologie allein reicht nicht. Schulung und Sensibilisierung der Mitarbeitenden bleiben die letzte Verteidigungslinie gegen Sicherheitsvorfälle und Datenschutzverletzungen.
Der Podcast liefert praxisnahe Einblicke, wie Unternehmen zielgruppenorientierte Awareness-Programme gestalten und Informationssicherheit und Datenschutz dabei sinnvoll miteinander verzahnen können.

Aus der Praxis – und mit Blick in die Zukunft

Neben der Gesetzgebung geht es im Gespräch auch um aktuelle Entwicklungen in der Beratung: etwa die steigende Bedeutung interner Audits im ISMS und die Vorteile externer Sichtweisen.
Und ein Blick nach vorn darf nicht fehlen: 2026 steht beim ANMATHO-Forum (17. März) das Thema Risikomanagement im Fokus. Dort treffen sich erneut Expertinnen und Experten zum Erfahrungsaustausch und zur Diskussion praxisorientierter Lösungen.

Jetzt reinhören!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

DSMS planen – ISO 27701:2025 erschienen

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Lieferantenmanagement

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heute ohne externe Partner und Dienstleister aus. Doch genau hier lauern Risiken – für Qualität, Informationssicherheit und Datenschutz. In unserer neuen Podcast-Folge zeigen wir, warum Lieferantenmanagement in allen Managementsystemen eine entscheidende Rolle spielt und wie Unternehmen von einem integrierten Ansatz profitieren.

Unsere Experten zeigen, dass Lieferantenbewertungen weit über ein reines „Pflichtprogramm“ hinausgehen und als strategisches Element für den Unternehmenserfolg gelten. Nicht nur die ISO 9001 für Qualitätsmanagement, sondern auch die ISO 27001 für Informationssicherheit sowie die DSGVO stellen zentrale und verbindliche Anforderungen an Lieferanten, insbesondere bei der Verarbeitung sensibler und personenbezogener Daten. Dabei sind vielfältige Kriterien zu berücksichtigen: Von der Austauschbarkeit und Kritikalität eines Lieferanten bis hin zu Fragen wie dem Datentransfer ins Ausland sowie dem Umgang mit Service-Level-Agreements und Vertraulichkeitsvereinbarungen. Regelmäßige Audits sowie transparente Kommunikation und Leistungsüberwachung bilden die Basis für eine sichere und erfolgreiche Zusammenarbeit mit externen Partnern – sie helfen dabei, aktuelle Risiken frühzeitig zu erkennen und die Qualität und Sicherheit dauerhaft zu gewährleisten.

Die Episode lohnt sich für alle, die in Qualitätsmanagement, Informationssicherheit, Datenschutz, Einkauf oder Projektmanagement Verantwortung tragen – und die sicherstellen wollen, dass externe Partner wirklich Mehrwert schaffen und keine Risiken verursachen.

Hier ein Paar Links die zum Thema „Lieferantenmanagement – Schlüsselfaktor für Qualität, Informationssicherheit und Datenschutz“ nützlich sein können:

Hören Sie rein und erfahren Sie, wie Sie Lieferantenmanagement als strategischen Erfolgsfaktor nutzen können!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
,

Podcast – Security on Air – Heute Datenschutz im Bewerbungsprozess

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Personaldaten sind der Schatz jedes Unternehmens – und gleichzeitig eine große Verantwortung. In unserer aktuellen Podcastfolge „Datenschutz im Bewerbungsprozess“ (aufgenommen am 16.09.2025) sprechen die Experten praxisnah darüber, wie Unternehmen den Schutz von Bewerberdaten sicher und DSGVO-konform umsetzen können.

Ob Start-up oder Großkonzern: Wer heute Bewerbungen bearbeitet, verarbeitet hochsensible personenbezogene Daten. Die Podcastfolge geht darauf ein, warum Datenschutz von Beginn an bei jedem Schritt wichtig ist und wie Risiken im Alltag wirklich vermieden werden können.

Was erwartet die Hörer in dieser Episode?

  • Überblick zu den drei zentralen Prinzipien der DSGVO im Bewerbungsprozess: Datenminimierung, Zweckbindung, Speicherbegrenzung.

  • Konkrete Handlungsempfehlungen für den Umgang mit “zu vielen” oder “unnötigen” Bewerberdaten.

  • Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren – und was ist mit dem Talentpool?

  • Tipps für technische und organisatorische Schutzmaßnahmen, von verschlüsselten Zugängen bis zu klaren Zugriffsrechten.

  • Umgang mit sensiblen Informationen, die Bewerber freiwillig mitteilen – und warum manche Daten gelöscht werden sollten.

  • Kommunikation und Schulung: Warum interne Richtlinien und bewusste Informationsweitergabe entscheidend sind.

  • Besonderheiten bei digitalen Bewerbungsgesprächen und dem Einsatz von KI.

  • Praxistipps zur Einwilligung, Löschung und zur transparenten Kommunikation mit Bewerbern.

Warum die Folge jetzt hören?

Der Podcast liefert wertvolle Tipps für Personalverantwortliche, Datenschutzbeauftragte und alle, die im Recruiting Prozess mit Bewerberdaten arbeiten. Die Experten zeigen, wie Unternehmen rechtliche Stolperfallen vermeiden, digitale Tools sicher nutzen und Datenschutz als Teil einer professionellen Unternehmenskultur leben. Das ist nicht nur Pflicht, sondern echtes Zeichen für Wertschätzung und Vertrauen!

Hören Sie rein – um den Bewerbungsprozess fit für die DSGVO zu machen!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von
, ,

Interne Audits – Erstellung eines
Auditprogrammes – Teil 4

Interne Audits sind ein essenzielles Instrument, um Prozesse, Systeme und Managementansätze kontinuierlich zu verbessern. Sie helfen Unternehmen dabei, Schwachstellen zu identifizieren, Konformität mit Normen wie ISO 27001, ISO 9001, ISO 14001 oder ISO 45001 sicherzustellen und die Leistungsfähigkeit nachhaltig zu steigern. In den folgenden Artikeln beleuchten wir Schritt für Schritt die Kernbereiche – von der Erstellung eines Auditprogrammes bis zu Herausforderungen und Best Practices.

In den vorherigen Beiträgen wurde die Bedeutung interner Audits nach ISO 27001 für die Informationssicherheit im Unternehmen, die Ausbildung zum Auditor und die unterschiedlichen Auditarten besprochen. Dieses Mal geht es um die Erstellung eines Auditprogrammes.

Erstellung eines Auditprogrammes

Ein wirksames Auditprogramm bildet die Grundlage für alle späteren Auditaktivitäten. Es handelt sich dabei nicht nur um eine formale Planung, sondern um ein strukturiertes Dokument, das langfristig Orientierung bietet. Das Ziel ist alle relevanten Geschäftsprozesse systematisch zu überprüfen und so kontinuierliche Verbesserungen anzustoßen.

Zu Beginn ist es entscheidend, den Zweck des Auditprogramms klar zu definieren. Typische Ziele sind z. B. die interne Überprüfung auf Einhaltung gesetzlicher Anforderungen, die Bewertung von Risiken oder die Sicherstellung von Qualitätsstandards in Bezug auf Kundenanforderungen.

Ein effektives Auditprogramm berücksichtigt mehrere entscheidende Faktoren:

  • Umfang und Geltungsbereich: Welche Abteilungen, Prozesse oder Standorte sollen geprüft werden?
  • Auditkriterien: Gegen welche Normen, Richtlinien oder Unternehmensstandards wird verglichen?
  • Auditfrequenz: In welchen Intervallen werden die Audits durchgeführt (z. B. quartalsweise, jährlich oder risikobasiert)?
  • Risikobasierter Ansatz: Besonders kritische Prozesse mit hohem Risiko für Compliance-Verstöße sollten häufiger auditiert werden.
  • Verantwortlichkeiten: Wer erstellt, koordiniert und überwacht das Auditprogramm?

Ebenso sollten die Ressourcen berücksichtigt werden. Dazu gehören geschulte Auditoren, verfügbare Zeitfenster sowie unterstützende Tools wie digitale Auditmanagement-Software.

Wesentlicher Bestandteil ist auch die Kommunikation: Das Auditprogramm sollte allen relevanten Stakeholdern wie Bereichsleitern, Führungskräften und Mitarbeitern transparent zur Verfügung gestellt werden. Eine klare Kommunikation erhöht die Akzeptanz und reduziert Widerstände.

Schließlich sollte das Auditprogramm dynamisch angelegt sein. Das bedeutet, dass es regelmäßig überprüft und an neue Entwicklungen angepasst wird – sei es aufgrund neuer Gesetze, interner Veränderungen oder geänderter Unternehmensstrategien.

Fazit:

Ein gut durchdachtes Auditprogramm ist das Fundament erfolgreicher Audits. Es stellt sicher, dass keine relevanten Aspekte vernachlässigt werden, und bietet dem Unternehmen einen strategischen Rahmen für kontinuierliche Verbesserung.

Was Sie auch interessieren könnte:

Seminar:

„Einführung in die Auditierung von Managementsystemen nach ISO 19011“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
, ,

Podcast – Security on Air – Heute Praxistipps zu Audits

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Mit einer guten Vorbereitung entspannt ins Audit gehen? In unserer aktuellen Podcast-Folge „Praxistipps zum Audit – Gut vorbereitet in die Prüfung“ geben wir Ihnen konkrete, praxisnahe Einblicke, wie Sie sich als Unternehmensleitung, Datenschutz- oder Informationssicherheitsbeauftragte optimal auf das nächste Zertifizierungsaudit vorbereiten. Die Folge hält wertvolle Tipps direkt aus der gelebten Prüfungspraxis bereit.

Worum geht es in der Episode?

Audits sind oft mit Unsicherheit und Aufregung verbunden: Wurde an alles gedacht? Sind die Umsetzungen ausreichend? Was passiert, wenn eine Regel zwar gelebt, aber nicht dokumentiert ist – oder umgekehrt? Unser Podcast-Experte, selbst als Auditor und Berater aktiv, nimmt Sie Schritt für Schritt mit durch typische Prüfungsfragen und gibt wertvolle Hinweise:

  • Regelkonformität & Nachweise: Worauf achtet ein Auditor? Warum reicht „gelebte Praxis“ alleine nicht aus?
  • Dokumentation: Was muss schriftlich festgelegt sein – und wie beweisen Sie das im Audit?
  • Interne Audits als Generalprobe: Wie nutzen Sie interne Audits zur Überprüfung und Schulung des Teams?
  • Vorbereitung der Geschäftsführung: Welche Fragen werden an die oberste Leitung gestellt – und wie beantworten Sie diese überzeugend?
  • Remote-Audits – Besonderheiten: Was müssen Sie bei Online-Prüfungen bedenken und bereithalten?
  • Typische Stolperfallen und wie Sie diese vermeiden: Von fehlenden Nachweisen bis zu unklaren Verantwortlichkeiten.
  • Audit-Etikette & Kommunikation: Wie antworten Sie souverän und vermeiden Missverständnisse?
  • Hilfsmittel für Ihre Audit-Vorbereitung: Als Kunde der ANMATHO AG erhalten Sie einen Audit-Kompass, der speziell die wichtigsten Fragestellungen für die Geschäftsleitung bündelt.

Warum reinhören?

Ob Neueinsteiger oder erfahrener Informationssicherheitsbeauftragter – die Folge bietet kompaktes Wissen, wertvolle Prüfungsstrategien, Erfahrungsberichte und praktische Hinweise, die Ihnen Sicherheit geben. Profitieren Sie von Tipps aus erster Hand und erfahren Sie, wie Sie Audits nicht nur bestehen, sondern auch zur kontinuierlichen Verbesserung Ihres Managementsystems nutzen.

Neugierig?

Hören Sie rein – Ihr Weg zum entspannten Auditstart beginnt mit einem Klick!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

Wir sind zertifiziert nach ISO27001:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen