0 Warenkorb

DSGVO und ISO 27001 in der Praxis

Autor: Roman Mayr

DSGVO und ISO 27001 in der Praxis

IT-Sicherheit & Compliance ·

Die Erfüllung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) und der Norm ISO 27001 ist für viele Schweizer KMU unerlässlich, um den Schutz personenbezogener Daten zu gewährleisten und Informationssicherheitsrisiken effektiv zu managen. Der folgende Artikel beleuchtet häufige Fehler bei der Umsetzung und gibt klare Anleitungen für die nächsten Schritte zur Verbesserung der Compliance in den kommenden Wochen.

Typische Fehler und deren Korrektur

Unzureichende Risikobewertung: Ein häufig anzutreffender Fehler ist die Unterschätzung der Bedeutung einer umfassenden Risikobewertung. Unternehmen verlassen sich oftmals auf Standardlösungen, die nicht spezifisch auf ihre individuellen Risiken zugeschnitten sind. Dadurch werden potenzielle Gefahren nicht ausreichend identifiziert und adressiert. Um dies zu korrigieren, sollte jedes Unternehmen eine massgeschneiderte Risikobewertung durchführen, die alle relevanten Bedrohungen und Schwachstellen berücksichtigt und spezifische Schutzmassnahmen ableitet.

Fehlende Bewusstseinsbildung bei Mitarbeitern: Ein weiterer Essenzfehler ist das Versäumnis, Mitarbeiterinnen und Mitarbeiter ausreichend über die Bedeutung der DSGVO und ISO 27001 zu informieren. Ohne ein fundiertes Verständnis und Bewusstsein im Team bleibt die Einhaltung der Richtlinien lückenhaft. Um dieses Defizit zu beheben, sind regelmässige Schulungen und Informationskampagnen notwendig, die das Bewusstsein für Datenschutz und Informationssicherheit im gesamten Unternehmen stärken.

Mangelhafte Dokumentation: Eine lückenhafte Dokumentation der Datenschutz- und Sicherheitsmassnahmen führt oft zu Schwierigkeiten bei der Compliance-Bewertung. Ohne ordnungsgemässe Aufzeichnungen ist es nahezu unmöglich, die Einhaltung der Standards nachzuweisen. Korrekturmassnahmen beinhalten die Einführung eines klaren Dokumentationsprozesses, der alle Policies, Verfahren und Änderungen nachvollziehbar und aktuell hält.

Handlungsanleitung für die nächsten 14–30 Tage


  1. Durchführung einer umfassenden Risikobewertung: Planen Sie die Durchführung einer detaillierten Risikobewertung. Identifizieren Sie alle relevanten Prozesse, Datenbestände und technischen Einrichtungen. Erfassen Sie potenzielle Schwachstellen und entwickeln Sie spezifische Massnahmen zur Risikoabwehr. Setzen Sie eine 14-tägige Frist für die Fertigstellung dieses Schritts.
  2. Schulungsprogramm etablieren: Entwickeln Sie ein Schulungsprogramm, das alle Mitarbeitenden auf den neuesten Stand bezüglich der DSGVO und ISO 27001 bringt. Innerhalb von 30 Tagen sollte mindestens eine initiale Schulungsveranstaltung durchgeführt werden, mit zusätzlichen Informationseinheiten als laufender Prozess.
  3. Dokumentationsstrategie anpassen: Überprüfen und aktualisieren Sie Ihre derzeitige Dokumentationspraxis. Innerhalb von zwei Wochen sollten erste Anpassungen vorgenommen werden, um sicherzustellen, dass alle relevanten Prozesse eindeutig dokumentiert und nachvollziehbar sind. Implementieren Sie ein kontinuierliches Überwachungssystem zur Sicherstellung aktueller Dokumentation.

Diese Schritte bieten eine solide Grundlage für die Erfüllung der Anforderungen der DSGVO und ISO 27001. Eine konsequente Umsetzung hilft nicht nur, gesetzliche Vorgaben zu erfüllen, sondern steigert auch das Vertrauen und die Sicherheit Ihrer Geschäftspartner und Kunden.