Datenschutz und BCM – Warum Resilienz nur im Zusammenspiel gelingt

Einleitung: Von der Pflicht zur Fähigkeit

Datenschutz war schon mehr als Einwilligungen und Verzeichnisse. Er ist ein Versprechen an Menschen, ihre Daten zu schützen – auch in der Krise. Die DSGVO fordert nicht nur Vertraulichkeit, sondern auch Verfügbarkeit und Belastbarkeit von Systemen.

Business Continuity Management (BCM) geht weit über übliche IT-Notfallpläne hinaus. Es sorgt dafür, dass Organisationen handlungsfähig bleiben: bei Cyberangriffen, Lieferkettenausfällen oder Versorgungslücken. Dennoch bleiben Datenschutz und BCM in vielen Unternehmen organisatorisch getrennt.

Dabei ist gerade ihr Zusammenspiel entscheidend, wenn es wirklich zählt.

1. Datenschutz und BCM: Die unterschätzte Verbindung

Artikel 32 der DSGVO verpflichtet Unternehmen, die Verfügbarkeit ihrer Systeme sicherzustellen. Das betrifft nicht nur Technik, sondern auch Prozesse, Rollen und Tests.

Normen wie ISO/IEC 27001 oder der BSI-Standard 200-4 konkretisieren diese Anforderungen. Sie machen deutlich, dass Datenschutzverantwortung ohne funktionierendes BCM kaum realisierbar ist.

Was bedeutet Verfügbarkeit konkret im Datenschutzkontext?

Im Rahmen der DSGVO wird Verfügbarkeit häufig technisch interpretiert etwa durch redundante Systeme, Backups oder Failover-Mechanismen. Doch in der Praxis geht es um mehr: Auch organisatorische Maßnahmen wie eine klare Vertretungsregelung bei Betroffenenanfragen, eine Notfall-Mailadresse für Aufsichtsbehörden oder priorisierte Eskalationsstufen zählen dazu. Entscheidend ist: Der Schutz personenbezogener Daten muss auch in Ausnahmesituationen gewährleistet bleiben, nicht nur theoretisch, sondern praktisch nachweisbar.

2. Drei Stolperfallen in der Praxis

Silos statt Zusammenarbeit
Datenschutz und BCM laufen oft nebeneinander. Das führt zu widersprüchlichen Zielen. Dazu kommen noch die Anforderungen aus der Informationssicherheit. Wenn Datenschutz eine Null-Downtime vorgibt, BCM aber 48 Stunden für die Wiederherstellung einplant, ist Konflikt vorprogrammiert.

Fehlinterpretation des Schutzbedarfs
Nicht jede sensible Information braucht Hochverfügbarkeit und nicht jede geschäftskritische Anwendung enthält personenbezogene Daten. Wer beides vermischt, investiert an der falschen Stelle und riskiert Lücken an anderer.

Sprachbarrieren zwischen Fachbereichen
BCM arbeitet mit RTO, RPO und MTPD. Datenschutz mit TOMs und Meldefristen. Ohne gemeinsame Begrifflichkeit entstehen Missverständnisse. Besonders im Ernstfall ein gefährliches Risiko. Datenschutz und BCM müssen eine gemeinsame Sprache und ein gemeinsames Verständnis für die Begrifflichkeiten entwickeln. Kommunikation ist der Schlüssel.

3. Integration – so funktioniert’s in der Praxis

DSGVO-relevante Prozesse sichtbar machen
Die Bearbeitung von Betroffenenanfragen oder das Management von Datenschutzverletzungen gehören in die Business Impact Analyse. Nur so werden sie im Notfall priorisiert berücksichtigt, nur so lassen sich Datenschutz und BCM verzahnen.

Zielsysteme abstimmen
Wiederherstellungszeiten und Schutzbedarfe sollten synchronisiert sein. Auch Meldefristen müssen aufeinander abgestimmt werden. Andernfalls drohen Zielkonflikte, die im Krisenfall zu Reibungsverlusten führen.

Verantwortlichkeiten klären
Wer informiert wen? Welche Rolle greift wann? Klare Kommunikationsketten sparen im Ernstfall wertvolle Zeit. Rollenpläne sollten cross-funktional zwischen Datenschutz und BCM sowie ISMS abgestimmt sein.

Kontrollen und Tests etablieren
Regelmäßige Tests von Backup- und Notfallplänen sind keine Kür. Sie sind Pflicht und ein Kriterium für DSGVO-Compliance. Nur getestete Prozesse lassen sich im Audit belastbar nachweisen und, wichtiger, im Ernstfall anwenden.

Tool-Landschaft konsolidieren
Verteilte Excel-Listen, unverbundene Word-Dokumente und verstreute Tools behindern den Überblick. Integrierte Systeme für Datenschutz und BCM schaffen Transparenz und Tempo. Auch Meldeketten lassen sich in digitalen Systemen mit Workflows effizienter abbilden. Das ISMS sollte mit integriert werden, da es oft die gemeinsame Datenbasis für den Datenschutz und BCM liefert.

4. Meldepflichten: Komplexer als gedacht

Meldepflichten bei sicherheitsrelevanten Vorfällen beschränken sich längst nicht mehr auf die DSGVO. Unternehmen, insbesondere aus regulierten Branchen oder mit kritischer Infrastruktur (KRITIS), müssen mehrere Regelwerke gleichzeitig beachten – oft mit unterschiedlichen Fristen, Adressaten und Schwellenwerten.

DSGVO – Datenschutzverletzungen melden

Gemäß Art. 33 DSGVO müssen Verletzungen des Schutzes personenbezogener Daten binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Dies setzt voraus, dass die Datenschutzbeauftragte frühzeitig informiert wird – was eine nahtlose Integration in BCM- und ISMS-Strukturen erforderlich macht.

BSIG – Meldung an das BSI nach § 8b BSIG

Unternehmen, die unter das BSI-Gesetz fallen – insbesondere KRITIS-Betreiber – müssen gemäß § 8b BSIG erhebliche IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik melden. Die Schwelle zur Meldepflicht ist in branchenspezifischen Sicherheitsstandards (B3S) definiert und unterscheidet sich z. T. deutlich von der DSGVO-Perspektive.

NIS2 – Ausblick auf zusätzliche Meldepflichten

Mit dem nationalen Umsetzungsgesetz zur EU-Richtlinie NIS2 wird der Kreis der meldepflichtigen Einrichtungen deutlich erweitert, u. a. auf viele mittelständische Unternehmen in essenziellen Sektoren wie digitale Dienste, Energie, Gesundheit oder Transport. Vorgesehen sind gestaffelte Meldefristen (z. B. Vorabmeldung innerhalb von 24 Stunden), die eine gute Koordination im Krisenfall zwingend erforderlich machen.

Weitere branchenspezifische Vorgaben: B3S, TISAX® & Co.

Je nach Sektor können zusätzliche Anforderungen aus branchenspezifischen Regelwerken gelten – etwa im Gesundheitswesen (B3S Gesundheit), in der Automobilindustrie (TISAX®) oder im Finanzsektor. Diese Standards verlangen in der Regel dokumentierte Prozesse zur Ereignisbehandlung und Nachweisführung im Audit.

Die Herausforderung: ein Ereignis – vier Pflichten?

Ein einzelner IT-Sicherheitsvorfall kann potenziell mehrere parallele Meldepflichten auslösen. Ohne abgestimmte Prozesse, klare Rollen und einheitliche Kommunikation drohen:

– Verzögerungen bei der Erstbewertung
– unvollständige Meldungen
– Fristüberschreitungen
– Doppel- und Fehlmeldungen

Deshalb gilt: Die Konsolidierung der Meldewege und die Abstimmung zwischen Datenschutz, Informationssicherheit und BCM sind kein Formalismus, sondern essenziell für die Rechtssicherheit, Auditfähigkeit und Resilienz einer Organisation.

5. Praxisbeispiel: Mit oder ohne BCM?

Ein Produktionsunternehmen erlebt einen gezielten Cyberangriff.

Szenario 1: Es fehlt eine abgestimmte Struktur. Die Datenschutzbeauftragte erfährt vom Vorfall zu spät. Die DSGVO-Meldung kommt zu spät. Die Folge: Bußgeld und Reputationsschaden.

Szenario 2: BCM und Datenschutz greifen ineinander. Die Meldung erfolgt rechtzeitig. Die IT weiß, was wann zu tun ist, das Unternehmen läuft im Notbetrieb weiter. Die Unternehmensleitung behält die Kontrolle. Ergebnis: kein Bußgeld, dafür Vertrauen bei Kunden und Aufsicht.

Praxis-Check für Unternehmen

Unternehmen sollten regelmäßig überprüfen, ob ihre Datenschutz- und BCM-Strukturen miteinander verzahnt sind. Ein einfacher Check: Liegt der IT-Notfallplan auch der Datenschutzbeauftragten vor? Enthält das ISMS klare Hinweise zur Erfüllung der DSGVO-Meldepflichten bei Sicherheitsvorfällen? Sind BCM-RTOs mit den datenschutzrechtlichen Prozessfristen abgestimmt? Wenn nicht: akuter Handlungsbedarf.

FAQ: Häufige Fragen zu Datenschutz und BCM

• Was ist der Unterschied zwischen Datenschutz und BCM?
  Datenschutz schützt personenbezogene Daten, BCM sichert die Fortführung kritischer Geschäftsprozesse. Beide ergänzen sich, besonders in Krisensituationen.
• Müssen Datenschutzprozesse in die BIA aufgenommen werden?
  Ja, insbesondere Meldeprozesse nach Art. 33/34 DSGVO und Betroffenenrechte sollten in der Business Impact Analyse (BIA) betrachtet werden.

• Was ist der Unterschied zwischen Datenschutz und BCM?
  Datenschutz schützt personenbezogene Daten, BCM sichert die Fortführung kritischer Geschäftsprozesse. Beide ergänzen sich, besonders in Krisensituationen.

• Müssen Datenschutzprozesse in die BIA aufgenommen werden?
  Ja, insbesondere Meldeprozesse nach Art. 33/34 DSGVO und Betroffenenrechte sollten in der Business Impact Analyse (BIA) betrachtet werden.

• Welche Meldefristen gelten im Notfall?
  DSGVO: 72 Stunden ab Bekanntwerden eines Incidents. Weitere spezifischere Meldefristen können enger sein. Daher ist eine koordinierte Notfallstruktur Pflicht.

• Wie oft müssen BCM- und Datenschutzpläne getestet werden?
  Mindestens einmal jährlich sollten Notfall- und Wiederanlaufpläne auf Aktualität und Wirksamkeit geprüft werden, idealerweise durch Stabsübungen, Planbesprechungen oder technische Tests (Pentests). Bei wesentlichen Änderungen im IT-Betrieb oder in der Organisationsstruktur ist ein außerplanmäßiger Test ratsam.

• Welche Rolle spielen Datenschutzbeauftragte im Krisenmanagement?
  Datenschutzbeauftragte sollten in den Notfallplänen benannt sein und frühzeitig eingebunden werden – bei Sicherheitsvorfällen, die personenbezogene Daten betreffen, ist die Expertise gefordert. Die Beteiligung ist Voraussetzung für DSGVO-konforme Bewertung und fristgerechte Meldung.

• Was bedeutet RTO im Zusammenhang mit Datenschutzprozessen?
  Die „Recovery Time Objective“ definiert, wie schnell ein Prozess oder System nach einem Ausfall wiederhergestellt werden muss. Auch für Datenschutzprozesse wie Betroffenenrechte oder Vorfallmeldung sollte ein maximal tolerierbares Ausfallzeitfenster definiert werden, abgestimmt auf gesetzliche Fristen.

• Wie lassen sich BCM und Datenschutz im ISMS verbinden?
  Ein wirksames ISMS sollte BCM- und Datenschutzanforderungen gemeinsam adressieren, z. B. durch integrierte Risikoanalysen, einheitliche Rollenmodelle und zentralisierte Steuerung von Maßnahmen. Toolseitig empfiehlt sich die Nutzung von Plattformen, die Datenschutz, Informationssicherheit und BCM integrieren und eine gemeinsame Datenbasis nutzen.

• Wie wirken sich Auslagerungen z. B. in die Cloud auf BCM und Datenschutz aus?
  Ausgelagerte Dienste müssen vertraglich und technisch in BCM- und Datenschutzstrukturen eingebunden werden. Dazu zählen Wiederanlaufzeiten, Verantwortlichkeiten bei Vorfällen und Zugriffsmöglichkeiten auf relevante Nachweisdokumente, auch bei Dritten. Insbesondere sind die Schnittstellen in der Notfallkommunikation zu beleuchten.

• Welche Rolle spielt Krisenkommunikation im Zusammenspiel von Datenschutz und BCM?
  Krisenkommunikation ist ein zentraler Bestandteil beider Disziplinen; streng genommen sogar eine eigene Disziplin, die zu oft übersehen wird: Datenschutz verlangt eine fristgerechte und vollständige Information der Aufsichtsbehörden und ggf. der betroffenen Personen, während BCM auf unternehmensweite interne wie externe Kommunikation zur Aufrechterhaltung kritischer Abläufe fokussiert. Ohne abgestimmte Kommunikationspläne besteht die Gefahr widersprüchlicher Aussagen oder Fristversäumnisse.

• Wie lassen sich Nachweispflichten im Datenschutz und BCM kombinieren?
  Sowohl DSGVO als auch BCM-Anforderungen (oder auch ISMS-Anforderungen) verlangen dokumentierte Prozesse, Verantwortlichkeiten und Nachweise über Tests, Schulungen und Vorfallreaktionen. Unternehmen sollten ein zentrales System oder ein integriertes Management-System (IMS) nutzen, um relevante Nachweise an einer Stelle zu bündeln. Das spart Aufwand, erhöht die Transparenz und verbessert die Auditfähigkeit gegenüber externen Prüfern oder Aufsichtsbehörden.

• Welche Meldefristen gelten im Notfall?
  DSGVO: 72 Stunden ab Bekanntwerden eines Incidents. Weitere spezifischere Meldefristen können enger sein. Daher ist eine koordinierte Notfallstruktur Pflicht.

• Wie oft müssen BCM- und Datenschutzpläne getestet werden?
  Mindestens einmal jährlich sollten Notfall- und Wiederanlaufpläne auf Aktualität und Wirksamkeit geprüft werden, idealerweise durch Stabsübungen, Planbesprechungen oder technische Tests (Pentests). Bei wesentlichen Änderungen im IT-Betrieb oder in der Organisationsstruktur ist ein außerplanmäßiger Test ratsam.

• Welche Rolle spielen Datenschutzbeauftragte im Krisenmanagement?
  Datenschutzbeauftragte sollten in den Notfallplänen benannt sein und frühzeitig eingebunden werden – bei Sicherheitsvorfällen, die personenbezogene Daten betreffen, ist die Expertise gefordert. Die Beteiligung ist Voraussetzung für DSGVO-konforme Bewertung und fristgerechte Meldung.

• Was bedeutet RTO im Zusammenhang mit Datenschutzprozessen?
  Die „Recovery Time Objective“ definiert, wie schnell ein Prozess oder System nach einem Ausfall wiederhergestellt werden muss. Auch für Datenschutzprozesse wie Betroffenenrechte oder Vorfallmeldung sollte ein maximal tolerierbares Ausfallzeitfenster definiert werden, abgestimmt auf gesetzliche Fristen.

• Wie lassen sich BCM und Datenschutz im ISMS verbinden?
  Ein wirksames ISMS sollte BCM- und Datenschutzanforderungen gemeinsam adressieren, z. B. durch integrierte Risikoanalysen, einheitliche Rollenmodelle und zentralisierte Steuerung von Maßnahmen. Toolseitig empfiehlt sich die Nutzung von Plattformen, die Datenschutz, Informationssicherheit und BCM integrieren und eine gemeinsame Datenbasis nutzen.

• Wie wirken sich Auslagerungen z. B. in die Cloud auf BCM und Datenschutz aus?
  Ausgelagerte Dienste müssen vertraglich und technisch in BCM- und Datenschutzstrukturen eingebunden werden. Dazu zählen Wiederanlaufzeiten, Verantwortlichkeiten bei Vorfällen und Zugriffsmöglichkeiten auf relevante Nachweisdokumente, auch bei Dritten. Insbesondere sind die Schnittstellen in der Notfallkommunikation zu beleuchten.

• Welche Rolle spielt Krisenkommunikation im Zusammenspiel von Datenschutz und BCM?
  Krisenkommunikation ist ein zentraler Bestandteil beider Disziplinen; streng genommen sogar eine eigene Disziplin, die zu oft übersehen wird: Datenschutz verlangt eine fristgerechte und vollständige Information der Aufsichtsbehörden und ggf. der betroffenen Personen, während BCM auf unternehmensweite interne wie externe Kommunikation zur Aufrechterhaltung kritischer Abläufe fokussiert. Ohne abgestimmte Kommunikationspläne besteht die Gefahr widersprüchlicher Aussagen oder Fristversäumnisse.

• Wie lassen sich Nachweispflichten im Datenschutz und BCM kombinieren?
  Sowohl DSGVO als auch BCM-Anforderungen (oder auch ISMS-Anforderungen) verlangen dokumentierte Prozesse, Verantwortlichkeiten und Nachweise über Tests, Schulungen und Vorfallreaktionen. Unternehmen sollten ein zentrales System oder ein integriertes Management-System (IMS) nutzen, um relevante Nachweise an einer Stelle zu bündeln. Das spart Aufwand, erhöht die Transparenz und verbessert die Auditfähigkeit gegenüber externen Prüfern oder Aufsichtsbehörden.

6. Verfügbarkeit beginnt bei der Führung

Verfügbarkeit ist keine technische Detailfrage. Sie ist Ausdruck von Verantwortung, strategisch, organisatorisch und operativ. Wenn kritische Systeme oder Prozesse ausfallen oder Daten verloren gehen, sind es nicht nur technische Defizite, die auffallen, sondern Versäumnisse in Planung, Priorisierung und Kommunikation. Und genau hier beginnt die Aufgabe und Verantwortung der Unternehmensleitung.

Wer betriebliche Resilienz ernst nimmt, muss Datenschutz und BCM sowie weiter gedacht auch Informationssicherheit als integrale Bestandteile der Unternehmenssteuerung verankern – nicht nur im Regelwerk, sondern im Denken und Handeln aller Führungsebenen. Denn Notfälle sind keine Angelegenheit einzelner Fachbereiche, sondern eine Bewährungsprobe für das gesamte Unternehmen.

Führung zeigt sich in der Festlegung klarer Ziele etwa in Form messbarer Wiederanlaufzeiten für datenschutzrelevante Prozesse. Sie zeigt sich in der Bereitstellung von Ressourcen für Tests, Schulungen und Systeme. Sie zeigt sich in der Fähigkeit, Verantwortung im Ernstfall sichtbar zu übernehmen: transparent, koordiniert und nachvollziehbar.

Dazu gehört auch, Kennzahlen für organisatorische Resilienz in die Unternehmenssteuerung zu integrieren: Wie viele kritische Prozesse sind notfallfähig dokumentiert? Welche Meldefristen können unter Realbedingungen eingehalten werden? Wie häufig werden Datenschutz und BCM gemeinsam getestet?

Führung bedeutet nicht, alles selbst zu wissen, sondern die richtigen Fragen zu stellen, die richtigen Menschen zu befähigen und eine Kultur zu schaffen, in der organisatorische Resilienz nicht auf dem Papier existiert, sondern gelebt wird. Genau darin liegt der Unterschied zwischen Symbolik und Substanz.

Wer Verfügbarkeit delegiert, ohne sie strategisch zu verankern, riskiert nicht nur operative Ausfälle, sondern auch Vertrauen: bei Kunden, Aufsichtsbehörden und Mitarbeitenden. Wer sie dagegen als Führungsaufgabe versteht, legt den Grundstein für ein robustes, verantwortungsfähiges Unternehmen.

Fazit: Datenschutz und BCM sind zwei Seiten einer Medaille

Datenschutz und BCM, Business Continuity Management, sind keine getrennten Disziplinen mit jeweils eigener Agenda, sie sind komplementäre Teile einer gemeinsamen Verantwortung: dem Schutz von Menschen und Unternehmen in Krisensituationen. Wer personenbezogene Daten wirklich schützen will, darf die Frage der Verfügbarkeit nicht ausklammern. Ebenso kann ein BCM, das rein technisch gedacht ist und datenschutzrechtliche Pflichten ignoriert, im Ernstfall gefährlich unvollständig sein.

Die Praxis zeigt: Nur durch eine integrierte Betrachtung beider Systeme lassen sich Resilienz, Rechtssicherheit und operative Handlungsfähigkeit gleichzeitig erreichen. Es geht dabei nicht um zusätzliche Bürokratie oder „Schrankware“, sondern um Effizienz durch Klarheit: abgestimmte Wiederanlaufzeiten, konsolidierte Meldewege, transparente Verantwortlichkeiten und getestete Abläufe.

Organisationen, die Datenschutz und BCM bewusst miteinander verzahnen, handeln nicht nur normkonform, sie investieren aktiv in Vertrauen. Vertrauen von Aufsichtsbehörden, Kunden, Partnern und nicht zuletzt von den eigenen Mitarbeitenden, die sich auf funktionierende Strukturen verlassen können.

Organisatorische Resilienz ist kein Zufall, sondern das Ergebnis von Vorbereitung, Kommunikation und Führung. Sie beginnt in der obersten Geschäftsführungsebene, wird in Strategien konkretisiert, in Rollen operationalisiert – und in Notfällen bewiesen. Unternehmen, die Datenschutz und BCM sowie auch Informationssicherheit nicht länger getrennt denken, sondern gemeinsam gestalten, schaffen einen nachhaltigen Wettbewerbsvorteil in einer Welt, in der Ausfälle, Cyberangriffe und Datenpannen keine hypothetischen Risiken mehr sind, sondern trauriger Teil des Alltags.

Wer die nächste Krise nicht nur überstehen, sondern souverän bewältigen will, braucht beide Perspektiven: Datenschutz und BCM, als zwei Seiten derselben Medaille.

Christopher Schroer

Experte für digitale Resilienz, Datenschutz und strategische IT-Governance Christopher Schroer ist geschäftsführender Gesellschafter der firstbyte digital consulting gmbh. Seit über 20 Jahren begleitet er mittelständische Unternehmen bei der Entwicklung robuster digitaler Strategien an der Schnittstelle von IT-Sicherheit, Datenschutz, Resilienz und Zukunftsforschung. Seine besondere Stärke: die Verknüpfung von technischem Know-how, regulatorischer Expertise und strategischem Gestaltungsvermögen. Er denkt IT-Governance konsequent ganzheitlich – von DSGVO bis KI-Ethik, von ISO 27001 bis NIS2 und TISAX®. Dabei stehen Umsetzbarkeit, Wirkung und unternehmerische Passung stets im Mittelpunkt. Sein Beratungsstil: wissenschaftlich fundiert, unternehmerisch gedacht, praxisorientiert vermittelt. Viele Kunden vertrauen ihm seit mehr als einem Jahrzehnt, gerade wenn es darum geht, Digitalisierung sicher, wertebasiert und zukunftsfähig zu gestalten.