SFC - Stephan Frank Consulting

Name: SFC - Stephan Frank Consulting
Address: Kopernikusplatz, Nuremberg, 90459, DE
Telephone: +4991114885292

Startseite
Deutschland
Nuremberg
SFC - Stephan Frank Consulting

Datenschutz und IT-Sicherheit für HR & Personalwesen ... DSGVO & Datenschutz sind super! 😉👍

07/05/2026

BGH-Urteil mit Sprengkraft für Personaldienstleister

Personaldienstleister setzen auf externe Dienstleister:
Lohnabrechnung, Recruiting-Tools, Bewerbermanagementsysteme oder Cloud-Lösungen.

Annahme dabei ist oft:

👉 „Die Daten liegen ja beim Dienstleister – also liegt auch dort die Verantwortung.“

Der BGH stellt klar: Genau das stimmt nicht.

🔎 Der Fall – kurz erklärt

Ein Unternehmen hatte personenbezogene Daten durch einen Auftragsverarbeiter verarbeiten lassen. Nach Vertragsende sollten die Daten gelöscht werden.

👉 Problem:

Die Löschung wurde nicht überprüft. Später tauchten die Daten im Darknet auf.

➡️ Das Unternehmen haftet – nicht der Dienstleister.

⚖️ Was bedeutet das konkret für Personaldienstleister?

1. Ein Vertrag allein reicht nicht
2. „Pro forma“ Datenschutz bringt nichts
3. Verantwortung bleibt vollständig beim Verantwortlichen

🚨 Die zentrale Erkenntnis: Auftragsverarbeitung entlastet nicht – sie erweitert die Verantwortung.

📌 Typische Schwachstellen in der Praxis

❌ Keine Kontrolle, ob Daten wirklich gelöscht wurden
❌ Keine Dokumentation bei Vertragsende
❌ Fehlende Exit-Prozesse bei Dienstleistern
❌ Blindes Vertrauen in Anbieter („wird schon passen“)

🧩 Was jetzt zwingend notwendig ist:

1. Saubere Steuerung von Auftragsverarbeitern
- Auswahl nach Risiko
- Klare vertragliche Regelungen

2. Aktive Kontrolle
- Löschbestätigungen einholen
- Stichproben / Nachweise prüfen

3. Offboarding-Prozesse
- Was passiert mit Bewerberdaten nach Vertragsende?
- Wer prüft die Löschung?

4. Dokumentation
Nachweisfähigkeit ist entscheidend (Stichwort: Art. 5 Abs. 2 DSGVO)

👉 Datenschutz ist keine Delegationsaufgabe.
👉 Datenschutz ist Führungsaufgabe!

Gerade in der Personaldienstleistung, wo Vertrauen das Geschäftsmodell ist, kann ein solcher Vorfall existenzielle Folgen haben:

- Reputationsverlust
- Kundenverlust
- Bewerberverlust
- Bußgelder

🧠 Fazit

Wer mit Auftragsverarbeitern arbeitet, muss sie steuern – nicht nur beauftragen. Oder anders gesagt:

👉 „Outsourcing reduziert Aufwand – aber niemals Verantwortung.“

06/05/2026

Externe DPOs sind günstiger als interne.

Interne DPO:
• Hohe Personalkosten
• Schulungen
• Fortlaufende Weiterbildung
• Bindung an nur ein Unternehmen

Externe DPO:
• planbare monatliche Kosten
• Expertenlevel ohne Einarbeitung
• Zugriff auf ganze Teams statt Einzelpersonen
• Ausfallsicherheit (Urlaub, Krankheit)

➡️ Volle Expertise. Weniger Kosten. Null Risiko.

06/05/2026

KI im Datenschutz: Die Risiken, die 2026 wirklich zählen. Was du als DSB noch unterschätzt 👇

Als Datenschutzbeauftragter stehst du vor neuen Herausforderungen:

1. Datenqualität: KI-Systeme lernen aus vorhandenen Daten. Verzerrte oder fehlerhafte Datensätze führen zu diskriminierenden Entscheidungen.
2. Blackbox-Problematik: Komplexe KI-Modelle sind oft schwer nachvollziehbar. Wie erklärst du Betroffenen die Entscheidungsgrundlage?
3. Datenmissbrauch: KI ermöglicht tiefgreifende Analysen. Die Versuchung, Daten zweckentfremdet zu nutzen, steigt.
4. Automatisierte Entscheidungen: KI trifft zunehmend eigenständig Entscheidungen. Wie stellst du sicher, dass Betroffenenrechte gewahrt bleiben?
5. Datensicherheit: KI-Systeme sind attraktive Angriffsziele. Ein Hack kann massive Auswirkungen haben.
6. Datenminimierung: KI benötigt oft große Datenmengen. Wie vereinbarst du das mit dem Grundsatz der Datenminimierung?
7. Internationale Datenübermittlung: Cloud-basierte KI-Lösungen erfordern oft grenzüberschreitende Datenflüsse. Bist du dafür gerüstet?

Diese Risiken werden oft unterschätzt. Es liegt an dir, proaktiv Lösungen zu entwickeln.

Bereite dich jetzt vor. Die Zukunft des Datenschutzes hängt davon ab.

06/05/2026

„NIS2 wird kein Cyber-Upgrade. Es wird ein Führungs-Test.“

NIS2-Richtlinie zwingt Unternehmen zu Governance, Risikomanagement und Haftungsklarheit.

Viele reagieren reflexartig:

- Gap-Analyse
- Richtlinien-Update
- Externer Berater

Projekt abgeschlossen

Das Problem:
NIS2 ist kein Dokumentationsprojekt.

Es ist ein Verantwortungs-Upgrade für die Geschäftsleitung.

Artikel 20 spricht Klartext:
Management ist verantwortlich.

Nicht die IT.
Nicht der CISO.
Nicht der Dienstleister.

Wenn ein Vorfall passiert, wird niemand fragen:
„War Ihr Policy-Ordner aktuell?“

Man wird fragen:
„Haben Sie angemessen gesteuert?“

NIS2 prüft nicht Ihre Firewall.
NIS2 prüft Ihre Führungsstruktur.

Und viele sind darauf nicht vorbereitet.

06/05/2026

„Personaldienstleister glauben oft, sie seien kein Cyber-Ziel.“

Ich arbeite viel mit Geschäftsführern in der Personaldienstleistung.

Und ich höre häufig:
„Wir sind doch kein Konzern.“
„Wir machen doch nur Personal.“

Sie speichern:

Lebensläufe

Gehaltsdaten

Krankheitsinformationen

Bewerberpools

Kundendaten

Vertragsdaten

Sie sind Daten-Drehscheibe zwischen:
Kandidaten, Kunden, Payroll, externen IT-Dienstleistern.

Sie sind nicht uninteressant.
Sie sind ein ideales Ziel.

Und wenn etwas passiert, geht es nicht nur um IT.

Es geht um:

Vertrauensverlust bei Bewerbern

Reputationsschaden bei Kunden

Vertragskündigungen

Haftung der Geschäftsführung

Viele investieren in Datenschutz-Dokumente.
Wenige investieren in echte Sicherheitsarchitektur.

Viele glauben, Einwilligungen lösen Probleme.
Sie lösen keine Ransomware.

Sicherheit in der Personaldienstleistung ist kein IT-Thema.
Es ist ein Vertrauensversprechen.

Und Vertrauen ist Ihr Geschäftsmodell.

Wenn das bricht, bricht nicht nur ein Server.
Dann bricht Ihr Markt.

05/05/2026

Ich bin Stephan Frank – und ich sage etwas, das in der Zertifizierungsbranche nicht jeder gern hört:

Zertifikate schaffen Vertrauen.
Aber sie verhindern keine Krisen.

ISO-Siegel an der Wand beruhigen Stakeholder.
Auditberichte füllen Ordner.
Compliance erzeugt das Gefühl von Kontrolle.

Und trotzdem werden Unternehmen gehackt.
Trotzdem fallen Systeme aus.
Trotzdem sind Verantwortlichkeiten im Ernstfall unklar.

Warum?

Weil Zertifizierung oft mit Sicherheit verwechselt wird.

Viele Organisationen optimieren auf das Audit – nicht auf den Ernstfall.
Sie bauen Prozesse, die prüfbar sind.
Aber keine Strukturen, die unter Druck funktionieren.

Ich denke wie ein CISO – und ein CISO weiß:
Ein Zertifikat misst Reife auf dem Papier.
Eine Krise misst Reife in der Realität.

Ich greife nicht Zertifizierungen an.
Ich greife die Illusion an, dass ein bestandenes Audit gleichbedeutend mit Resilienz ist.

Die entscheidende Frage lautet nicht:
„Bestehen wir das Audit?“

Sondern:
„Überleben wir den Vorfall?“

Sicherheit beginnt nicht beim Zertifizierer.
Sie beginnt bei der Führung.

Und wer glaubt, dass man Verantwortung outsourcen kann,
hat das Risiko bereits falsch verstanden.

04/05/2026

Wenn’s um Datenschutz geht, sind viele Geschäftsführer:innen echte Detektiv:innen. 🕵️‍♂️
Kaum ist eine Datenpanne passiert, wird mit dem Fernglas nach dem Schuldigen gesucht – Hauptsache, man selbst war’s nicht.

Aber sobald das Wort „eigene Verantwortung“ fällt, scheint plötzlich Nebel aufzuziehen. 🌫️
Dann sieht man nichts mehr, hört nichts mehr – und ist ganz überrascht, dass Geschäftsführung und Haftung irgendwie zusammenhängen könnten.

👉 Datenschutz ist keine Abteilung.
👉 Informationssicherheit ist kein IT-Thema.
👉 Und Verantwortung lässt sich nicht outsourcen.

Vielleicht also lieber vorher hinschauen, statt hinterher blind zu sein. 😉

04/05/2026

Seit 2023 Pflicht: Unternehmen ab 50 Mitarbeitenden müssen ein internes Whistleblower-System einrichten. Wer das verschläft, riskiert mehr als nur Bußgelder ↓

Die Einführung eines Hinweisgebersystems ist nicht nur eine rechtliche Verpflichtung, sondern ein entscheidender Schritt zur Förderung von Transparenz und Verantwortlichkeit in Unternehmen.

Warum ist das so wichtig?

1. Rechtliche Konsequenzen: Ohne System drohen empfindliche Strafen.
2. Frühwarnsystem: Interne Probleme werden schneller erkannt und gelöst.
3. Reputationsschutz: Verhindert öffentliche Skandale durch interne Klärung.
4. Führungsverantwortung: Auch das Verhalten von Führungskräften steht im Fokus.
5. Unternehmenskultur: Fördert Offenheit und ethisches Verhalten.

Die Umsetzung ist jedoch nicht ohne Herausforderungen:

- Vertraulichkeit muss gewährleistet sein.
- Hinweisgeber benötigen Schutz vor Vergeltung.
- Gründliche Untersuchungen sind unerlässlich.

Der Erfolg hängt maßgeblich vom Engagement der Führungsebene ab.

Fazit: Ein effektives Whistleblower-System ist mehr als eine Pflicht - es ist ein Schlüssel zu einer gesunden Unternehmenskultur.

Stelle sicher, dass dein Unternehmen vorbereitet ist.

04/05/2026

„Personaldienstleister glauben oft, sie seien kein Cyber-Ziel.“

Ich arbeite viel mit Geschäftsführern in der Personaldienstleistung.

Und ich höre häufig:
„Wir sind doch kein Konzern.“
„Wir machen doch nur Personal.“

Sie speichern:

- Lebensläufe
- Gehaltsdaten
- Krankheitsinformationen
- Bewerberpools
- Kundendaten
- Vertragsdaten

Sie sind Daten-Drehscheibe zwischen:
Kandidaten, Kunden, Payroll, externen IT-Dienstleistern.

Sie sind nicht uninteressant.
Sie sind ein ideales Ziel.

Und wenn etwas passiert, geht es nicht nur um IT.

Es geht um:

- Vertrauensverlust bei Bewerbern
- Reputationsschaden bei Kunden
- Vertragskündigungen
- Haftung der Geschäftsführung

Viele investieren in Datenschutz-Dokumente.
Wenige investieren in echte Sicherheitsarchitektur.

Viele glauben, Einwilligungen lösen Probleme.
Sie lösen keine Ransomware.

Sicherheit in der Personaldienstleistung ist kein IT-Thema.
Es ist ein Vertrauensversprechen.

Und Vertrauen ist Ihr Geschäftsmodell.

Wenn das bricht, bricht nicht nur ein Server.
Dann bricht Ihr Markt.

01/05/2026

Homeoffice-Risiken kompakt

- Bildschirm sperren
- Keine Dokumente offen liegen lassen
- Keine Nutzung der Firmengeräte durch Familienmitglieder
- VPN verwenden
- Ausdrucke vernichten

Remote Work braucht strukturierte Regeln.

👉 SFC | Stephan Frank Consulting unterstützt bei Richtlinien & Awareness.

Adresse

Kopernikusplatz
Nuremberg
90459

Telefon

+4991114885292

Webseite

http://www.stephan-frank.com/

Benachrichtigungen

Lassen Sie sich von uns eine E-Mail senden und seien Sie der erste der Neuigkeiten und Aktionen von SFC - Stephan Frank Consulting erfährt. Ihre E-Mail-Adresse wird nicht für andere Zwecke verwendet und Sie können sich jederzeit abmelden.