Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
DSGVO-Compliance für Unternehmen: Anforderungen, Bußgelder und Umsetzung
Compliance & Standards

DSGVO-Compliance für Unternehmen: Anforderungen, Bußgelder und Umsetzung

Vollständiger Praxisguide zur DSGVO-Compliance: Rechtsgrundlagen, Bußgeldrahmen, Auftragsverarbeitungsverträge (AVV), Datenpanne-Meldepflicht, Datenschutz-Folgenabschätzung und Verzeichnis der Verarbeitungstätigkeiten — mit deutschen Praxisbeispielen.

Chris Wojzechowski Chris Wojzechowski Geschäftsführender Gesellschafter
16 Min. Lesezeit
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)

TL;DR

Die DSGVO ist seit Mai 2018 geltendes EU-Recht — und die Bußgeldpraxis nimmt seit 2019 deutlich Fahrt auf. Unternehmen jeder Größe müssen Rechtsgrundlagen für jede Datenverarbeitung vorweisen, Auftragsverarbeitungsverträge mit allen externen Dienstleistern abschließen, Datenpannen innerhalb von 72 Stunden melden und für risikoreiche Verarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes sind möglich — dazu kommen Schadensersatzklagen, IT-Forensik-Kosten und Reputationsschäden, die die Bußgelder um ein Vielfaches übersteigen können.

Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).

Inhaltsverzeichnis (9 Abschnitte)

Die DSGVO ist seit Mai 2018 geltendes EU-Recht. Was zunächst wie bürokratischer Aufwand wirkt, hat sich durch die Bußgeldpraxis der vergangenen Jahre als existenzielles Risiko für Unternehmen aller Größen erwiesen. Dieser Artikel fasst die wesentlichen Compliance-Anforderungen zusammen — von Rechtsgrundlagen und Auftragsverarbeitung über die 72-Stunden-Meldepflicht bis zur Datenschutz-Folgenabschätzung.

Die technische Seite der DSGVO — Art. 32-Maßnahmen, Verschlüsselung und Penetrationstests als Schutznachweis — behandelt der Schwesterartikel DSGVO und IT-Sicherheit: Technische Maßnahmen nach Art. 32.

Was die DSGVO von Unternehmen verlangt

Die DSGVO definiert klare Pflichten für jeden Verantwortlichen, der personenbezogene Daten verarbeitet. Die wichtigsten Grundprinzipien aus Art. 5 DSGVO:

  • Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
  • Datenminimierung: Nur die Daten erheben, die für den jeweiligen Zweck tatsächlich notwendig sind.
  • Speicherbegrenzung: Daten dürfen nicht länger gespeichert werden als nötig — ein Löschkonzept ist Pflicht.
  • Integrität und Vertraulichkeit: Angemessene technische und organisatorische Maßnahmen (TOMs) sind zu implementieren.
  • Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung aller Grundsätze nachweisen können.

Der letzte Punkt ist in der Praxis der kritischste: Wer keine Dokumentation hat, kann Compliance nicht beweisen — und das ist im Bußgeldverfahren das entscheidende Kriterium.

Der Bußgeldrahmen: Was bei Verstößen droht

Die DSGVO sieht zwei Bußgeld-Tiers vor:

Tier 1 (Art. 83 Abs. 4 DSGVO): Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes. Gilt für Verstöße gegen Datenschutz by Design, Auftragsverarbeitung und Meldepflichten.

Tier 2 (Art. 83 Abs. 5 DSGVO): Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. Gilt für Verstöße gegen Grundprinzipien, Betroffenenrechte und grenzüberschreitende Datentransfers.

Für ein KMU mit 10 Mio. € Umsatz bedeutet das konkret: bis zu 200.000 € (Tier 1) bzw. bis zu 400.000 € (Tier 2). Für ein Mittelstandsunternehmen mit 50 Mio. € Umsatz sind es bereits bis zu 2 Mio. €.

Reale Bußgelder aus Deutschland

Die Praxis zeigt, dass Datenschutzbehörden diese Spielräume nutzen:

  • H&M (2020): 35,3 Mio. € — systematisches Monitoring von Mitarbeitern, detaillierte Profile über Privatgespräche, Urlaub und Krankheiten.
  • Deutsche Wohnen (2019/2022): 14,5 Mio. € — Mieterdaten unnötig lange gespeichert, kein Löschkonzept vorhanden.
  • Notebooksbilliger.de (2022): 10,4 Mio. € — Videoüberwachung von Mitarbeitern ohne Rechtsgrundlage.
  • 1&1 Telecom (2019): 9,55 Mio. € — Authentifizierung im Kundenservice unzureichend.
  • AOK Baden-Württemberg (2020): 1,24 Mio. € — E-Mail-Adressen für Gewinnspiel ohne ausreichende Einwilligung genutzt.
  • Krankenhaus Rheinland-Pfalz (2019): 105.000 € — Patientenverwechslung bei der Aufnahme offenbarte strukturelle technische und organisatorische Defizite beim Patientenmanagement.
  • Kleinunternehmen (z. B. Eyemaxx Real Estate 2021): 15.000 € — Auch kleine Unternehmen sind betroffen.

Entscheidend: Seit 2019 haben die Datenschutzbehörden ihre Kapazitäten erheblich ausgebaut. Das Bußgeld ist aber oft noch nicht der schlimmste Teil.

Die realen Gesamtkosten eines Datenlecks

Bußgelder sind nur ein Teil der Kosten. Der IBM Cost of a Data Breach Report 2024 beziffert die durchschnittlichen globalen Gesamtkosten eines Datenlecks auf 4,88 Mio. USD — ein Allzeithoch.

Dazu kommen in der DACH-Region direkte Kosten:

KostenblockTypische Bandbreite
IT-Forensik und Investigation200.000 – 1.000.000 €
System-Wiederherstellung100.000 – 500.000 €
Krisenmanagement und PR50.000 – 200.000 €
Rechtsberatung100.000 – 500.000 €
Datenschutzbehörden-Kooperation20.000 – 100.000 €

Hinzu kommen indirekte Kosten: Kundenverlust, Reputationsschäden, erhöhte Cyber-Versicherungsprämien (+50–200 % für 3–5 Jahre) und individuelle Schadensersatzklagen.

Schadensersatz nach Art. 82 DSGVO ist ein häufig unterschätzter Posten: Jede betroffene Person kann Schadensersatz für materielle und immaterielle Schäden geltend machen. Der EuGH hat in C-300/21 klargestellt: Allein der Kontrollverlust über persönliche Daten kann einen Anspruch begründen — ohne dass ein konkreter Schaden nachgewiesen werden muss. Deutsche Gerichte sprachen 2023/2024 im Schnitt 500 bis 2.000 € pro Person zu. Bei 50.000 betroffenen Kunden ergibt das ein Exposure von 25 bis 100 Mio. €.

Fazit aus den Zahlen: 1 € in Prävention spart durchschnittlich 10 € in Incident-Kosten.

Auftragsverarbeitungsverträge (AVV): Pflicht mit vielen Lücken

Art. 28 DSGVO verlangt einen Auftragsverarbeitungsvertrag (AVV) immer dann, wenn ein externer Dienstleister im Auftrag des Unternehmens personenbezogene Daten verarbeitet. In der Praxis fehlen diese Verträge erstaunlich häufig.

Wann ist ein AVV Pflicht?

Ein Auftragsverarbeiter handelt im Auftrag des Verantwortlichen (kein eigener Zweck) und verarbeitet personenbezogene Daten (speichert, überträgt, wertet aus). Die Zweck-Unterscheidung ist entscheidend: Wer für eigene Zwecke verarbeitet, ist eigenverantwortlicher Verarbeiter — dann ist kein AVV, sondern eine Datenweitergabe nach Art. 6 DSGVO das richtige Instrument.

Typische Dienstleister, die einen AVV benötigen:

  • Cloud und IT: Microsoft 365/Azure, Google Workspace/GCP, AWS, Salesforce, HubSpot, Zoom, Slack, GitHub/GitLab, Dropbox, Jira/Confluence
  • Marketing und Vertrieb: Mailchimp, Klaviyo, Google Analytics 4, Pipedrive, LinkedIn Ads/Meta Ads bei eigenem Kunden-Upload, Typeform, SurveyMonkey
  • Externes Dienstleister-Netz: Lohnbuchhaltungs-Service, Steuerberater mit HR-Systemzugang, IT-Support/Managed Service Provider, Hosting-Anbieter, Cloud-Backup-Anbieter, Druckereien bei Kundendruck

Kein AVV nötig: Rechnungsempfänger (eigener Zweck), Rechtsanwalt (gesetzliche Verschwiegenheitspflicht), Post/Paketdienst (eigene AGB), SCHUFA-Anfragen (eigenverantwortlicher Verarbeiter).

Pflichtinhalte eines AVV nach Art. 28 Abs. 3 DSGVO

  1. Gegenstand und Dauer der Verarbeitung — konkret, nicht allgemein
  2. Art und Zweck der Verarbeitung — welche Daten, welcher Zweck
  3. Art der personenbezogenen Daten und Kategorien betroffener Personen
  4. Pflichten und Rechte des Verantwortlichen — Weisungsrecht, Schweigepflicht
  5. Technische und organisatorische Maßnahmen (Art. 32) — konkrete TOM-Liste als Anhang
  6. Unterauftragsverarbeitung — Genehmigungs- und Informationspflicht; Microsoft listet über 200 Sub-Processor
  7. Betroffenenrechte unterstützen — Auskunft (Art. 15), Löschung (Art. 17), Portabilität (Art. 20)
  8. Meldepflicht bei Datenpannen — unverzüglich, empfohlen max. 48h, dann Verantwortlicher meldet innerhalb 72h an Behörde
  9. Löschung/Rückgabe nach Vertragsende mit Nachweis
  10. Prüf- und Auditrechte — ISO 27001- oder SOC-2-Zertifikate als Nachweis anerkannt

Große Anbieter stellen fertige DPAs bereit: Microsoft (aka.ms/dpa), Google (cloud.google.com/terms/data-processing-amendment), AWS (aws.amazon.com/de/agreement/). Kleinere Anbieter ohne fertigen AVV: eigenen Entwurf vorlegen oder BSI/DSK-Muster nutzen (dskonferenz.de).

Typische AVV-Fehler und ihre Konsequenzen

  • Kein AVV, obwohl einer nötig wäre — oft unbekannt bei SaaS-Diensten
  • AVV nicht schriftlich/nicht dokumentiert — Art. 28 Abs. 9 verlangt Schriftform oder elektronische Form
  • Unterauftragnehmer nicht genehmigt — Dienstleister nutzt Sub-Verarbeiter ohne Genehmigung
  • AVV veraltet — Jährlicher Review und Dienstleister-Newsletter abonnieren

Reale Konsequenzen: Spanien verhängte 150.000 € für einen fehlenden AVV mit einem IT-Dienstleister. In Deutschland drohen bei Fahrlässigkeit 5.000–50.000 € für KMU.

Die 72-Stunden-Meldepflicht: Der unterschätzte Countdown

Art. 33 DSGVO verpflichtet zur Meldung einer Datenschutzverletzung an die Aufsichtsbehörde “ohne unangemessene Verzögerung” — spätestens innerhalb von 72 Stunden nach Bekanntwerden. Wer vergisst zu melden oder zu spät meldet, riskiert zusätzlich zum eigentlichen Vorfall ein DSGVO-Bußgeld.

Was ist meldepflichtig?

Art. 4 Nr. 12 DSGVO: “eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.”

EreignisMeldepflicht?
Ransomware auf Server mit KundendatenJa
Diebstahl unverschlüsselter LaptopJa
Phishing-Angriff, E-Mail-Account kompromittiertJa
Ransomware auf reinen Systemen (keine Personendaten)Nein
Verschlüsselte Festplatte verloren (Schlüssel sicher)Nein
Passwort-Datenpanne beim DienstleisterJa (als Auftragsverarbeiter informiert → Verantwortlicher meldet)

Wenn zusätzlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht (Gesundheitsdaten, Finanzdaten, große Datenmenge, Identitätsdiebstahl möglich), greift Art. 34 DSGVO: dann sind die Betroffenen direkt zu informieren.

Wann beginnt die Uhr?

Ab dem Moment der Entdeckung — nicht dem Moment des tatsächlichen Vorfalls.

Beispiel-Timeline: Ransomware verschlüsselt nachts Systeme, Mitarbeiter bemerkt es Montagmorgen — die 72 Stunden laufen ab Montag 08:00 Uhr. Praktische Faustregel: bei Ransomware oder größerem Breach sofort am ersten Werktag melden, auch wenn nicht alle Details bekannt sind. Art. 33 Abs. 4 erlaubt gestaffelte Meldung mit Nachreichung.

Wo wird gemeldet?

In Deutschland beim Landesbeauftragten für Datenschutz des jeweiligen Bundeslands: LDI NRW für NRW, BayLDA für Bayern, BlnBDI für Berlin, HmbBfDI für Hamburg, LfDI BW für Baden-Württemberg. Alle LfD bieten Online-Meldeformulare — Suche: “Datenpanne melden [Bundesland]”.

Was muss die Meldung enthalten?

Pflichtangaben nach Art. 33 Abs. 3 DSGVO:

  1. Art der Verletzung (was passierte, wie entdeckt, wann schätzungsweise)
  2. Kategorien und ungefähre Anzahl der betroffenen Personen
  3. Kategorien und ungefähre Menge der betroffenen Datensätze
  4. Name und Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  5. Wahrscheinliche Folgen für Betroffene
  6. Getroffene und geplante Abhilfemaßnahmen

Wichtig: Wenn nicht alle Informationen in 72h bekannt sind: Erstmeldung mit dem was bekannt ist + Hinweis “wird nachgereicht”. Behörden akzeptieren das. In der Praxis führt transparente, vollständige und schnelle Meldung mit erkennbarem Bemühen um Verbesserung selten zum Bußgeld — die Behörden wollen Verbesserung, nicht Strafe.

Notfall-Checkliste: Die ersten 4 Stunden

0–30 Minuten: IT-Sicherheitsverantwortlichen alarmieren, Incident Response aktivieren, betroffene Systeme isolieren (aber nicht ausschalten für Forensik), Zeitstempel dokumentieren.

30–120 Minuten: Umfang einschätzen, externe IT-Forensik beauftragen falls nötig, DSB informieren, Rechtsbeistand einschalten.

2–4 Stunden: Meldepflicht prüfen (JA wenn unklar → melden), Vorab-Meldung einreichen, Versicherung informieren, Dokumentation starten.

24–48 Stunden: Nachricht an Betroffene wenn Art. 34 greift, ergänzende Meldung mit vollständigen Details, Forensik-Ergebnisse abwarten, erste Wiederherstellung.

Datenschutz-Folgenabschätzung (DSFA): Das am häufigsten vergessene Instrument

Die DSFA (auch: Privacy Impact Assessment / PIA) ist eine verpflichtende Risikoanalyse vor risikoreichen Datenverarbeitungen. Rechtsgrundlage ist Art. 35 DSGVO. Aufsichtsbehörden prüfen DSFAs aktiv — eine fehlende DSFA kann selbst dann ein Bußgeld begründen, wenn keine eigentliche Datenpanne vorliegt.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 3 definiert drei zwingend geregelte Szenarien:

  1. Systematische und umfassende Bewertung persönlicher Aspekte auf Basis automatisierter Verarbeitung — z. B. automatisierter Kredit-Score, KI-gestützte Einstellungsentscheidung, Risikoscoring
  2. Umfangreiche Verarbeitung besonderer Kategorien (Gesundheit, Biometrie, Religion, politische Meinung, ethnische Herkunft, Gewerkschaftsmitgliedschaft) — z. B. Krankenversicherungs-App, biometrische Zeiterfassung
  3. Systematische Überwachung öffentlich zugänglicher Bereiche — z. B. Videoüberwachung in öffentlichen Bereichen, systematisches Website-Tracking

Zusätzlich gibt es die DSK-Blacklist: Verarbeitungstypen, die in Deutschland immer eine DSFA erfordern. Dazu gehören biometrische Zeiterfassung, KI-gestützte Profiling-Systeme, Videoüberwachung mit spezifischen Voraussetzungen, Whistleblower-Systeme (wenn nicht anonym), Scoring für Versicherungen oder Verträge, umfangreiche Datensammlung von Kindern und Fernwartung mit Remote-Arbeitsplatz-Kontrolle.

Die EDPB-Zwei-Kriterienliste besagt: DSFA ist erforderlich, wenn zwei oder mehr der folgenden Kriterien zutreffen — Bewertung/Scoring, automatisierte Entscheidungen mit Rechtswirkung, systematische Überwachung, sensible Daten (Art. 9/10), großmaßstäbliche Verarbeitung, Verknüpfung von Datensätzen, vulnerable Personen (Kinder, Patienten, Mitarbeiter), neue Technologie (KI, Biometrie, IoT), grenzüberschreitende Übermittlung.

Der DSFA-Prozess in fünf Phasen

Phase 1: Screening — DSFA erforderlich? Wer ist zuständig? VVT-Vermerk erstellen.

Phase 2: Analyse — Workshop mit Projektteam. Datenflüsse kartieren, alle Systeme und Dienstleister dokumentieren, Drittlandübermittlungen identifizieren.

Phase 3: Risikobewertung — Bedrohungen identifizieren und bewerten. Risikoscore = Eintrittswahrscheinlichkeit × Schwere. Bedrohungskatalog umfasst: Datenpanne durch Angriff, Insiderfehler, unbefugter Mitarbeiterzugriff, Datenverlust, fehlerhafte Verarbeitung, Profilierung/Diskriminierung, Drittland-Transfer ohne Schutz.

Phase 4: Maßnahmen definieren — TOMs für identifizierte Risiken. Restrisiko-Bewertung. Wenn Restrisiko hoch: Aufsichtsbehörde konsultieren (Art. 36) — Bearbeitungszeit 8 Wochen.

Phase 5: Genehmigung und Dokumentation — Geschäftsführer genehmigt, DSB zeichnet ab. Aufbewahrung: mindestens Dauer der Verarbeitung plus drei Jahre. Überprüfung alle drei Jahre oder bei Änderungen.

Schnellübersicht: DSFA ja oder nein?

SzenarioErgebnis
Videoüberwachung im SupermarktDSFA: Ja (Pflicht)
Personalbogen mit KontaktdatenDSFA: Nein
KI-Tool zur BewerberauswahlDSFA: Ja (Pflicht)
Dienstplan-Software (Namen, Schichten)DSFA: Nein (empfohlen, nicht Pflicht)
Kundendaten in US-CRM (Salesforce)DSFA: in vielen Konstellationen Pflicht
Mitarbeiter-Monitoring-SoftwareDSFA: Ja (plus Mitbestimmung BR nach § 87 BetrVG)

Häufige DSFA-Fehler

  • DSFA nach statt vor Implementierung: Art. 35 schreibt “vor der Verarbeitung” vor — eine nachträgliche DSFA ist ohne Wirkung.
  • Zu allgemein formuliert: Keine konkreten Szenarien, keine Bewertung — Aufsichtsbehörden erkennen “Pro-forma-DSFAs” sofort.
  • Datenschutzbeauftragter nicht einbezogen: Art. 35 Abs. 2 macht die Stellungnahme zur Pflicht — fehlende Einbeziehung ist ein eigenständiger Verstoß.
  • Keine Aktualisierung bei Änderungen: Empfohlen ist eine jährliche Überprüfung aller DSFAs.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Art. 30 DSGVO verpflichtet Unternehmen ab 250 Mitarbeitern — und faktisch alle Unternehmen, die risikoreiche Verarbeitungen durchführen — zu einem Verzeichnis aller Verarbeitungstätigkeiten. Es dokumentiert: welche personenbezogenen Daten zu welchem Zweck auf welcher Rechtsgrundlage verarbeitet werden, wie lange sie gespeichert werden und welche Empfänger und Drittlandtransfers es gibt.

Das VVT ist die zentrale Grundlage für DSFA, AVV-Management und die Beantwortung von Auskunftsanfragen. Ohne VVT ist eine DSGVO-Prüfung durch Behörden kaum zu bestehen.

DSGVO-Compliance als Schutz — nicht als Bürokratie

Die wichtigste präventive Erkenntnis aus den IBM-Daten: Die größten Kostentreiber bei einem Datenleck sind Komplexität, fehlende Dokumentation und mangelndes Training — alles Faktoren, die mit ordentlicher DSGVO-Compliance direkt adressiert werden.

Konkrete Kostenreduktionen durch Prävention (IBM 2024):

MaßnahmeEinsparung
AI und Automatisierung−1,88 Mio. USD
DevSecOps−1,68 Mio. USD
Employee Training−258.000 USD
Incident Response Plan (aktiv)−232.000 USD
Verschlüsselung−221.000 USD
Zero Trust Architecture−202.000 USD

68 % aller Datenlecks sind auf menschliches Versagen zurückzuführen. Phishing-Simulation kombiniert mit Security Awareness Training ist die effektivste Gegenmaßnahme — unabhängig davon, wie gut die technischen TOMs sind.

Weiterführende Artikel

DSGVO-Compliance mit AWARE7 umsetzen

AWARE7 unterstützt Unternehmen beim Aufbau einer dokumentierten DSGVO-Compliance: von der AVV-Inventur und dem Verzeichnis der Verarbeitungstätigkeiten über DSFA-Begleitung bis zur technischen Umsetzung von TOMs und Incident-Response-Prozessen.

DSGVO-Beratung anfragen | ISMS und ISO 27001

Nächster Schritt

Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.

Kostenlose Erstberatung vereinbaren Leistungen ansehen

Kostenlos · 30 Minuten · Unverbindlich

Artikel teilen

LinkedIn X E-Mail

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen — CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking — Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Zertifiziert ISO 27001ISO 9001AZAVBSI

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung