| 29. März 2026 | 4 Min.

Datenschutz und Compliance: DSGVO, Cloud und Mobile Device Management für Unternehmen

Jens Hagel in IT-Sicherheit

Inhalt in Kürze

Deutsche Datenschutzbehörden verhängten 2025 insgesamt 46,9 Millionen Euro DSGVO-Bußgelder
Datensicherheit und Datenschutz sind nicht dasselbe — aber ohne technische Sicherheit ist DSGVO-Konformität unmöglich
Cloud-Dienste sind DSGVO-konform nutzbar, wenn AVV, EU-Datenresidenz und Verschlüsselung stimmen
Mobile Device Management (MDM) wird Pflicht, sobald Mitarbeiter mit Firmengeräten mobil arbeiten

Datenschutz. Klingt nach Papierkram und Juristendeutsch. Ist aber ein knallhartes Geschäftsrisiko. 46,9 Millionen Euro DSGVO-Bußgelder allein in Deutschland im Jahr 2025. Auch KMU waren darunter.

Datensicherheit vs. Datenschutz: Der Unterschied

Die Begriffe werden oft verwechselt, meinen aber unterschiedliche Dinge:

Datenschutz (DSGVO): Regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Betrifft Kundendaten, Mitarbeiterdaten, Gesundheitsdaten, Finanzdaten.

Datensicherheit: Die technischen und organisatorischen Maßnahmen, um Daten vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen. Betrifft alle Daten — auch Geschäftsgeheimnisse, Konstruktionspläne, Rezepturen.

Ohne Datensicherheit gibt es keinen Datenschutz. Wenn Ihre Kundendatenbank unverschlüsselt auf einem Server ohne Passwort liegt, ist das ein Datenschutzverstoß — auch wenn Sie einen perfekten Datenschutzbeauftragten haben.

46,9 Mio. €

DSGVO-Bußgelder in DE 2025

20 Mio. €

maximales Bußgeld pro Verstoß

4 %

des Jahresumsatzes alternativ

DSGVO-Grundlagen für Geschäftsführer

Die DSGVO verlangt von jedem Unternehmen, das personenbezogene Daten verarbeitet:

Verarbeitungsverzeichnis. Dokumentieren Sie, welche Daten Sie warum erheben, wo sie gespeichert werden und wer Zugriff hat.
Technisch-organisatorische Maßnahmen (TOMs). Verschlüsselung, Zugriffskontrollen, Backup, Firewall — alles dokumentiert.
Auftragsverarbeitungsverträge (AVV). Mit jedem Dienstleister, der Ihre Daten verarbeitet (IT-Partner, Cloud-Anbieter, E-Mail-Provider).
Löschkonzept. Daten, die nicht mehr benötigt werden, müssen gelöscht werden. Nicht in 5 Jahren — zeitnah.
Datenschutzbeauftragter. Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten. Kann extern bestellt werden.
Meldepflicht bei Datenschutzverletzungen. Innerhalb von 72 Stunden an die Aufsichtsbehörde. Ein Ransomware-Angriff ist eine Datenschutzverletzung.

Cloud und Datenschutz: Worauf Sie achten müssen

Die Cloud ist nicht per se unsicher. Aber sie ist auch nicht per se DSGVO-konform. Worauf es ankommt:

Datenresidenz. Wo stehen die Server? Für DSGVO-Konformität idealerweise in der EU, besser in Deutschland.
AVV vorhanden. Microsoft, Google, AWS — alle großen Anbieter stellen Auftragsverarbeitungsverträge bereit.
Verschlüsselung. Daten müssen verschlüsselt übertragen (TLS) und gespeichert werden (Encryption at Rest).
Zugriffskontrollen. Wer darf auf welche Daten zugreifen? Prinzip der minimalen Berechtigung.
Audit-Logs. Wer hat wann auf welche Daten zugegriffen? Nachvollziehbarkeit ist Pflicht.

Häufiger Fehler bei Cloud-Compliance:

Viele KMU speichern sensible Daten in der Cloud ohne Verschlüsselung oder Zugangskontrollen. Laut CMS-Jahresanalyse ist das einer der häufigsten Gründe für DSGVO-Bußgelder. Prüfen Sie Ihre Cloud-Konfiguration.

Datenschutz-Check für Ihre IT.

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Termin buchen →

Mobile Device Management: Firmendaten auf mobilen Geräten schützen

Ihre Mitarbeiter arbeiten auf Laptops im Home Office, lesen E-Mails auf dem Smartphone, greifen vom Tablet auf SharePoint zu. Was passiert, wenn ein Gerät verloren geht oder gestohlen wird?

Mobile Device Management (MDM) löst dieses Problem. Mit Microsoft Intune (in Microsoft 365 Business Premium enthalten) können Sie:

Sicherheitsrichtlinien durchsetzen. Geräteverschlüsselung, PIN-Pflicht, automatische Bildschirmsperre.
Remote Wipe. Verlorene oder gestohlene Geräte aus der Ferne löschen — nur die Firmendaten, nicht die privaten.
App-Kontrolle. Nur genehmigte Apps dürfen auf Firmendaten zugreifen.
Compliance-Check. Geräte, die nicht den Sicherheitsanforderungen entsprechen, werden automatisch gesperrt.

Die IT muss wie ein offenes Buch sein. Die muss funktionieren — und dann ist das auch eine ganz tolle Zusammenarbeit, die auch ganz lange währt.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

IoT und Datenschutz: Das vergessene Risiko

Drucker, Kameras, Sensoren, Smart-Building-Systeme — alle diese IoT-Geräte sind im Netzwerk und können Daten sammeln oder als Einfallstor dienen. Datenschutz-Risiken:

Drucker speichern gescannte Dokumente im internen Speicher
Kameras übertragen Bildmaterial an externe Server
Smart-Building-Systeme sammeln Bewegungsdaten von Mitarbeitern

Maßnahmen: IoT-Geräte in ein eigenes Netzwerksegment stellen, regelmäßig updaten, Standard-Passwörter ändern.

Datenschutz-Checkliste für Ihr Unternehmen

Verarbeitungsverzeichnis aktuell. Alle Datenverarbeitungen dokumentiert.
TOMs dokumentiert und umgesetzt. Verschlüsselung, Backup, Firewall, MFA.
AVV mit allen Dienstleistern. IT-Partner, Cloud, E-Mail, CRM.
Datenschutzbeauftragter bestellt. Intern oder extern, ab 20 MA Pflicht.
Löschkonzept vorhanden. Wann werden welche Daten gelöscht?
Mitarbeiter geschult. DSGVO-Basics, Umgang mit Kundendaten, Meldepflichten.
MDM eingerichtet. Für alle mobilen Geräte mit Firmendaten.
Meldeprozess für Datenpannen. Wer meldet was innerhalb von 72 Stunden?

Das Wichtigste: Datenschutz ist kein Einmal-Projekt, sondern ein laufender Prozess. Die DSGVO verlangt technische Sicherheit, dokumentierte Prozesse und geschulte Mitarbeiter. Cloud-Dienste sind DSGVO-konform nutzbar — wenn Sie die Konfiguration richtig machen. MDM ist Pflicht, sobald Firmendaten auf mobilen Geräten liegen.

Ihr nächster Schritt

Sie sind sich nicht sicher, ob Ihr Unternehmen DSGVO-konform aufgestellt ist? Wir prüfen Ihre IT-Infrastruktur auf Datenschutz-Lücken — pragmatisch und ohne Juristendeutsch.

Jens Hagel

Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns

Inhalt

Alle Kundenstimmen

Bester IT-Dienstleister

2026 — brand eins / Statista

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

Datenschutz regelt den Umgang mit personenbezogenen Daten (DSGVO). Datensicherheit umfasst alle technischen Maßnahmen zum Schutz von Daten — auch nicht-personenbezogenen. Beides gehört zusammen: Ohne Datensicherheit kein Datenschutz.

Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes — je nachdem, was höher ist. Deutsche Behörden verhängten 2025 Bußgelder von insgesamt 46,9 Millionen Euro. Auch KMU sind betroffen.

Wenn mindestens 20 Mitarbeiter regelmäßig personenbezogene Daten verarbeiten oder wenn Sie besonders sensible Daten verarbeiten (Gesundheit, Finanzen). Viele KMU bestellen einen externen Datenschutzbeauftragten — das ist oft günstiger als ein interner.

Ja, wenn Sie die richtigen Maßnahmen treffen: EU-Datenresidenz, Auftragsverarbeitungsvertrag (AVV), Verschlüsselung, Zugriffskontrollen. Microsoft 365 und Azure bieten EU-Rechenzentren und DSGVO-konforme Verträge.

MDM verwaltet und sichert mobile Geräte (Laptops, Smartphones, Tablets) zentral. Sie können Sicherheitsrichtlinien durchsetzen, verlorene Geräte aus der Ferne löschen und sicherstellen, dass nur genehmigte Apps installiert werden. Ab 10 mobilen Geräten sinnvoll.