0 Warenkorb

DSGVO und ISO 27001 in der Praxis meistern

Autor: Roman Mayr

DSGVO und ISO 27001 in der Praxis meistern

IT-Sicherheit & Compliance ·

Die Einhaltung von DSGVO und ISO 27001 ist entscheidend für den Schutz von Unternehmensdaten und die rechtliche Absicherung von KMUs. Beide Anforderungen bieten einen strukturierten Ansatz zur Sicherung personenbezogener Daten und zur Gewährleistung der Informationssicherheit. Doch häufig treten typische Fehler auf, die die Compliance gefährden können.

Fehler 1: Fehlende Risikobewertung

Ein häufig auftretender Fehler in der Umsetzung von ISO 27001 besteht darin, auf eine umfassende Risikobewertung zu verzichten. Viele Unternehmen führen entweder gar keine oder nur oberflächliche Risikobewertungen durch. Dadurch bleiben wichtige Bedrohungen unentdeckt und unkontrolliert, was die Wirksamkeit des gesamten Informationssicherheitsmanagementsystems (ISMS) kompromittiert.

Korrektur: Ein strukturiertes und dokumentiertes Verfahren zur Risikobewertung sollte eingeführt werden. Dies umfasst die Identifikation von Bedrohungen und Schwachstellen sowie die Bewertung ihrer Folgen und Wahrscheinlichkeit. Es ist sinnvoll, regelmässige Überprüfungen und Aktualisierungen der Risikobewertung in den Geschäftsprozess zu integrieren, um auf veränderte Bedrohungslagen oder Geschäftsprozesse zu reagieren.

Fehler 2: Unvollständige oder veraltete Datenschutzerklärungen

Im Bereich der DSGVO sind unvollständige oder veraltete Datenschutzerklärungen ein häufiges Problem. Viele Unternehmen aktualisieren ihre Datenschutzerklärung nicht regelmässig oder vernachlässigen wichtige Informationen wie den Verarbeitungszweck oder die Rechte betroffener Personen.

Korrektur: Unternehmen sollten sicherstellen, dass die Datenschutzerklärung alle notwendigen Informationen enthält und regelmässig überprüft wird. Dazu gehört die klare Darstellung, welche Daten zu welchem Zweck erhoben werden, wer Zugang zu diesen Daten hat und welche Rechte die betroffenen Personen haben. Eine vierteljährliche Überprüfung der Datenschutzerklärung kann dabei helfen, eventuelle Änderungen im Datenfluss oder in den gesetzlichen Anforderungen zu berücksichtigen.

Fehler 3: Unzureichendes Bewusstseinstraining

Ein weiteres Problem besteht in der unzureichenden Schulung und Sensibilisierung der Mitarbeitenden. Häufig wird eine initiale Schulung durchgeführt, doch fehlt eine kontinuierliche Sensibilisierung, was zu einem Rückfall in unsichere Praktiken führen kann.

Korrektur: Es ist ratsam, regelmässige Schulungen und Workshops zur Informationssicherheit und dem Datenschutz zu veranstalten. Dies kann sowohl die Mitarbeitenden in ihrer täglichen Arbeit unterstützen als auch zu einer Kultur der Sicherheitsbewusstseins beitragen. Hierbei sollten aktuelle Bedrohungen und Sicherheitsmassnahmen praxisnah vermittelt werden.

Handlungsanleitung für die nächsten 14–30 Tage


  1. Start Risikobewertung: Identifizieren Sie in den ersten zwei Wochen alle relevanten Risiken und Schwachstellen in Ihrer IT-Infrastruktur. Dokumentieren Sie ihre Evaluation und priorisieren Sie die Massnahmen zur Risikoreduzierung.
  2. Aktualisierung der Datenschutzerklärung: Überarbeiten Sie Ihre Datenschutzerklärung in der dritten Woche. Stellen Sie sicher, dass sie alle gesetzlichen Anforderungen erfüllt und klar verständlich ist.
  3. Sensibilisierungsoffensive: Entwickeln Sie ein Schulungskonzept und führen Sie mindestens zwei Workshops zur Informationssicherheit und zum Datenschutz innerhalb der nächsten vier Wochen durch.

Mit diesen Schritten erhöhen Sie die Wahrscheinlichkeit, die Anforderungen von DSGVO und ISO 27001 nicht nur zu erfüllen, sondern auch dynamisch an Veränderungen im Unternehmen anzupassen. Ein regelmässiger Überprüfungsrhythmus und die Einbindung aller Mitarbeitenden sind dabei von zentraler Bedeutung.