Was regelt die DSGVO und welche Bedeutung hat sie?

Die DSGVO (Verordnung (EU) 2016/679)  regelt vor allem, unter welchen rechtlichen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Transparenz- und Dokumentationspflichten Unternehmen haben und welche Rechte Betroffene gegenüber Verantwortlichen geltend machen können (sog. „Betroffenenrechte“). Sie definiert ein umfassendes System aus Rechtsgrundlagen (Art. 6), Schutzmaßnahmen (Art. 25, 32), Risikoabwägungen (Art. 35) und Kontrollmechanismen (Art. 30, 33), das europaweit ein einheitliches Datenschutzniveau sicherstellen soll. Damit schafft die DSGVO nicht nur einen verpflichtenden Rechtsrahmen, sondern bildet auch die Grundlage für Vertrauen in digitale Geschäftsmodelle, Cloud-Anwendungen und datenbasierte Services. Die Verordnung gilt dabei für alle Unternehmen, die Daten von EU-Bürgern verarbeiten – unabhängig vom Unternehmenssitz.

Wichtige Grundprinzipien der DSGVO

Die Grundprinzipien sind das Fundament der gesamten Verordnung: Sie geben vor, wie jede Verarbeitung (rechtlich) auszurichten ist, und dienen Aufsichtsbehörden als Maßstab, um die Rechtmäßigkeit und Angemessenheit datenschutzrelevanter Prozesse zu beurteilen. Allerdings geben die Grundprinzipien keine Hinweise auf konkrete technische Implementierungen oder die Art und Weise der genauen Datenverarbeitung.
(Grundprinzipien gemäß Art. 5 DSGVO):

• Rechtmäßigkeit, Transparenz und Fairness (Art. 5 Abs. 1 lit. a): Verarbeitung nur auf gültiger Rechtsgrundlage, nachvollziehbar für Betroffene.
• Zweckbindung (Art. 5 Abs. 1 lit. b): Daten dürfen nur für klar definierte Zwecke verarbeitet werden.
• Datenminimierung (Art. 5 Abs. 1 lit. c): Nur so viele Daten wie notwendig dürfen verarbeitet werden.
• Richtigkeit (Art. 5 Abs. 1 lit. d): Daten müssen korrekt und aktuell sein.
• Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Löschung, sobald Daten nicht mehr benötigt werden.
• Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f): Sicherheit durch technische und organisatorische Maßnahmen.
• Rechenschaftspflicht (Art. 5 Abs. 2): Verantwortliche müssen jederzeit nachweisen können, dass sie die Grundsätze einhalten.

Die Betroffenenrechte

Die DSGVO stellt den Schutz personenbezogener Daten in den Vordergrund, die bereits nach definitorischer Weise auf natürliche Personen zurückzuführen sind, demnach sprechen wir von „Betroffenen“ der Datenverarbeitung. Die im Rahmen der Verordnung festgelegten Betroffenenrechte stellen sicher, dass jede Person Kontrolle über ihre Daten behält und gegenüber Unternehmen wirksame Ansprüche auf Transparenz, Korrektur, Einschränkung oder Löschung durchsetzen kann. Unternehmen sind entsprechend verpflichtet, klare interne Abläufe zur Bearbeitung solcher Anfragen einzurichten.

Betroffenenrechte (Art. 12–22 DSGVO):

• Auskunftsrecht: Art. 15
• Recht auf Berichtigung: Art. 16
• Recht auf Löschung („Recht auf Vergessenwerden“): Art. 17
• Recht auf Einschränkung der Verarbeitung: Art. 18
• Datenübertragbarkeit: Art. 20
• Widerspruchsrecht: Art. 21
• Recht auf Nichtunterworfenheit gegenüber automatisierten Entscheidungen: Art. 22

Pflichten für Unternehmen

Unternehmen müssen die ihnen von der Datenschutz-Grundverordnung auferlegten Pflichten nicht nur formal erfüllen, sondern auch laufend überprüfen und dokumentieren, ob ihre Prozesse den gesetzlichen Anforderungen entsprechen. Dazu gehören regelmäßige Audits, Überwachung von Dienstleistern, Aktualisierung technischer Maßnahmen bei neuen Risiken sowie der Nachweis, dass Mitarbeitende angemessen geschult und Datenschutzrichtlinien im Alltag tatsächlich angewendet werden. Unternehmen haben dabei insbesondere die folgenden Pflichten:

• Verzeichnis von Verarbeitungstätigkeiten: Art. 30
• Datenschutz-Folgenabschätzung (DSFA): Art. 35
• Meldung von Datenschutzverletzungen: Art. 33 (72-Stunden-Regel)
• Benachrichtigung der Betroffenen: Art. 34
• Technische und organisatorische Maßnahmen (TOMs): Art. 32
• Datenschutz durch Technikgestaltung („Privacy by Design“): Art. 25
• Auftragsverarbeitung: Art. 28 (AV-Verträge)
• Bestellung eines Datenschutzbeauftragten: Art. 37–39

Rechtliche Einordnung

• Rechtsakt: EU-Verordnung 2016/679
• In Kraft: seit 25. Mai 2018
• Unmittelbar geltendes EU-Recht in allen Mitgliedstaaten (Art. 288 AEUV)
• Sanktionsrahmen: Art. 83 (bis 20 Mio. € oder 4 % Weltjahresumsatz)
• Regelungen zu Rechtsbehelfen und Haftung: Art. 77 – 82
• Ergänzt durch nationale Gesetze wie das BDSG in Deutschland

DSGVO im Vergleich zu ISO 27001

Auch wenn die Verordnung im direkten Vergleich mit der ISO27001 (international anerkannter Standard für Informationssicherheits-Managementsysteme) einige Gemeinsamkeiten aufweist, unterscheiden sich diese beiden Regelwerke dennoch erheblich. Im Vergleich zur DSGVO bietet ISO 27001 einen strukturierten Sicherheitsrahmen, während die DSGVO verbindlich vorgibt, was geschützt werden muss – ISO 27001 hingegen definiert wie dieser Schutz organisatorisch und auch technisch umgesetzt werden kann.

Ausrichtung:

• DSGVO: Verpflichtendes Datenschutzrecht (Art. 1–2)
• ISO 27001: Freiwilliger Sicherheitsstandard (ISMS)

Inhalte:

• DSGVO: Personenbezogene Daten, Betroffenenrechte (Art. 12–22), Rechtsgrundlagen (Art. 6)
• ISO 27001: Informationssicherheit, Risikoanalyse, Maßnahmenkatalog (Annex A)

Verbindlichkeit:

• DSGVO: Gesetz, Bußgelder gemäß Art. 83
• ISO 27001: Zertifizierung möglich, aber nicht vorgeschrieben

Beratung zur DSGVO durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der rechtssicheren Umsetzung der DSGVO und dem Aufbau nachhaltiger Datenschutzstrukturen. Dazu gehören die Erstellung von Verarbeitungstätigkeiten (Art. 30), die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35), die Entwicklung geeigneter technischer und organisatorischer Maßnahmen (Art. 32), die Bewertung von Auftragsverarbeitern (Art. 28), interne Richtlinien, Mitarbeiterschulungen rund um das Thema Datenschutz (auch im Kontext des EU AI Act) und Begleitung bei Datenschutzvorfällen gemäß Art. 33–34.

Auf Wunsch übernimmt Elsen GRC die Funktion des externen Datenschutzbeauftragten gemäß Art. 37–39.

Sprechen Sie mich gerne direkt an!

Bild: Immo Wegmann – Unsplash.com

Quellen:

1. Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung
2. Europäische Kommission – Data Protection
3. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der Beitrag DSGVO (Datenschutz Grundverordnung) – Definition & Bedeutung erschien zuerst auf ELSEN GRC.

Was regelt SOC 2 genau und welche Bedeutung hat es?

SOC 2 ist kein gesetzliches Regelwerk, sondern ein Audit-Standard des American Institute of Certified Public Accountants (AICPA). Er beschreibt, wie externe Prüfer (Certified Public Accountant, kurz CPAs) die internen Kontrollen eines Dienstleisters bewerten, die relevant für Sicherheit und Datenschutz seiner Kunden sind. Der Schwerpunkt liegt auf der Wirksamkeit von Prozessen und der verlässlichen Betriebsführung von Cloud-, SaaS- oder IT-Services. SOC 2 richtet sich daher an Unternehmen, die Kundendaten verarbeiten oder speichern und ihren Kunden einen Nachweis über ihre Sicherheitskontrollen liefern müssen.

Wichtige Grundprinzipien von SOC 2

Ein Grundprinzip von SOC 2 sind die sog. Trust Services Criteria (TSC). Denn TSC sind der zentrale Kontrollrahmen, auf dem SOC 2 basiert. Sie definieren die Anforderungen, anhand derer die Sicherheits- und Datenschutzmaßnahmen eines Unternehmens beurteilt werden. Die Kriterien gliedern sich in fünf Bereiche – Sicherheit, Verfügbarkeit, Integrität der Verarbeitung, Vertraulichkeit und Datenschutz – und beschreiben jeweils, welche organisatorischen, technischen und prozessualen Kontrollen ein Dienstleister implementieren muss, um ein verlässliches und sicheres Systemumfeld im Sinne von SOC 2 zu gewährleisten.

Fünf Kriterien von SOC 2:

• Security (Pflichtkriterium): Schutz vor unbefugtem Zugriff.
• Availability: Systeme sind wie zugesagt verfügbar.
• Processing Integrity: Daten werden korrekt und vollständig verarbeitet.
• Confidentiality: Schutz vertraulicher Informationen.
• Privacy: Umgang mit personenbezogenen Daten gemäß definierten Richtlinien.

SOC 2 Typ I vs. Typ II:

SOC 2 unterscheidet zwei Prüfformen: Typ I bewertet, ob die definierten Kontrollen eines Unternehmens zu einem bestimmten Stichtag angemessen gestaltet sind. Typ II geht einen Schritt weiter und prüft zusätzlich, ob diese Kontrollen über einen längeren Zeitraum, typischerweise sechs bis zwölf Monate, wirksam umgesetzt wurden. Während Typ I also eine Momentaufnahme darstellt, liefert Typ II den deutlich höheren Aussagewert, da er die tatsächliche Betriebspraxis und Verlässlichkeit der Sicherheitsmaßnahmen nachweist.

• Typ I: Bewertung des Kontroll-Designs zu einem bestimmten Stichtag.
• Typ II: Bewertung der Wirksamkeit der Kontrollen über einen Zeitraum (typisch: 6–12 Monate).

Weitere Aspekte:

• Individuelle Kontrollevaluierung: Unternehmen legen selbst fest, welche internen Kontrollen Bestandteil des SOC 2-Audits sind.
• Berichtsfokus: Der SOC 2-Bericht dient als Vertrauens- und Compliance-Nachweis für Kunden, Partner und interne Managemententscheidungen.

Praxisrelevanz

SOC 2 ist besonders für SaaS-Anbieter, Cloud-Plattformen, Hosting-Provider, IT-Dienstleister und alle Unternehmen relevant, die personenbezogene oder vertrauliche Daten für Kunden verarbeiten. Der Standard wird oft bei Ausschreibungen oder im B2B-Geschäft verlangt und dient als Qualitäts- und Risikonachweis (primär in den USA). Unternehmen nutzen SOC 2-Berichte, um Vertrauen zu schaffen, regulatorische Anforderungen abzudecken und die eigene Sicherheitslage dokumentiert zu verbessern.

Rechtliche Einordnung von SOC 2

SOC 2 ist kein Gesetz und keine regulatorisch vorgeschriebene Zertifizierung, sondern ein freiwilliger Audit- und Prüfstandard des amerikanischen Berufsverbands AICPA. Er besitzt daher keinen verbindlichen Rechtsstatus wie europäische Verordnungen (z. B. DSGVO, NIS-2). Dennoch hat SOC 2 weltweit hohe Bedeutung, weil viele Unternehmen – insbesondere Cloud- und SaaS-Anbieter – ihn als effektiven Compliance-Nachweis gegenüber Kunden, Partnern und Aufsichtsbehörden nutzen. SOC 2 kann damit Teil einer umfassenden Compliance-Strategie sein, ist jedoch formal ein vertraglich getriebener Prüfrahmen und kein gesetzlicher Pflichtstandard.

Zusammengefasst:

• Kein Gesetz, sondern ein Prüfrahmen des AICPA (USA).
• Wird weltweit genutzt, besonders im Cloud- und SaaS-Umfeld.
• Ergänzt regulatorische Anforderungen wie DSGVO, NIS-2 oder branchenspezifische Compliance-Vorgaben.

SOC 2 im Vergleich zu ISO 27001

Obwohl SOC 2 und ISO 27001 häufig gemeinsam genannt werden, unterscheiden sie sich in Zielsetzung und Prüfmechanik zwischen SOC2 und der ISO-Norm 27001 zum Teil erheblich:

Ausrichtung:

• ISO 27001: Internationaler Managementsystem-Standard (ISMS), verbindlich strukturiert, umfassend auf Prozess- und Governance-Ebene.
• SOC 2: Prüf- und Berichtstandards, die die Wirksamkeit einzelner interner Kontrollen bewerten – kein Managementsystem.

Geltungsbereich:

• ISO 27001: Global anerkannt; branchenübergreifend einsetzbar.
• SOC 2: Vor allem in den USA verbreitet, besonders im SaaS- und Cloud-Bereich.

Audit-Tiefe:

• ISO 27001: Betrachtet das gesamte Informationssicherheitsmanagementsystem eines Unternehmens.
• SOC 2: Bewertet ausgewählte Kontrollen im Rahmen der Trust Services Criteria.

Audit-Form:

• ISO 27001: Zertifizierung durch akkreditierte Zertifizierungsstellen.
• SOC 2: Prüfung durch einen lizenzierten Wirtschaftsprüfer (CPA) mit individuellem Bericht.

Zusammenfassung des Vergleichs

ISO 27001 schafft ein strukturiertes, dauerhaften Sicherheitsrahmen (ISMS). SOC 2 liefert darüber hinaus einen kundenorientierten, detaillierten Prüfbericht, der die tatsächliche Wirksamkeit der Sicherheitskontrollen zeigt. Viele Unternehmen kombinieren beide Standards: ISO 27001 als Governance-Grundlage, SOC 2 als operativen Kontrollnachweis.

SOC2-Beratung durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der Vorbereitung auf SOC 2-Audits, der Definition geeigneter Kontrollen sowie der Abstimmung auf ISO 27001 und andere Sicherheitsstandards. Dazu gehören Gap-Analysen, Aufbau eines strukturierten Kontrollrahmens, Dokumentation relevanter Prozesse und die enge Begleitung im Austausch mit Auditoren. Melden Sie sich für ein unverbindliches Beratungsgespräch.

Bild: © Paul Hanaoka – Unsplash.com

Quellen:

• AICPA – Trust Services Criteria
• AICPA – SOC for Service Organizations: SOC 2
• ISO/IEC 27001:2022 – International Organization for Standardization

Der Beitrag SOC 2 (Service Organization Control 2) – Definition & Bedeutung erschien zuerst auf ELSEN GRC.

Betroffen sind dabei aber nicht mehr nur Betreiber kritischer Infrastrukturen (z. B. Energieversorgung, Verkehr, Gesundheit), sondern auch Cloud- und SaaS-Anbieter, Rechenzentrums-, Hosting- und Managed-Service-Provider, Post- und Abfallwirtschaft, Lebensmittelproduktion, öffentliche Verwaltung sowie Hersteller bestimmter digitaler Produkte (insb. Hard- und Software für kritische Infrastruktur). Die Anforderungen reichen von der Implementierung technischer und organisatorischer Sicherheitsmaßnahmen über verbindliche Meldepflichten bei Sicherheitsvorfällen bis hin zu umfangreichen Sanktionsmöglichkeiten, die vergleichbar mit der DSGVO ausgestaltet sind.

Für viele Unternehmen bedeutet NIS-2 dabei eine weitere Compliance-Pflicht im Bereich Informationssicherheit, die tief in bestehende Prozesse, IT-Systeme und Lieferketten eingreift. Die Mitgliedsstaaten müssen die Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen – in Deutschland geschieht dies durch das neue NIS-2-Umsetzungsgesetz (NIS2UmsuCG).

Was die NIS-2 Richtlinie regelt

NIS-2 legt verbindliche Mindeststandards für die Sicherheit von Netz- und Informationssystemen fest und definiert, wie Unternehmen Risiken erkennen, bewerten und mindern müssen. Sie stärkt die europaweite Zusammenarbeit zwischen den nationalen Cybersicherheitsbehörden und fordert den Aufbau von Melde-, Überwachungs- und Präventionsstrukturen. Ziel der Richtlinie ist ein einheitliches Sicherheitsniveau in der gesamten EU, das Cyberbedrohungen systematisch vorbeugt und Auswirkungen auf Wirtschaft und Gesellschaft minimiert.

Wichtige Grundprinzipien der NIS-2 Richtlinie

Die NIS-2-Richtlinie definiert verbindliche Grundprinzipien, die das Fundament eines einheitlichen europäischen Cybersicherheitsniveaus bilden sollen. Sie verschärft die bisherigen Anforderungen aus NIS-1 deutlich und weitet sie auf neue Branchen und Akteure aus. Im Zentrum stehen dabei Maßnahmen zur Prävention, Überwachung und Reaktion auf Cybervorfälle – mit besonderem Fokus auf Verantwortung, Meldepflichten und Risikomanagement entlang der gesamten digitalen Lieferkette:

• Erweiterter Geltungsbereich: Gilt für über zehn neue Sektoren und Dienstleister, darunter Cloud-Anbieter, Managed Services, Post- und Abfallwirtschaft, Lebensmittelproduktion und öffentliche Verwaltung.
• Pflicht zum Cyber-Risikomanagement: Einführung und Nachweis von Sicherheitsmaßnahmen auf organisatorischer, technischer und personeller Ebene (z. B. Zugriffskontrollen, Notfallmanagement, Schulungen).
• Verpflichtende Meldung von Sicherheitsvorfällen: Erstmeldung innerhalb von 24 Stunden, Abschlussmeldung binnen 72 Stunden nach Vorfall.
• Verantwortlichkeit der Unternehmensleitung: Geschäftsführung und Vorstand tragen die volle Verantwortung für die Umsetzung und Einhaltung.
• Aufsicht und Sanktionen: Nationale Behörden erhalten erweiterte Prüf- und Eingriffsrechte; Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich.
• Lieferketten- und Drittparteirisiken: Sicherheitsanforderungen gelten ausdrücklich auch für Zulieferer, IT-Dienstleister und Auftragsverarbeiter.

Praxisrelevanz von NIS-2 – Wann sind Unternehmen betroffen?

Unternehmen sind direkt oder indirekt betroffen, sobald sie als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Dazu zählen neben klassischen kritischen Infrastrukturen zunehmend auch digitale Dienstleister, SaaS-Anbieter, Hosting- und Cloud-Plattformen sowie mittelständische Industrie- und Logistikunternehmen, die datenbasierte Systeme betreiben (s.o.). Nach einer Faustregel sind Organisationen dann betroffen, wenn sie…

• IT- und Informationssicherheitsmanagementsysteme (ISMS) verwalten, nachweisen oder aufbauen,
• Lieferantenbewertungen und Cyber-Due-Diligence durchführen,
• Incident-Response-Prozesse (formale Prozess zu Reaktion auf IT-Sicherheitsvorfälle) und Meldeketten einrichten,
  Verantwortlichkeiten und Governance-Strukturen klar definieren.

Rechtliche Einordnung

• Rechtsgrundlage: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022
• Inkrafttreten der Richtlinie: 16. Januar 2023
• Umsetzung in nationales Recht: bis spätestens 17. Oktober 2024
• Ziel: Harmonisierung der nationalen Cybersicherheitsstrategien in allen EU-Mitgliedsstaaten
• Bezug zu anderen Regelwerken: Ergänzt die DSGVO (Datenschutz), den Data Act (Datenzugang), den Cybersecurity Act (Zertifizierung) und DORA (Finanzsektor)

Beratung zur NIS-2-Richtlinie durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen, von der Einstufung über die Durchführung von Gap-Analysen bis zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI-Grundschutz. Dabei werden Meldeprozesse, Lieferketten-Risiken und Governance-Strukturen gezielt integriert. Durch Schulungen, Mitarbeiter-Workshops und Audit-Vorbereitung sorgt Elsen GRC dafür, dass Organisationen die Vorgaben des NIS2-Umsetzungsgesetzes rechtssicher, effizient und nachvollziehbar erfüllen können und mit solider Cyber-Infrastruktur am Markt agieren. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.

NIS-2-Richtlinie – Zusammenfassung

NIS-2 ist auf Verpflichtung, Nachweis und Kontrolle ausgelegt – also auf Einhaltung, Koordination und Verantwortung, nicht nur Steuerung:

1. Verbindliche Sicherheitsmaßnahmen: Einführung von Cyber-Risikomanagement, Zugangskontrollen und Notfallplänen.
2. Meldepflichten: Sicherheitsvorfälle müssen fristgerecht gemeldet und dokumentiert werden.
3. Verantwortlichkeit der Unternehmensleitung: Die Geschäftsführung haftet für die Einhaltung der Pflichten.
4. Aufsicht & Sanktionen: Nationale Behörden dürfen prüfen, anordnen und sanktionieren.
5. Koordination & Resilienz: Förderung von EU-weiten Sicherheitsstandards und sektorübergreifender Zusammenarbeit.

Quellen:

• EUR-Lex – Directive (EU) 2022/2555 of the European Parliament (Abruf: 09.11.25)
• NIS2 Directive: securing network and information systems (Abruf: 09.11.25)
• enisa – Network and Information Systems Directive 2 (NIS2) (Abruf: 09.11.25)

Bild: Sajad Nori – Unsplash.com

Der Beitrag NIS-2 Richtlinie – Definition, Bedeutung & Pflichten erschien zuerst auf ELSEN GRC.