Warum integrierte Compliance zum Gamechanger wird

Unternehmen stehen heute vor der Herausforderung, unterschiedliche Anforderungen aus Informationssicherheit, Datenschutz und branchenspezifischen Standards nicht nur zu erfüllen, sondern sinnvoll miteinander zu verzahnen. Gerade NIS2, TISAX und die DSGVO zeigen, wie eng regulatorische Vorgaben, technische Schutzmaßnahmen und organisatorische Prozesse miteinander verbunden sind. Wer diese Anforderungen einzeln betrachtet, riskiert Doppelarbeit, Medienbrüche und uneinheitliche Nachweise. Ein integrierter Ansatz schafft hier deutlich mehr Klarheit, Effizienz und Steuerbarkeit.

Gemeinsame Basis statt paralleler Systeme

Ob NIS2, TISAX oder Datenschutz: Im Kern geht es fast immer um denselben Grundgedanken – Informationen, Prozesse und Lieferketten wirksam zu schützen. Die Unterschiede liegen vor allem in der Sprache der Regelwerke, den jeweiligen Schwerpunkten und den konkreten Nachweisanforderungen. Genau deshalb lohnt es sich, die Anforderungen nicht isoliert umzusetzen, sondern in ein gemeinsames Managementsystem zu überführen. Ein solides Informationssicherheits-Managementsystem auf Basis der ISO 27001 kann dafür das Rückgrat bilden.

Die ISO 27001 bietet mit ihrem risikobasierten Ansatz, klaren Verantwortlichkeiten und dokumentierten Prozessen einen Rahmen, der sich gut auf weitere Anforderungen ausdehnen lässt. So können technische und organisatorische Maßnahmen aus der DSGVO, branchenspezifische Vorgaben aus TISAX und die erweiterten Cybersecurity-Pflichten aus NIS2 in einer konsistenten Struktur zusammengeführt werden. Das reduziert Redundanzen und verbessert die Nachweisfähigkeit.

Typische Beispiele aus der Praxis

Besonders anschaulich wird der Nutzen integrierter Compliance an konkreten Anwendungsfeldern. In der Energiewirtschaft etwa treffen verschiedene Regelwerke aufeinander: der IT-Sicherheitskatalog nach § 11 EnWG, branchenspezifische Sicherheitsstandards, NIS2, ISO 27001 und ISO 27019, KRITIS-Vorgaben, Datenschutzrecht, Business-Continuity-Management und teilweise auch technische Sicherheitsmanagementsysteme. Diese Vielfalt führt schnell zu parallelen Prüfungen, unterschiedlichen Verantwortlichkeiten und hohem Dokumentationsaufwand.

Ein integriertes Vorgehen setzt hier auf gemeinsame Kontrollpunkte, abgestimmte Rollen und eine einheitliche Governance. Statt jede Anforderung separat zu pflegen, werden Überschneidungen systematisch zusammengeführt. So kann etwa ein zentrales Risikomanagement gleichzeitig Anforderungen aus Informationssicherheit, Krisenresilienz und Lieferketten-Compliance bedienen. Auch gemeinsame Audits werden dadurch realistischer und effizienter.

Erfolgsfaktoren der Integration

Damit integrierte Compliance funktioniert, braucht es mehr als nur eine gute Absicht. Entscheidend ist zunächst ein sauberes Anforderungs-Mapping, also die strukturierte Zuordnung von Pflichten, Kontrollen und Nachweisen aus verschiedenen Regelwerken. Auf dieser Basis lassen sich gemeinsame Kontrollrahmen entwickeln, die fachlich tragfähig und organisatorisch praktikabel sind.

Ebenso wichtig ist eine einheitliche Governance. Wenn Rollen, Verantwortlichkeiten und Berichtslinien nicht klar definiert sind, entstehen Lücken zwischen Fachbereichen, Informationssicherheit, Datenschutz und Management. Hinzu kommt die technische Unterstützung: Zentrale GRC- oder ISMS-Tools helfen, Maßnahmen, Nachweise und Risikoanalysen konsistent zu dokumentieren. So wird aus einem komplexen Anforderungsgemisch ein steuerbares System.

Datenschutz als Integrationsbeispiel

Ein gutes Beispiel für das Zusammenspiel von Datenschutz und Informationssicherheit ist das Löschkonzept. Die DSGVO verlangt, dass personenbezogene Daten nicht länger als notwendig aufbewahrt werden und nach Wegfall des Zwecks ordnungsgemäß gelöscht werden. In der Praxis braucht es dafür klare Regeln zu Datenarten, Löschfristen, Verantwortlichkeiten, Verfahren und Dokumentation.

Genau hier zeigt sich der Mehrwert eines integrierten ISMS. Löschkonzepte lassen sich mit bestehenden Kontrollen zur Informationsklassifizierung, Archivierung, Berechtigung und Incident-Bearbeitung verbinden. Datenschutz wird dadurch nicht als separate Sonderaufgabe behandelt, sondern als Teil eines durchgängigen Sicherheits- und Governance-Modells. Das erleichtert die Umsetzung und stärkt zugleich die Rechenschaftsfähigkeit.

TISAX und NIS2 im Zusammenspiel

Auch TISAX und NIS2 profitieren von einer integrierten Sichtweise. TISAX stellt in der automobilen Lieferkette besondere Anforderungen an Informationssicherheit, etwa beim Schutz von Prototypen, bei der Steuerung von Dienstleistern und bei der Klassifizierung sensibler Informationen. NIS2 erweitert den Fokus zusätzlich auf Cybersecurity-Risikomanagement, Incident-Management, Business Continuity und Meldepflichten.

Viele dieser Themen sind bereits in einem gut aufgebauten ISMS angelegt. Wer also Risiken systematisch bewertet, Zugriffe sauber steuert, Lieferanten einbindet und Vorfälle strukturiert behandelt, schafft eine belastbare Basis für mehrere Anforderungen zugleich. Die branchenspezifischen Ergänzungen werden dann zu Erweiterungen eines bereits funktionierenden Rahmens statt zu einem zusätzlichen Parallelprojekt.

Zusammenarbeit als strategischer Hebel

NIS2 macht außerdem deutlich, dass Sicherheit heute nicht an der eigenen Unternehmensgrenze endet. Betreiber, Lieferanten, IT-Dienstleister und Behörden müssen enger zusammenarbeiten, um Sicherheitsvorfälle, Abhängigkeiten und Risiken beherrschbar zu machen. Gerade in regulierten Branchen entstehen dadurch neue Netzwerke und abgestimmte Vorgehensweisen, die über das einzelne Unternehmen hinausreichen.

Das ist nicht nur eine regulatorische Pflicht, sondern auch eine strategische Chance. Wer seine Partner in Sicherheits- und Compliance-Prozesse einbindet, verbessert die Transparenz entlang der Lieferkette und stärkt die Resilienz des eigenen Geschäftsmodells. Integrierte Compliance wird so zu einem Instrument moderner Unternehmenssteuerung.

Fazit

Integrierte Compliance reduziert Doppelarbeit, verbessert Nachweisführung und Governance, erhöht Sicherheitsreife und Resilienz und verwandelt regulatorischen Aufwand in strategischen Mehrwert.

Was Sie auch interessieren könnte:

Beiträge:

Beitragsreihe: TISAX® – Informationssicherheit im Detail Teil 1-8

Beitragsreihe: Datenschutz in ein bestehendes ISMS integrieren Teil 1-5

NIS2 Umsetzung in Deutschland: Risikomanagement

Ratgeber Informationssicherheit für Geschäftsführung

Seminare:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

„TISAX® – Informationssicherheit in der Automobilindustrie“

„Informationssicherheit für Vorstände und Geschäftsführer“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

Der Blick auf Informationssicherheit und Datenschutz verändert sich derzeit schneller als je zuvor. Neue regulatorische Anforderungen, technologische Entwicklungen und immer raffiniertere Angriffsmethoden stellen Unternehmen vor kontinuierliche Herausforderungen. Genau hier setzt unser aktueller Newsletter an.

In der neuesten Ausgabe beleuchten wir zentrale Entwicklungen, die für Verantwortliche in IT-Sicherheit, Datenschutz und Unternehmensführung unmittelbar relevant sind.

Ein besonderer Fokus liegt auf dem Paradigmenwechsel in der KRITIS-Regulierung. Die Anforderungen steigen nicht nur in der Tiefe, sondern auch in der Breite – und betreffen zunehmend mehr Organisationen. Wer frühzeitig versteht, wie sich regulatorische Erwartungen verändern, kann Risiken gezielt steuern und Wettbewerbsvorteile sichern.

Darüber hinaus widmen wir uns der wachsenden Bedeutung von OT-Security im Kontext von NIS2. Betriebstechnik rückt immer stärker in den Fokus der Sicherheitsstrategien und wird für CISOs zum Pflichtprogramm. Wir zeigen, warum klassische IT-Sicherheitsansätze hier nicht ausreichen und welche Maßnahmen jetzt entscheidend sind.

Ein weiteres zentrales Thema ist die datenschutzkonforme Nutzung von KI-Tools. Viele Unternehmen stehen vor der Frage, wie sich innovative Technologien rechtssicher einsetzen lassen. Wir geben einen praxisnahen Überblick über Anforderungen, Risiken und bewährte Best Practices für den unternehmensweiten Einsatz.

Und weil sich Bedrohungslagen ständig weiterentwickeln, greifen wir auch ein altbekanntes, aber immer aktuelles Thema auf: Phishing – in seiner gefühlt 3276sten Variante. Wir zeigen, wie sich Angriffe verändern, warum sie nach wie vor erfolgreich sind und wie Sie Ihre Organisation wirksam sensibilisieren können.

Unser Newsletter liefert Ihnen regelmäßig kompakte, praxisorientierte Einblicke in die wichtigsten Themen rund um Informationssicherheit und Datenschutz – verständlich aufbereitet und mit direktem Mehrwert für Ihre tägliche Arbeit.

Melden Sie sich jetzt an und bleiben Sie auf dem neuesten Stand: https://anmatho.de/neuigkeiten/newsletter/

Die Einführung von Künstlicher Intelligenz (KI) im Unternehmen verspricht Effizienz, automatisierte Analysen und kreative Unterstützung. Doch gerade in sensiblen Bereichen wie Energieversorgung, Verwaltung oder kritischer Infrastruktur ist Vorsicht geboten: KI kann nur dann ein Gewinn sein, wenn sie sicher, rechtskonform und gezielt eingesetzt wird.

Öffentliche KI vs. Eigene Unternehmens-KI

Der Unterschied zwischen öffentlicher KI (z. B. ChatGPT u.a.) und unternehmensintern trainierten Modellen ist entscheidend.

  • Öffentliche KI: Sie ist einfach nutzbar, aber es gibt Risiken beim Datenschutz und Urheberrecht. Zusätzlich können alle eingegebenen Daten zur Modellverbesserung (Trainingszwecken) verwendet werden.
  • Eigene KI / On-Premise KI: Läuft in der Unternehmensumgebung und ist ideal für sensible oder vertrauliche Informationen. Anbieter wie Microsoft Copilot in geschützter Azure-Umgebung oder OpenGPT Enterprise bieten entsprechende Schutzmechanismen.

Tipp: Prüfen Sie bei jeder Anwendung, wo Daten verarbeitet und gespeichert werden, wer Zugriff erhält, und welche Lizenzbedingungen gelten. Ein internes KI-Governance-Dokument ist Pflicht, ebenso ein Freigabeprozess für neue Tools.

Überprüfung von KI-Ergebnissen – wie geht das zuverlässig?

KI liefert gute Erstentwürfe, aber keine garantierten Wahrheiten.

  • Vier-Augen-Prinzip: Lassen Sie Ergebnisse durch Fachpersonen oder Compliance-Verantwortliche validieren.
  • Fact-Checking-Tools: Externer Quellenabgleich, z. B. über Google Fact Check Tools oder spezialisierte Tools zur Prüfung für technische Berechnungen helfen bei der Überprüfung von Ergebnissen.
  • Protokollierung: Jede KI-gestützte Entscheidung sollte dokumentiert werden (z. B. in einem Ticketsystem oder Audit-Trail).

Praxisbeispiel: Ein Stadtwerk nutzte KI zur Auswertung von Kundenfeedback. Die Ergebnisse waren zunächst irreführend, weil Dialekte als negative Kommentare erkannt wurden. Nach kurzer Feinjustierung durch ein menschliches Audit-Team stieg die Trefferquote der Analyse auf über 85 %.

KI und Urheberrecht bei Bildern

Bei der Nutzung KI-generierter Bilder besteht weiterhin das Risiko, dass Trainingsdaten Inhalte enthalten, die urheberrechtlich geschützt sind.

Geprüfte Anbieter:

  • Adobe Firefly: Ist nur mit eigenen Stockmaterialien trainiert und ist mit entsprechender kostenpflichtiger Lizensierung für die kommerzielle Nutzung erlaubt.
  • Getty Images Generative AI: Entwickelt mit vollständig eigenem Bildmaterial.
  • Midjourney, DALL·E 3: Bietet eine hohe Qualität, allerdings besteht eine rechtlich unsichere Lizenzlage für kommerzielle Zwecke.

Prüftipp: Nutzen Sie Tools wie „Have I Been Trained?“ zur Kontrolle, ob geschützte Bildinhalte in Trainingsdaten vorkommen.
Rechtlicher Hinweis: Nach EU-Urheberrechtsgesetz haftet der Ersteller, nicht der KI-Anbieter. „Unwissenheit schützt vor Strafe nicht.“

KI-Schutz für Diensthandys

Mit steigender mobiler KI-Nutzung wächst das Risiko für Datenabfluss.

Empfohlene Maßnahmen:

  • MDM-Lösung (Mobile Device Management) mit KI-Zugriffskontrolle.
  • Sperrung öffentlicher KI-Apps für dienstliche Nutzung, außer über geprüfte Unternehmenskanäle.
  • Einsatz von App-Sandboxing für KI-Chatfunktionen.
  • Schulungen für Mitarbeitende zu Datenschutz und KI-Nutzung auf Smartphones.

Basis-Schulung und Governance-Struktur

Jede KI-Anwendung braucht eine eigene Bewertung hinsichtlich:

  • Datenschutz (personenbezogene Daten, DSGVO)
  • Sicherheit (Training, Zugriff, Speicherung)
  • Lizenz- und Nutzungsrechte
  • Transparenz und Nachvollziehbarkeit

Für die Einführung empfiehlt sich eine zweistufige Schulung:

  1. Grundverständnis, was KI kann, wo liegen die Grenzen.
  2. Schulung auf das konkrete KI-Tool, was ist bei der Nutzung zu beachten, sprich welche Daten dürfen eingegeben werden, wie ist das Ergebnis zu prüfen usw.

Checkliste: Sicherer und effektiver KI-Einsatz im Unternehmen

Diese Checkliste dient als Leitfaden für die Bewertung, Einführung und regelmäßige Kontrolle von KI-Anwendungen.

  1. Strategische Vorbereitung
  • Zieldefinition: Welche konkreten Aufgaben soll die KI übernehmen (z.  Textanalyse, Prozessautomatisierung, Vorhersage)?
  • Welches Modell: Öffentliche KI oder On-Premise Lösung
  • Kosten-Nutzen-Abwägung: Wirtschaftlicher Mehrwert und bestehende Alternativen prüfen.
  • Governance-Festlegung: Verantwortlichkeiten, Freigabeprozess und Auditintervalle definieren.
  1. Datenschutz & Compliance
  • DSGVO-konform: Werden personenbezogene Daten verarbeitet? Wenn ja, mit Einwilligung oder Berechtigungsgrundlage.
  • Datentransfer prüfen: Fließen Daten außerhalb des europäischen Rechtsraums (z.B.  über Cloud-API)?
  • Vertragliche Vereinbarungen: Lizenzbedingungen, Datenschutzerklärungen und Nutzungsrechte dokumentieren.
  • Audit-Trail: Ergebnisse der KI müssen nachvollziehbar und nachprüfbar gespeichert werden.
  1. Informationssicherheit
  • Zugriffsrechte: KI-Anwendungen nur für autorisierte Mitarbeitende zugänglich.
  • MDM-Integration: Diensthandys und mobile Geräte über zentrale Sicherheitssteuerung schützen.
  • Cloud-Sicherheit: Verschlüsselung und separate Datenräume („Data Sovereignty Zones“) verwenden.
  • Incident Response: KI-Einsatz im Notfallplan bzw. ISMS berücksichtigen.
  1. Qualitätskontrolle der KI-Ergebnisse
  • Vier-Augen-Prinzip: Fachliche Review der durch KI erstellten Inhalte oder Analysen.
  • Bias-Tests: Gibt es systematische Verzerrungen in den Ergebnissen?
  • Regelmäßiges Retraining: Modelle regelmäßig mit aktuellen, validierten Daten füttern.
  • Dokumentation: KI-Version, Trainingszeitpunkt und Quellen eindeutig vermerken.
  1. Urheberrecht & Inhaltssicherheit
  • Bilder und Textquellen prüfen: Nur freigegebene oder eigens erstellte Inhalte verwenden.
  • KI-Tool auswählen: Bevorzugt Anbieter mit transparenten Trainingsdaten.
  • Rechtsprüfung: Vor Publikation oder Produktivsetzung durch Juristen oder Compliance-Teams prüfen lassen.
  • Beweisführung: Bei generativen Inhalten immer Herkunftsnachweis (Source Tag) abspeichern.
  1. Schulung & Awareness
  • Mitarbeiterschulung: Grundlagen der KI-Nutzung, Datenschutz und rechtliche Risiken.
  • Praxisübungen: „Gute vs. riskante“ KI-Beispiele durchspielen.
  • Rollenbezogene Trainings: Fachbereiche lernen, KI-Ergebnisse korrekt zu hinterfragen.
  • Kommunikation: Interne Richtlinie zur Nutzung öffentlicher KI-Systeme veröffentlichen.

Whitepaper und Checklisten finden Sie z. B. auch bei:

Was Sie auch interessieren könnte:

Seminar:

“KI im Unternehmen – Rechtliche Anforderungen und praktische Umsetzung”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “YouTube“ sowie natürlich auf unserer Website.

Hören Sie rein!

 

In meinen Jahren als Datenschutzbeauftragter habe ich immer wieder erlebt, dass nicht nur große Systemfehler oder Cyberangriffe, sondern gerade kleine, unscheinbare Nachlässigkeiten häufig den Auslöser für einen Datenschutzvorfall darstellen – genau darum soll es in diesem Praxisbeispiel gehen.

In einer mittelgroßen Organisation gehörte es seit vielen Jahren zur gängigen Praxis, Sitzungen der Leitungsebene mit einem Diktiergerät aufzuzeichnen. Die Absicht war zunächst pragmatisch: Diskussionen sollten später leichter protokolliert werden können. Das Gerät wurde regelmäßig auf Sitzungen genutzt.

Im Laufe der Jahre entwickelte sich daraus ein routinierter, jedoch kaum hinterfragter Prozess. Die Aufzeichnungen enthielten eine Vielzahl sensibler Inhalte: Personalangelegenheiten, strategische Planungen, finanzielle Entscheidungen, sowie vereinzelt auch personenbezogene Daten von Mitarbeitenden und externen Partnern.

Das Diktiergerät selbst war ein einfaches, handelsübliches Modell ohne Verschlüsselung. Weder war der Zugriff durch ein Passwort geschützt, noch existierte eine systematische Löschroutine. Die gespeicherten Dateien sammelten sich über Jahre hinweg auf dem Gerät. Eine formelle Regelung zur Aufbewahrung oder zur datenschutzkonformen Verarbeitung der Aufnahmen existierte nicht.

Aus Sicht der Informationssicherheit stellte dies mehrere strukturelle Schwachstellen dar. Es fehlten grundlegende organisatorische und technische Maßnahmen im Sinne der Schutzziele der Informationssicherheit – insbesondere hinsichtlich Vertraulichkeit und Integrität. Auch eine Risikoanalyse oder eine Klassifizierung der enthaltenen Informationen war nie durchgeführt worden.

Als wieder eine Sitzung aufgezeichnet werden sollte fiel auf, dass das Diktiergerät fehlte. Zunächst wurde ein Verlegen vermutet, doch nach kurzer Suche wurde klar: Das Gerät war gestohlen worden.

Mit einem Schlag wurde deutlich, welche Tragweite dieser Verlust haben konnte. Auf dem Gerät befanden sich viele Stunden von Sitzungsaufzeichnungen aus mehreren Jahren. Viele davon enthielten vertrauliche und schützenswerte Daten verschiedenster Ausprägung.

Aus rechtlicher Perspektive ergaben sich sofort mehrere Problemfelder:

Nach der Datenschutz-Grundverordnung (DSGVO) hätte die Organisation geeignete technische und organisatorische Maßnahmen gemäß Artikel 32 implementieren müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu zählen beispielsweise Verschlüsselung, Zugriffsbeschränkungen und klare Aufbewahrungsregelungen.

Darüber hinaus verlangt Artikel 5 der DSGVO das Prinzip der Datenminimierung und der Speicherbegrenzung. Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind. In diesem Fall hätte nach Erstellung eines schriftlichen Protokolls eine zeitnahe Löschung der Audiodateien erfolgen müssen.

Auch eine Rechtsgrundlage für die Aufzeichnung der Gespräche wäre zu dokumentieren gewesen. Bei Sitzungen mit personenbezogenen Daten ist regelmäßig eine transparente Information der Betroffenen erforderlich. Zudem stellt sich die Frage, ob überhaupt eine Notwendigkeit bestand, vollständige Audioaufnahmen dauerhaft zu speichern.

Mit dem Diebstahl entstand schließlich ein Datenschutzvorfall im Sinne von Artikel 4 Nr. 12 DSGVO – eine Verletzung des Schutzes personenbezogener Daten. Daraus folgte eine weitere Verpflichtung: Die Organisation musste prüfen, ob eine Meldung an die zuständige Aufsichtsbehörde erforderlich war.

Parallel dazu stellte sich eine weitere Frage:

Hätte der Vorfall durch grundlegende Maßnahmen der Informationssicherheit verhindert werden können?

Die Antwort lautete eindeutig: ja.

Bereits einfache Maßnahmen hätten das Risiko erheblich reduziert. Dazu gehörten:

  • Verwendung eines verschlüsselten Aufnahmegeräts
  • Zugriffsschutz durch PIN oder Authentifizierung
  • sichere Aufbewahrung in einem abgeschlossenen Schrank
  • definierte Löschfristen für Aufzeichnungen
  • eine dokumentierte Datenschutz- und Informationssicherheitsrichtlinie
  • Sensibilisierung der Mitarbeitenden für den Umgang mit vertraulichen Informationen

Was als kleines Hilfsmittel für die Protokollführung begonnen hatte, entwickelte sich rückblickend zu einem exemplarischen Fall dafür, wie alltägliche Bequemlichkeit über Jahre hinweg zu erheblichen Datenschutzrisiken führen kann. In der Praxis sind es häufig nicht komplexe Cyberangriffe, sondern unscheinbare organisatorische Versäumnisse, die sensible Informationen gefährden.

Die eigentliche Ursache lag nicht im Diebstahl selbst, sondern in der fehlenden Umsetzung grundlegender Prinzipien des Datenschutzes und der Informationssicherheit.

Das verschwundene Diktiergerät ist bis heute nicht wieder aufgetaucht.

Die neueste Ausgabe unseres Datenschutz-Newsletters ist ab sofort verfügbar. Auch dieses Mal erwarten Sie spannende und praxisrelevante Themen rund um Datenschutz:

  • Unser ANMATHO-Forum – am 17.03.2026 im Business-Club Hamburg Anmeldung

  • Digitaler Omnibus: Welche Auswirkungen hat der aktuelle Entwurf auf den Datenschutz in der EU?

  • Microsoft Teams: Welche Risiken entstehen bei der Transkription von Meetings, und worauf sollten Unternehmen achten?

Registrieren Sie sich noch heute für unseren Newsletter und erhalten Sie quartalsweise einen kompakten Überblick über aktuelle Entwicklungen, praxisnahe Empfehlungen und relevante News aus Datenschutz und Informationssicherheit.

👉 Hier anmelden für den ANMATHO-Newsletter

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der EU-Datenschutztag: Rückblick, Status quo und Ausblick auf 2026

Der 28. Januar ist in Europa mehr als nur ein Termin im Kalender: Er erinnert daran, dass der Schutz personenbezogener Daten längst ein strategisches Thema für Unternehmen, Behörden und jede einzelne Person geworden ist. Der Europäische Datenschutztag bietet jährlich Anlass, innezuhalten, die Entwicklung der letzten Jahre zu betrachten und den Blick nach vorne zu richten. Genau das tun wir in unserem aktuellen Podcast.

Im Gespräch beleuchten wir kurz die wichtigsten Meilensteine – vom Volkszählungsurteil über die DSGVO bis hin zur internationalen Rolle des europäischen Datenschutzmodells – und leiten daraus über zu den

Datenschutz-Schwerpunkten in 2026

  1. Künstliche Intelligenz und Datenverarbeitung

  2. Aufsichtsbehörden kontrollieren verstärkt die Einhaltung von Betroffenenrechten

  3. Cloudnutzung und Drittlandtransfers

  4. Vernetzte Produkte

Hören Sie rein!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “YouTube” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

2025 war ein Jahr der Weichenstellungen – nicht spektakulär, aber entscheidend. In der neuen Podcast-Folge blicken wir auf die wichtigsten Entwicklungen in Informationssicherheit und Datenschutz zurück und werfen einen fundierten Blick auf das, was 2026 bringen wird.


Vom Warten zum Handeln – NIS2 ist da

Lange war es Thema in der Branche, jetzt ist es Realität: Das NIS2-Umsetzungsgesetz wurde verabschiedet. Damit steigt die Zahl der Unternehmen, die sich künftig strukturierter mit Informationssicherheit beschäftigen müssen, erheblich.
Wir erklären im Podcast, warum 2026 das Jahr sein wird, in dem viele Organisationen wirklich beginnen, ihre Pflichten aus NIS2 umzusetzen – mit Themen wie RisikomanagementBusiness Continuity und der Schulung der Geschäftsleitungen.


Datenschutz unter Druck? Der digitale Omnibus

Auch im Datenschutzrecht wird es interessant: Der sogenannte digitale Omnibus der EU soll verschiedene Digitalgesetzgebungen zusammenführen und davon ist auch die DSGVO betroffen.
Doch die Meinungen gehen auseinander – während die einen die Vereinfachung begrüßen, warnen andere vor einer Aufweichung des Datenschutzes. Im Podcast beleuchten wir, welche Änderungen denkbar sind und wo sich Chancen für praxisnähere Regelungen eröffnen könnten.


Künstliche Intelligenz: Zwischen Innovation und Risiko

Kaum ein Thema hat 2025 so stark geprägt wie künstliche Intelligenz. Ob beim Schutz sensibler Daten, in Angriffsszenarien oder im Unternehmensalltag – KI verändert die Spielregeln grundlegend.
Klar ist – KI ist gekommen, um zu bleiben.


Awareness bleibt der beste Schutz

Einig sind sich wohl alle: Technologie allein reicht nicht. Schulung und Sensibilisierung der Mitarbeitenden bleiben die letzte Verteidigungslinie gegen Sicherheitsvorfälle und Datenschutzverletzungen.
Der Podcast liefert praxisnahe Einblicke, wie Unternehmen zielgruppenorientierte Awareness-Programme gestalten und Informationssicherheit und Datenschutz dabei sinnvoll miteinander verzahnen können.


Aus der Praxis – und mit Blick in die Zukunft

Neben der Gesetzgebung geht es im Gespräch auch um aktuelle Entwicklungen in der Beratung: etwa die steigende Bedeutung interner Audits im ISMS und die Vorteile externer Sichtweisen.
Und ein Blick nach vorn darf nicht fehlen: 2026 steht beim ANMATHO-Forum (17. März) das Thema Risikomanagement im Fokus. Dort treffen sich erneut Expertinnen und Experten zum Erfahrungsaustausch und zur Diskussion praxisorientierter Lösungen.


Jetzt reinhören!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Im Oktober 2025 ist die neue Version der ISO 27701 erschienen, zunächst nur in englischer Sprache. Da die rechtlichen Anforderungen aus dem Datenschutz sich seit dem Erscheinen der DIN EN ISO/IEC 27701:2021 nicht wesentlich geändert haben, bringt diese Version der Norm wenig inhaltliche Neuerungen mit sich. Umso größer sind die strukturellen Änderungen.

Eigenständiges Managementsystem

Im Artikel “Informationssicherheit und Datenschutz – mit der ISO 27701 Synergien nutzen und die Wettbewerbsfähigkeit stärken” und in der Artikelserie “Datenschutz in ein bestehendes ISMS integrieren” habe ich beschrieben, wie der Datenschutz mit Hilfe der DIN ISO 27701:2021 in ein bestehendes ISMS nach ISO 27001 integriert werden kann. Die ISO 27701:2025 beschreibt jetzt ein eigenständiges Datenschutz-Managementsystem (DSMS). Dies ist die wesentliche Neuerung in dieser Version. Die Struktur der Norm folgt nun der Harmonized Structure (vormals High Level Structure) der ISO-Managementnormen.

Inhaltlich sind natürlich immer noch viele technische und organisatorische Maßnahmen (TOM) des Datenschutzes ebenso Maßnahmen der Informationssicherheit. Der Überschneidungsbereich ist groß. Der Ansatz eines integrierten Managmentsystemes ist daher nach wie vor ratsam und wird von der Harmonized Structure unterstützt.

Die Datenschutzfolgenabschätzung findet sich jetzt im Kapitel 6.1.2, die Datenschutz-Risikobehandlung in Kapitel 6.1.3. Damit werde ich mich in einem späteren Blog-Beitrag beschäftigen.

Die ISO 27701:2025 verfügt über zwei normative Anhänge. Anhang A beschreibt Referenzmaßnahmenziele und Maßnahmen für verantwortliche Stellen und Auftragsverarbeiter, Anhang B gibt Umsetzunghinweise. Dabei werden im wesentlichen die Kapitel 6, 7 und 8 der DIN ISO 27701:2021 zusammengefasst und von den Normen für Informationssicherheit (ISO 27001 und ISO 27002) unabhängig gestaltet. Auf die Details werde ich ebenfalls in einem späteren Blog-Artikel eingehen.

Wie es weiter geht

In einem der nächsten Artikel werde ich mich detailliert mit der neuen ISO 27701:2025 auseienander setzen, u.a. mit der Beziehung zwischen Risikomanagement und Datenschutzfolgeabschätzung.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast” und “Spotify” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heute ohne externe Partner und Dienstleister aus. Doch genau hier lauern Risiken – für Qualität, Informationssicherheit und Datenschutz. In unserer neuen Podcast-Folge zeigen wir, warum Lieferantenmanagement in allen Managementsystemen eine entscheidende Rolle spielt und wie Unternehmen von einem integrierten Ansatz profitieren.

Unsere Experten zeigen, dass Lieferantenbewertungen weit über ein reines „Pflichtprogramm“ hinausgehen und als strategisches Element für den Unternehmenserfolg gelten. Nicht nur die ISO 9001 für Qualitätsmanagement, sondern auch die ISO 27001 für Informationssicherheit sowie die DSGVO stellen zentrale und verbindliche Anforderungen an Lieferanten, insbesondere bei der Verarbeitung sensibler und personenbezogener Daten. Dabei sind vielfältige Kriterien zu berücksichtigen: Von der Austauschbarkeit und Kritikalität eines Lieferanten bis hin zu Fragen wie dem Datentransfer ins Ausland sowie dem Umgang mit Service-Level-Agreements und Vertraulichkeitsvereinbarungen. Regelmäßige Audits sowie transparente Kommunikation und Leistungsüberwachung bilden die Basis für eine sichere und erfolgreiche Zusammenarbeit mit externen Partnern – sie helfen dabei, aktuelle Risiken frühzeitig zu erkennen und die Qualität und Sicherheit dauerhaft zu gewährleisten.

Die Episode lohnt sich für alle, die in Qualitätsmanagement, Informationssicherheit, Datenschutz, Einkauf oder Projektmanagement Verantwortung tragen – und die sicherstellen wollen, dass externe Partner wirklich Mehrwert schaffen und keine Risiken verursachen.

Hier ein Paar Links die zum Thema „Lieferantenmanagement – Schlüsselfaktor für Qualität, Informationssicherheit und Datenschutz“ nützlich sein können:

Hören Sie rein und erfahren Sie, wie Sie Lieferantenmanagement als strategischen Erfolgsfaktor nutzen können!

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Personaldaten sind der Schatz jedes Unternehmens – und gleichzeitig eine große Verantwortung. In unserer aktuellen Podcastfolge „Datenschutz im Bewerbungsprozess“ (aufgenommen am 16.09.2025) sprechen die Experten praxisnah darüber, wie Unternehmen den Schutz von Bewerberdaten sicher und DSGVO-konform umsetzen können.

Ob Start-up oder Großkonzern: Wer heute Bewerbungen bearbeitet, verarbeitet hochsensible personenbezogene Daten. Die Podcastfolge geht darauf ein, warum Datenschutz von Beginn an bei jedem Schritt wichtig ist und wie Risiken im Alltag wirklich vermieden werden können.

Was erwartet die Hörer in dieser Episode?

  • Überblick zu den drei zentralen Prinzipien der DSGVO im Bewerbungsprozess: Datenminimierung, Zweckbindung, Speicherbegrenzung.

  • Konkrete Handlungsempfehlungen für den Umgang mit “zu vielen” oder “unnötigen” Bewerberdaten.

  • Wie lange dürfen Unternehmen Bewerbungsunterlagen aufbewahren – und was ist mit dem Talentpool?

  • Tipps für technische und organisatorische Schutzmaßnahmen, von verschlüsselten Zugängen bis zu klaren Zugriffsrechten.

  • Umgang mit sensiblen Informationen, die Bewerber freiwillig mitteilen – und warum manche Daten gelöscht werden sollten.

  • Kommunikation und Schulung: Warum interne Richtlinien und bewusste Informationsweitergabe entscheidend sind.

  • Besonderheiten bei digitalen Bewerbungsgesprächen und dem Einsatz von KI.

  • Praxistipps zur Einwilligung, Löschung und zur transparenten Kommunikation mit Bewerbern.

Warum die Folge jetzt hören?

Der Podcast liefert wertvolle Tipps für Personalverantwortliche, Datenschutzbeauftragte und alle, die im Recruiting Prozess mit Bewerberdaten arbeiten. Die Experten zeigen, wie Unternehmen rechtliche Stolperfallen vermeiden, digitale Tools sicher nutzen und Datenschutz als Teil einer professionellen Unternehmenskultur leben. Das ist nicht nur Pflicht, sondern echtes Zeichen für Wertschätzung und Vertrauen!

Hören Sie rein – um den Bewerbungsprozess fit für die DSGVO zu machen!

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

© ANMATHO AG