jleibl/ihk-ausbildung
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit: IHK Ausbildung materials

Browse Source
This commit is contained in:
Jan-Marlon Leibl
2026-03-13 11:46:08 +01:00
commit eb4a13ef7c
67 changed files with 11361 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

43
1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-00-Übersicht.md Normal file
View File

@@ -0,0 +1,43 @@
# Lernfeld 4: IT-Sicherheit gewährleisten
## Übersicht
Dieses Lernfeld behandelt die Grundlagen der IT-Sicherheit und des Datenschutzes.
## Themen
| Nr. | Thema | Beschreibung |
|-----|-------|-------------|
| 4.1 | [[LF4-01-Gefahren-Analyse|Gefahren und Bedrohungen]] | Malware, Hacker, Social Engineering |
| 4.2 | [[LF4-02-Schutzmassnahmen|Schutzmaßnahmen]] | Virenschutz, Firewall, Verschlüsselung |
| 4.3 | [[LF4-03-Sicherheitskonzepte|Sicherheitskonzepte]] | BSI, ISO 27001 |
| 4.4 | [[LF4-04-Datenschutz|Datenschutz (DSGVO)]] | Rechtliche Anforderungen |
## Lernziele
- Bedrohungen für IT-Systeme erkennen
- Schutzmaßnahmen implementieren
- Datenschutzanforderungen umsetzen
## Voraussetzungen
- LF1: Unternehmen und Rolle
- LF2: Arbeitsplätze ausstatten
- LF3: Datenbanken entwickeln
## Prüfungsrelevanz
- Teil 1 Abschlussprüfung (schriftlich)
- Teil 2 Abschlussprüfung (praktisch)
---
## Querverweise
- [[LF3-05-Datenbankmanagement|Zurück: Datenbankmanagement]]
- [[LF5-Analyse-Design|Nächstes Lernfeld: Analyse und Design]]
- [[Wissen/Wirtschafts-Sozialkunde/WISO-Zusammenfassung|WISO: Datenschutz]]
---
*Stand: 2024*

197
1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-01-Gefahren-Analyse.md Normal file
View File

@@ -0,0 +1,197 @@
# 4.1 Gefahren und Bedrohungen
## Bedrohungskategorien
```
Bedrohungen - Übersicht
├── Malware (Schadsoftware)
├── Hacker-Angriffe
├── Social Engineering
├── Physische Bedrohungen
└── Insider-Bedrohungen
```
---
## Malware (Schadsoftware)
### Arten von Malware
| Typ | Beschreibung | Beispiel |
|-----|-------------|----------|
| **Virus** | Benötigt Wirt, verbreitet sich | Dateivirus |
| **Wurm** | Selbstständig, Netzwerk | Conficker |
| **Trojaner** | Tarnung als nützliches Programm | Emotet |
| **Ransomware** | Verschlüsselt Daten | WannaCry |
| **Spyware** | Spioniert Nutzer aus | Keylogger |
| **Adware** | Werbung anzeigen | Browser-Hijacker |
| **Rootkit** | Versteckt Eindringlinge | Kernel-Rootkit |
### Schadfunktionen
```
Malware-Funktionen
├── Datenspionage
├── Datenzerstörung
├── Systemübernahme
├── Botnetz-Erstellung
├── Erpressung
└── Kryptomining
```
### Angriffsvektoren
| Vektor | Beschreibung |
|--------|-------------|
| E-Mail | Phishing, infizierte Anhänge |
| Web | Drive-by-Downloads |
| USB | Infizierte Wechselmedien |
| Netzwerk | Exploits, Schwachstellen |
| Social Engineering | Benutzer täuschen |
---
## Hacker-Angriffe
### Angriffsarten
```
Angriffstechniken
├── Denial of Service (DoS)
├── Distributed DoS (DDoS)
├── Man-in-the-Middle
├── SQL Injection
├── Cross-Site Scripting (XSS)
├── Buffer Overflow
└── Brute Force
```
### DoS/DDoS
```
DoS - Denial of Service
Ziel: Dienst unerreichbar machen
Methoden:
├── Überlastung (Traffic-Flood)
├── Ausnutzung von Schwachstellen
└── Ressourcenerschöpfung
```
### SQL Injection
```sql
-- Bösartige Eingabe
' OR '1'='1
-- Resultat (alle Daten werden zurückgegeben)
SELECT * FROM benutzer WHERE name = '' OR '1'='1'
```
### Brute-Force
```
Brute-Force - Ausprobieren aller Möglichkeiten
Schutz:
├── Sperrung nach X Versuchen
├── Captcha
├── Zwei-Faktor-Authentifizierung
└── Starke Passwörter
```
---
## Social Engineering
### Psychologische Angriffe
| Technik | Beschreibung | Beispiel |
|---------|-------------|----------|
| **Phishing** | Gefäuschte E-Mails | Bank-Fake-Mails |
| **Spear Phishing** | Gezielt auf Opfer | CEO-Fraud |
| **Vishing** | Telefon-Phishing | Support-Anruf |
| **Pretexting** | Erfundene Szenarien | Polizei-Anruf |
| **Baiting** | Köder | USB-Stick liegen lassen |
### Erkennung
```
Phishing-Merkmale
├── Absender-Adresse verdächtig
├── Dringlichkeit / Drohungen
├── Rechtschreibfehler
├── Unerwartete Anhänge
├── Fehlerhafte Links
└── Ungewöhnliche Anfragen
```
---
## Physische Bedrohungen
### Risiken
```
Physische Bedrohungen
├── Diebstahl (Laptop, Handy)
├── Hardware-Beschädigung
├── Umgebungseinflüsse (Feuer, Wasser)
├── Stromausfall
└── unbefugter Zutritt
```
### Gegenmaßnahmen
| Maßnahme | Beschreibung |
|----------|-------------|
| Zutrittskontrolle | Türschlüssel, Chipkarte |
| Alarmanlagen | Bewegungsmelder |
| Brandschutz | Rauchmelder, Löschgeräte |
| USV | Unterbrechungsfreie Stromversorgung |
| Datensicherung | Regelmäßige Backups |
---
## Schadensarten
### Vertraulichkeit
```
Vertraulichkeitsverletzung
├── Unbefugter Datenzugriff
├── Datenklau
├── Spionage
└── Veröffentlichung
```
### Integrität
```
Integritätsverletzung
├── Datenänderung
├── Manipulation
├── Sabotage
└── Fälschung
```
### Verfügbarkeit
```
Verfügbarkeitsverletzung
├── Systemausfall
├── Datenverlust
├── DDoS-Angriff
└── Ransomware
```
---
## Querverweise
- [[LF4-02-Schutzmassnahmen|Nächstes Thema: Schutzmaßnahmen]]
- [[LF5-03-Programmierung|Programmierung: Sichere Softwareentwicklung]]
---
*Stand: 2024*

235
1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-02-Schutzmassnahmen.md Normal file
View File

@@ -0,0 +1,235 @@
# 4.2 Schutzmaßnahmen
## Sicherheitsmaßnahmen - Überblick
```
Sicherheitsebenen (Defense in Depth)
├── Physische Sicherheit
├── Netzwerksicherheit
├── System­sicherheit
├── Anwendungs­sicherheit
└── Datensicherheit
```
---
## Virenschutz
### Antivirus-Software
| Komponente | Funktion |
|------------|----------|
| Echtzeitschutz | Scannt Dateien beim Zugriff |
| On-Demand-Scan | Manuelle Prüfung |
| Signatur-Erkennung | Bekannte Schadsoftware |
| Heuristik | Verdachtsverhalten erkennen |
| Sandbox | Ausführung in isolierter Umgebung |
### Antiviren-Programme
| Produkt | Typ | Eigenschaften |
|---------|-----|---------------|
| Windows Defender | Integriert | Kostenlos, gut |
| Bitdefender | Kommerziell | Top-Schutz |
| Kaspersky | Kommerziell | Umfassend |
| ClamAV | Open Source | Linux-Server |
### Konfiguration
```
Antivirus-Einstellungen
├── Echtzeitschutz aktiviert
├── Automatische Updates
├── Geplante Vollscans
├── Quarantäne bei Fund
└── Reporting aktivieren
```
---
## Firewall
### Firewall-Typen
| Typ | Ebene | Beschreibung |
|-----|-------|-------------|
| Paketfilter | Netzwerk | Nach IP/Port filtern |
| Stateful Inspection | Netzwerk | Verbindungsstatus prüfen |
| Application Layer | Netzwerk | Anwendungsprotokolle |
| Host-Based | System | Einzelner PC |
| Web Application (WAF) | Anwendung | HTTP/HTTPS |
### Windows Firewall
```powershell
# Status abfragen
Get-NetFirewallProfile
# Regel erstellen (PowerShell)
New-NetFirewallRule -DisplayName "HTTP-Allow" -Direction Inbound -Protocol TCP -LocalPort 80 -Action Allow
# Regel deaktivieren
Set-NetFirewallRule -DisplayName "HTTP-Allow" -Enabled False
```
### Firewall-Regeln
```
Regelstruktur
├── Aktion: Erlauben/Blockieren
├── Richtung: Eingehend/Ausgehend
├── Protokoll: TCP/UDP/ICMP
├── Port: Nummer oder Bereich
├── IP-Adresse: Quelle/Ziel
└── Programm: Pfad zur Anwendung
```
---
## Verschlüsselung
### Verschlüsselungsarten
| Art | Verwendung | Beispiele |
|-----|------------|----------|
| **Symmetrisch** | Gleicher Schlüssel | AES, 3DES |
| **Asymmetrisch** | Schlüsselpaar | RSA, ECC |
| **Hashing** | Einwegfunktion | SHA-256, MD5 |
### Symmetrische Verschlüsselung
```
Verschlüsselung mit AES
Klartext → AES (Schlüssel) → Chiffretext
Chiffretext → AES (Schlüssel) → Klartext
```
### Asymmetrische Verschlüsselung
```
Schlüsselpaar
├── Öffentlicher Schlüssel (Public Key)
│ └── Verschlüsselung, Verifizierung
└── Privater Schlüssel (Private Key)
└── Entschlüsselung, Signatur
```
### Verschlüsselungsbereiche
| Bereich | Technologie | Beispiel |
|---------|-------------|----------|
| Festplatte | Full Disk Encryption (FDE) | BitLocker, FileVault |
| Datei | Transparent Encryption | EFS, VeraCrypt |
| E-Mail | S/MIME, PGP | Gpg4win |
| Web | TLS/SSL | HTTPS |
| Datenbank | Transparent Data Encryption | TDE |
---
## Authentifizierung
### Authentifizierungsfaktoren
```
Authentifizierungsfaktoren
├── Wissen (Something you know)
│ └── Passwort, PIN
├── Besitz (Something you have)
│ └── Chipkarte, Token, Handy
└── Eigenschaft (Something you are)
└── Fingerabdruck, Face ID
```
### Starke Authentifizierung (2FA/MFA)
| Typ | Beschreibung |
|-----|-------------|
| **2FA** | Zwei Faktoren |
| **MFA** | Mehrere Faktoren |
| **TOTP** | Zeitbasiert (Google Authenticator) |
| **SMS** | Einmalcode per SMS (unsicherer) |
| **Hardware-Token** | Physischer Schlüssel (YubiKey) |
### Passwort-Richtlinien
```
Sichere Passwörter
├── Mindestens 12 Zeichen
├── Groß- und Kleinbuchstaben
├── Zahlen und Sonderzeichen
├── Keine Wörterbuchwörter
├── Keine Wiederverwendung
└── Regelmäßig ändern
```
### Passwort-Manager
| Produkt | Plattform | Typ |
|---------|----------|-----|
| Bitwarden | Alle | Open Source |
| 1Password | Alle | Kommerziell |
| KeePass | Windows/Linux | Open Source |
| iCloud Keychain | Apple | Integriert |
---
## Updates und Patches
### Patch-Management
```
Patch-Prozess
├── Identifikation → Sicherheitslücken melden
├── Bewertung → Schweregrad prüfen
├── Entwicklung → Patch erstellen
├── Test → In Testumgebung prüfen
├── Verteilung → Rollout planen
└── Dokumentation → Änderungen festhalten
```
### Patch-Stufen
| Stufe | Priorität | Zeitrahmen |
|-------|----------|------------|
| Kritisch | Sofort | 24-72 Stunden |
| Hoch | Bald | 1 Woche |
| Mittel | Geplant | 1 Monat |
| Niedrig | Bei Gelegenheit | Quartal |
---
## Netzwerksicherheit
### VPNs (Virtual Private Network)
```
VPN - Tunnel durch unsicheres Netzwerk
Lokaler PC → Verschlüsselter Tunnel → Unternehmensnetzwerk
```
| VPN-Typ | Beschreibung |
|---------|-------------|
| Site-to-Site | Netzwerk-zu-Netzwerk |
| Remote Access | Einzelner Benutzer |
| SSL-VPN | Browser-basiert |
| IPsec | Standard-basiert |
### WLAN-Sicherheit
| Standard | Sicherheit | Empfehlung |
|----------|------------|-------------|
| WEP | Unsicher | Nicht nutzen |
| WPA | Schwach | Nicht nutzen |
| **WPA2** | Sicher | Empfohlen |
| WPA3 | Sehr sicher | Neuinstallation |
---
## Querverweise
- [[LF4-01-Gefahren-Analyse|Zurück: Gefahren und Bedrohungen]]
- [[LF4-03-Sicherheitskonzepte|Nächstes Thema: Sicherheitskonzepte]]
---
*Stand: 2024*

236
1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-03-Sicherheitskonzepte.md Normal file
View File

@@ -0,0 +1,236 @@
# 4.3 Sicherheitskonzepte
## IT-Sicherheitsstandards
### BSI-Grundschutz
Das **BSI (Bundesamt für Sicherheit in der Informationstechnik)** definiert den **IT-Grundschutz**.
```
BSI-Grundschutz - Bausteine
├── SYS
│ ├── SYS.1.1 Allgemeiner Server
│ ├── SYS.1.2 Windows Server
│ ├── SYS.1.3 Linux Server
│ ├── SYS.2.1 Client
│ └── ...
├── APP
├── NET
├── INF
├── ORG
└── OPS
```
### ISO 27001
Internationaler Standard für **Informationssicherheits-Managementsysteme (ISMS)**.
```
ISO 27001 - PDCA-Zyklus
├── Plan (Planen)
├── Do (Umsetzen)
├── Check (Prüfen)
└── Act (Verbessern)
```
---
## Schutzbedarfsanalyse
### Schutzziele
```
Schutzziele - CIA
├── Vertraulichkeit (Confidentiality)
├── Integrität (Integrity)
└── Verfügbarkeit (Availability)
```
### Schutzbedarfsfeststellung
```
Schutzbedarfsanalyse - Schritte
1. Assets identifizieren
2. Bedrohungen analysieren
3. Schwachstellen identifizieren
4. Schadensszenarien bewerten
5. Schutzbedarf festlegen
```
### Schutzbedarfskategorien
| Kategorie | Beschreibung | Beispiel |
|----------|-------------|----------|
| **Normal** | Geringe Auswirkungen | Internes Wiki |
| **Hoch** | Erhebliche Auswirkungen | Kunden-Daten |
| **Sehr hoch** | Existenzielle Auswirkungen | Passwörter, Finanzen |
### Beispiel: Schutzbedarfsanalyse
```
Beispiel: Online-Shop
Asset: Kunden-Datenbank
- Vertraulichkeit: Hoch (personenbezogene Daten)
- Integrität: Hoch (keine Manipulation)
- Verfügbarkeit: Hoch (24/7 Betrieb)
Schutzmaßnahmen:
- TLS-Verschlüsselung
- Regelmäßige Backups
- Redundante Systeme
```
---
## Risikomanagement
### Risikobewertung
```
Risiko = Wahrscheinlichkeit × Schadensausmaß
Matrix:
| gering | mittel | hoch
----------|--------|--------|------
gering | niedrig| niedrig| mittel
mittel | niedrig| mittel | hoch
hoch | mittel| hoch | kritisch
```
### Risikobehandlung
```
Risikobehandlung - Optionen
├── Vermeiden → Risiko eliminieren
├── Reduzieren → Maßnahmen implementieren
├── Versichern → Risiko übertragen
└── Akzeptieren → Risiko bewusst hinnehmen
```
---
## Sicherheitsrichtlinien
### Informationssicherheitsrichtlinie
```markdown
# Informationssicherheitsrichtlinie
## 1. Zweck
Diese Richtlinie definiert die Grundsätze...
## 2. Geltungsbereich
Diese Richtlinie gilt für alle Mitarbeiter...
## 3. Verantwortlichkeiten
- CISO: Gesamtverantwortung
- IT-Abteilung: Technische Umsetzung
- Mitarbeiter: Einhaltung
## 4. Regelungen
- Passwortrichtlinie
- Datensicherungsrichtlinie
- Zugangsberechtigungen
- Nutzung von IT-Systemen
```
### Berechtigungskonzept
```
Berechtigungskonzept - Grundsätze
├── Need-to-know → Nur was nötig ist
├── Least Privilege → Minimale Rechte
├── Segregation of Duties → Aufgabentrennung
└── Regelmäßige Prüfung → Rechte überprüfen
```
---
## Business Continuity Management (BCM)
### Notfallplanung
```
Notfallmanagement-Prozess
├── Prävention → Risiken minimieren
├── Detektion → Störung erkennen
├── Reaktion → Sofortmaßnahmen
├── Wiederherstellung → Systeme wiederherstellen
└── Nachbereitung → Lessons Learned
```
### Notfalltypen
| Typ | Beispiel | Reaktionszeit |
|-----|----------|---------------|
| Kritisch | Ransomware | Sofort |
| Hoch | Server-Ausfall | 4 Stunden |
| Mittel | E-Mail-Probleme | 24 Stunden |
| Niedrig | Druckerdefekt | 1 Woche |
---
## Datensicherungskonzept
### Backup-Strategie
```
Backup-Regel 3-2-1
├── 3 Kopien der Daten
├── 2 verschiedene Medien
└── 1 Kopie extern (offsite)
```
### Backup-Typen
| Typ | Zeitpunkt | Wiederherstellung |
|-----|-----------|-------------------|
| Vollbackup | Wöchentlich | Schnell |
| Differentiell | Täglich | Mittel |
| Inkrementell | Stündlich | Langsam |
### Aufbewahrung
```
Aufbewahrungsfristen
├── Täglich: 7 Tage
├── Wöchentlich: 4 Wochen
├── Monatlich: 12 Monate
└── Jährlich: 10 Jahre (gesetzlich)
```
---
## Schulung und Sensibilisierung
### Security-Awareness
```
Schulungsprogramm
├── Neue Mitarbeiter: Grundlagen
├── Jährlich: Auffrischung
├── Bei Bedarf: Spezialthemen
└── Phishing-Simulationen
```
### Themen
| Bereich | Inhalt |
|---------|--------|
| Passwörter | Starke Passwörter, 2FA |
| E-Mail | Phishing erkennen |
| Social Engineering | Betrugsversuche |
| Datenschutz | DSGVO-Grundlagen |
| Mobile Geräte | Sicherheitsrichtlinien |
---
## Querverweise
- [[LF4-02-Schutzmassnahmen|Zurück: Schutzmaßnahmen]]
- [[LF4-04-Datenschutz|Nächstes Thema: Datenschutz (DSGVO)]]
---
*Stand: 2024*

245
1-Ausbildungsjahr/LF4-IT-Sicherheit/LF4-04-Datenschutz.md Normal file
View File

@@ -0,0 +1,245 @@
# 4.4 Datenschutz (DSGVO)
## DSGVO - Grundlagen
Die **Datenschutz-Grundverordnung (DSGVO)** ist seit dem 25. Mai 2018 EU-weit gültig.
### Grundprinzipien
```
DSGVO - Grundsätze (Art. 5)
├── Rechtmäßigkeit, Transparenz
├── Zweckbindung
├── Datenminimierung
├── Richtigkeit
├── Speicherbegrenzung
└── Integrität und Vertraulichkeit
```
### Anwendungsbereich
| Bereich | Geltung |
|---------|---------|
| EU-Bürger | Weltweit |
| EU-Unternehmen | Weltweit |
| Drittland-Unternehmen | Bei Angebot in EU |
---
## Personenbezogene Daten
### Definition
> Alle Informationen, die sich auf eine **identifizierte** oder **identifizierbare** natürliche Person beziehen.
### Kategorien
| Kategorie | Beispiele |
|-----------|----------|
| Stammdaten | Name, Adresse, Geburtsdatum |
| Kontaktdaten | Telefon, E-Mail |
| Vertragsdaten | Kunden-Nr., Vertragsinhalt |
| Nutzungsdaten | Logfiles, Cookies |
| Gesundheitsdaten | Krankheit, Behinderung |
| Biometrische Daten | Fingerabdruck, Face ID |
| Politische Meinungen | Parteizugehörigkeit |
| Religiöse Überzeugung | Konfession |
### Besondere Kategorien
```
Art. 9 DSGVO - Besondere personenbezogene Daten
├── Gesundheitsdaten
├── Biometrische Daten
├── Politische Meinungen
├── Religiöse Überzeugung
├── Gewerkschaftszugehörigkeit
├── Ethnische Herkunft
├── Sexualleben
└── Strafrechtliche Verurteilungen
```
---
## Betroffenenrechte
### Rechte der Betroffenen
| Recht | Beschreibung |
|-------|-------------|
| **Auskunft** (Art. 15) | Informationen über verarbeitete Daten |
| **Berichtigung** (Art. 16) | Falsche Daten korrigieren |
| **Löschung** (Art. 17) | "Recht auf Vergessenwerden" |
| **Einschränkung** (Art. 18) | Verarbeitung sperren |
| **Datenübertragung** (Art. 20) | Daten in maschinenlesbarem Format |
| **Widerspruch** (Art. 21) | Widerspruch gegen Verarbeitung |
| **Automatisierte Entscheidungen** (Art. 22) | Keine rein automatisierten Entscheidungen |
### Informationspflichten
```
Art. 13, 14 DSGVO - Bei Erhebung mitzuteilen
├── Verantwortlicher
├── Datenschutzbeauftragter
├── Zweck der Verarbeitung
├── Rechtsgrundlage
├── Empfänger oder Kategorien
├── Speicherdauer
├── Betroffenenrechte
└── Beschwerderecht bei Behörde
```
---
## Verantwortliche
### Verantwortlicher
> Natürliche oder juristische Person, die über die **Zwecke und Mittel** der Verarbeitung entscheidet.
### Auftragsverarbeitung (Art. 28)
```
Auftragsverarbeiter (AV)
├── Externe Dienstleister (Cloud, Hosting)
├── Weisungsgebunden
├── Auftragsverarbeitungsvertrag (AVV) erforderlich
└── Kontroll- und Überwachungspflichten
```
### Datenschutzbeauftragter (DSB)
| Unternehmen | Pflicht |
|-------------|----------|
| > 20 Mitarbeiter | Pflicht |
| Verarbeitung besonderer Daten | Pflicht |
| Öffentliche Stelle | Immer |
---
## Technische und organisatorische Maßnahmen (TOM)
### Mindestanforderungen
```
Art. 32 DSGVO - Sicherheit der Verarbeitung
├── Pseudonymisierung
├── Verschlüsselung
├── Vertraulichkeit
├── Integrität
├── Verfügbarkeit
└── Rasche Wiederherstellbarkeit
```
### Beispiele für TOM
| Maßnahme | Beschreibung |
|----------|-------------|
| Zutrittskontrolle | Zugang zum Serverraum |
| Zugriffskontrolle | Berechtigungskonzept |
| Weitergabekontrolle | TLS-Verschlüsselung |
| Eingabekontrolle | Protokollierung |
| Verfügbarkeitskonzept | Backup, USV |
| Trennungsgebot | Test-/Produktivumgebung |
---
## Datenschutz-Folgenabschätzung (DSFA)
### Wann erforderlich?
```
Art. 35 DSGVO - Pflicht zur DSFA
├── Verarbeitung besonderer Kategorien
├── Umfangreiches Profiling
├── Systematisches Monitoring
├── Neue Technologien
└── Risikoreiche Verarbeitung
```
### Durchführung
```
DSFA-Schritte
1. Beschreibung der Verarbeitung
2. Bewertung der Erforderlichkeit
3. Risiken für Betroffene identifizieren
4. Maßnahmen zur Risikominimierung
5. Stellungnahme DSB
6. Dokumentation
```
---
## Datenschutzverletzungen
### Meldepflicht
```
Art. 33 DSGVO - Meldung an Behörde
├── Innerhalb von 72 Stunden
├── Beschreibung der Verletzung
├── Kategorien betroffener Daten
├── Anzahl Betroffener
├── Wahrscheinliche Folgen
└── Ergriffene Maßnahmen
```
### Benachrichtigungspflicht
```
Art. 34 DSGVO - Benachrichtigung Betroffener
├── Wenn hohe Risiken für Rechte
├── Sofortige Benachrich­tigung
└── In verständlicher Sprache
```
---
## Bußgeld und Strafen
### DSGVO-Bußgelder
```
Art. 83 DSGVO - Geldbußen
├── Bis zu 20 Mio. EUR oder
├── Bis zu 4% des weltweiten Jahresumsatzes
└── Je nach Schwere des Verstoßes
```
### Bußgeld-Kategorien
| Verstoß | Maximales Bußgeld |
|----------|-------------------|
| Grundprinzipien | 10 Mio. oder 2% |
| Rechte der Betroffenen | 10 Mio. oder 2% |
| Übermittlung in Drittland | 20 Mio. oder 4% |
| Sonstige Verstöße | 20 Mio. oder 4% |
---
## Checkliste Datenschutz
```
□ Verarbeitungsverzeichnis (Art. 30)
□ Datenschutzbeauftragter benannt (falls nötig)
□ Auftragsverarbeitungsverträge (Art. 28)
□ Technische Maßnahmen implementiert
□ Mitarbeiter geschult
□ Datenschutz-Folgenabschätzung (falls nötig)
□ Prozesse für Betroffenenrechte
□ Datenschutzerklärung auf Website
□ Verletzungsmanagement dokumentiert
```
---
## Querverweise
- [[LF4-03-Sicherheitskonzepte|Zurück: Sicherheitskonzepte]]
- [[LF3-Datenbanken|Datenbanken: Datensicherheit]]
- [[Wissen/Wirtschafts-Sozialkunde/WISO-Zusammenfassung|WISO: Rechtliche Grundlagen]]
---
*Stand: 2024*