Viele kleine Unternehmen in Bayern glauben, IT-Sicherheit sei ein Thema für große Konzerne. Die Realität ist eine andere: Die DSGVO gilt für jeden, der personenbezogene Daten verarbeitet — vom Einzelhändler über die Arztpraxis bis zum Hotel. Und die Anforderungen sind konkret, verbindlich und mit Bußgeldern bewehrt.

Die gute Nachricht: Der Digitalbonus Bayern erstattet bis zu 50% der Investitionskosten — für Firewall, Netzwerktrennung, E-Mail-Sicherheit, Backup und mehr. Das Programm läuft bis Dezember 2027.

💬 Kostenlose IT-Analyse: WhatsApp oder E-Mail Wir prüfen Ihre Infrastruktur kostenlos — kein Auftrag, kein Produktverkauf.

Die rechtliche Grundlage: Was ist tatsächlich vorgeschrieben?

DSGVO Artikel 32 — Sicherheit der Verarbeitung

Quelle: Art. 32 DSGVO

„Der Verantwortliche und der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten."

Das bedeutet: Jedes Unternehmen, das personenbezogene Daten verarbeitet — also Namen, E-Mail-Adressen, Gesundheitsdaten, Buchungsinformationen — muss technische Schutzmaßnahmen einrichten. Nicht als Empfehlung, sondern als gesetzliche Pflicht.

BSI IT-Grundschutz — Der technische Standard

Quelle: BSI IT-Grundschutz Kompendium

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert im IT-Grundschutz konkret, was „geeignete technische Maßnahmen" im Sinne der DSGVO bedeuten. Deutsche Gerichte und Datenschutzbehörden orientieren sich bei Prüfungen an diesem Standard.

Gilt BSI IT-Grundschutz für kleine Unternehmen? Formal ist er freiwillig — aber: Die DSGVO schreibt „Stand der Technik" vor. In Deutschland entspricht dieser dem BSI IT-Grundschutz. Wer ihn nicht einhält, kann bei einer Prüfung nachweisen müssen, warum seine abweichenden Maßnahmen gleichwertig sind.

Was konkret vorgeschrieben ist — Maßnahme für Maßnahme

1. Firewall — Pflicht nach BSI NET.3.2

Rechtsgrundlage: BSI IT-Grundschutz, Baustein NET.3.2 Firewall

BSI NET.3.2.A2 schreibt vor:

„Es muss ein Regelwerk für die Firewall erstellt werden. Es darf kein Datenverkehr automatisch vom externen ins interne Netz gelangen."

BSI NET.3.2.A9 ergänzt:

„Die Firewall muss alle wichtigen Ereignisse protokollieren."

Was das in der Praxis bedeutet:

• Ein einfacher DSL-Router ist keine Firewall im Sinne des BSI
• Eine UTM-Firewall (z. B. Fortinet FortiGate, Palo Alto) ist erforderlich
• Die Firewall muss zwischen allen Netzwerkzonen stehen — nicht nur zwischen Internet und internem Netz

Förderfähig durch Digitalbonus: ✅ Ja — Hardware und Konfigurationsleistung

2. Netzwerksegmentierung (VLANs) — Pflicht nach BSI NET.1.1 und DSGVO Art. 25

Rechtsgrundlage:

• BSI IT-Grundschutz, Baustein NET.1.1 Netzarchitektur und -design
• DSGVO Art. 25 — Datenschutz durch Technikgestaltung (Privacy by Design)

„Personenbezogene Daten sind so zu verarbeiten, dass nur die Personen Zugang haben, die ihn für ihre Aufgaben benötigen."

Was das in der Praxis bedeutet:

Folgende Geräteklassen müssen in getrennten Netzwerken (VLANs) betrieben werden:

Warum Drucker gefährlich sind: IP-Drucker haben oft veraltete Firmware und keine automatischen Sicherheitsupdates. Ein kompromittierter Drucker im gleichen Netzwerk wie der Buchhaltungs-PC gibt Angreifern direkten Zugriff auf alle Daten.

Warum IP-Kameras gefährlich sind: Billige IP-Kameras (Hikvision, Dahua) werden regelmäßig in internationalen Hackerangriffen missbraucht — als Einstiegspunkt ins Unternehmensnetzwerk.

Förderfähig durch Digitalbonus: ✅ Ja — Managed Switches, Access Points, Konfigurationsleistung

3. Gäste-WLAN mit Captive Portal und Log-Speicherung

Rechtsgrundlage:

• DSGVO Art. 32 — Technische Schutzmaßnahmen
• § 100 TKG (Telekommunikationsgesetz) — Verkehrsdaten
• BSI IT-Grundschutz NET.2.2 — WLAN-Nutzung

Was vorgeschrieben ist:

a) Vollständige Isolation: Das Gäste-WLAN darf keinerlei Zugriff auf interne Systeme haben. Ein Hotelgast oder Patient im Wartezimmer darf nicht auf Buchungssysteme, Drucker oder Mitarbeiter-Dateien zugreifen können.

b) Verbindungsprotokolle — 12 Monate Speicherpflicht: Wer öffentliches WLAN anbietet, muss Verbindungsdaten (IP-Adresse, Verbindungszeitpunkt, Verbindungsdauer) für 12 Monate aufbewahren — für eventuelle behördliche Anfragen.

c) Captive Portal mit DSGVO-Einwilligung: Beim Login muss der Gast über die Datenverarbeitung informiert werden und aktiv zustimmen.

Technische Umsetzung: Die Verbindungslogs werden von der Firewall (z. B. FortiGate) erfasst und automatisch auf ein NAS-Gerät übertragen — dort für 12 Monate gespeichert.

Förderfähig durch Digitalbonus: ✅ Ja — WLAN-Hardware und Konfiguration

4. E-Mail-Sicherheit — Pflicht nach BSI APP.5.3 und DSGVO Art. 32

Rechtsgrundlage:

• BSI IT-Grundschutz, Baustein APP.5.3 Allgemeiner E-Mail-Client und -Server
• DSGVO Art. 32 — Schutz vor unbefugtem Zugriff und Datenverlust

BSI APP.5.3.A1 schreibt vor:

„Es müssen Schutzmaßnahmen gegen Schadsoftware in E-Mails getroffen werden. Eingehende und ausgehende E-Mails müssen auf Schadsoftware überprüft werden."

Was das in der Praxis bedeutet: Ein einfaches E-Mail-Postfach bei Ionos oder Strato ohne zusätzlichen Schutz ist nicht ausreichend.

Erforderlich ist:

• Spam-Filterung: Blockierung unerwünschter Massen-E-Mails
• Malware-Schutz: Erkennung schädlicher Anhänge (Ransomware, Trojaner)
• Phishing-Schutz: Erkennung gefälschter Absenderadressen (Business Email Compromise)
• Protokollierung: Nachweis aller gefilterten E-Mails

Technische Lösung: Ein Cloud-basierter E-Mail-Security-Gateway (z. B. Hornetsecurity, FortiMail Cloud) leitet alle eingehenden E-Mails durch einen Sicherheitsfilter, bevor sie beim Empfänger ankommen. Funktioniert mit jedem bestehenden E-Mail-System — Office 365, Google Workspace oder einfachem Webmail.

Förderfähig durch Digitalbonus: ✅ Ja — als IT-Sicherheits-Softwarelizenz (bis 18 Monate)

5. Endpoint-Schutz (Antivirus / EDR) — Pflicht nach BSI SYS.2.1 und DSGVO Art. 32

Rechtsgrundlage:

• BSI IT-Grundschutz, Baustein SYS.2.1 Allgemeiner Client
• DSGVO Art. 32 — Schutz vor Datenverlust durch Schadsoftware

BSI SYS.2.1.A6 schreibt vor:

„Auf Clients muss ein Virenschutzprogramm installiert und aktiviert sein. Das Virenschutzprogramm muss regelmäßig aktualisiert werden."

BSI SYS.2.1.A7 ergänzt:

„Sicherheitsrelevante Ereignisse müssen protokolliert und auf Auffälligkeiten geprüft werden."

Was das in der Praxis bedeutet:

Ein einzelnes Antivirusprogramm auf jedem PC — ohne zentrale Verwaltung — entspricht nicht dem BSI-Standard. Erforderlich ist:

• Zentrales Management: Ein Administrator sieht den Schutzstatus aller Geräte auf einen Blick
• Echtzeit-Schutz: Bedrohungen werden erkannt, bevor sie Schaden anrichten
• Ransomware-Schutz: Dateiverschlüsselung durch Schadsoftware wird blockiert
• Protokollierung: Alle Sicherheitsereignisse werden aufgezeichnet — für eventuelle Prüfungen
• Monatliche Berichte: Nachweis aktiver Schutzmaßnahmen

Technische Lösung: Zentral verwaltete EDR-Lösungen wie Bitdefender GravityZone oder ESET Protect ermöglichen die Verwaltung aller Geräte über ein zentrales Dashboard.

Förderfähig durch Digitalbonus: ✅ Ja — Softwarelizenzen und Einrichtungsleistung

6. Datensicherung (Backup) — Pflicht nach BSI CON.3 und GoBD

Rechtsgrundlage:

• BSI IT-Grundschutz, Baustein CON.3 Datensicherungskonzept
• GoBD (Grundsätze zur ordnungsgemäßen Buchführung) — gesetzliche Aufbewahrungspflichten
• DSGVO Art. 32 — Wiederherstellbarkeit personenbezogener Daten

BSI CON.3.A7 schreibt vor:

„Die gesicherten Daten müssen regelmäßig wiederhergestellt werden, um die Funktionsfähigkeit der Datensicherung zu überprüfen."

Die 3-2-1-Regel — Branchenstandard:

• 3 Kopien der Daten
• 2 verschiedene Speichermedien (z. B. NAS + Cloud)
• 1 Kopie außerhalb des Gebäudes (z. B. AWS Frankfurt)

Was das in der Praxis bedeutet: Eine einzelne externe Festplatte, die gelegentlich manuell bespielt wird, entspricht nicht dem BSI-Standard. Erforderlich ist:

• Automatische tägliche Sicherung — kein manueller Eingriff
• Verschlüsselung — Daten sind auch bei Diebstahl des Backupmediums geschützt
• Externe Kopie — bei Feuer oder Einbruch bleibt das Backup erhalten
• Regelmäßige Wiederherstellungstests — Nachweis, dass das Backup funktioniert
• GoBD-Konformität — Aufbewahrungsfristen von 6–10 Jahren für buchhalterische Daten

Technische Lösung: NAS-Gerät (z. B. Synology) mit automatischer verschlüsselter Synchronisation zu AWS S3 Frankfurt — EU-Rechenzentrum, DSGVO-konform.

Förderfähig durch Digitalbonus: ✅ Ja — NAS-Hardware und Cloud-Backup-Einrichtung

Reale Bußgelder — ausgelöst durch Beschwerden, nicht durch Inspektionen

Das BayLDA führt keine regelmäßigen Routineprüfungen durch. Bußgelder entstehen durch:

• Kundenbeschwerden — ein unzufriedener Patient, Gast oder Mitarbeiter
• Datenpannen — Hackerangriff, Datenverlust, versehentliche Weitergabe
• Konkurrenzbeschwerden — Mitbewerber erstatten Anzeige

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) verhängte 2023 die höchste Anzahl an Bußgeldern seit Einführung der DSGVO. Reale Beispiele: Zahnarztpraxis in Bayern €3.500, Einzelhandel €1.200 — ausgelöst durch einzelne Kundenbeschwerden.

Wichtig: Unwissenheit schützt nicht vor Strafe. Die DSGVO gilt seit 2018 — jedes Unternehmen hatte Zeit, sich anzupassen.

Was der Digitalbonus Bayern fördert

Programm: Digitalbonus Bayern Förderquote: 50% der förderfähigen Kosten Maximum: €7.500 (Digitalbonus Standard) — je einmal pro Förderbereich (IT-Sicherheit und Digitalisierung) Laufzeit: bis 31. Dezember 2027 Antragstellung: ausschließlich digital über ELSTER-Unternehmenskonto

Wichtige Bedingung: Der Antrag muss vor Projektbeginn gestellt werden. Weder Bestellung noch mündliche Auftragserteilung dürfen vor Eingang der Antragsbestätigung erfolgen.

Beispielrechnung: Kleines Hotel (10 Zimmer, 5 Mitarbeiter)

Das Hotel zahlt €2.750 — der Freistaat Bayern übernimmt €2.750.

Für wen ist das relevant?

• Hotels & Pensionen — Gäste-WLAN, Kamerasysteme, Buchungsdaten, POS-Terminals
• Arztpraxen & Therapiepraxen — Patientendaten, Schweigepflicht, DSGVO + §75b SGB V
• Anwaltskanzleien — Mandantengeheimnis, strenge DSGVO-Pflichten
• Cafés & Restaurants — Gäste-WLAN, Kassensystem, Reservierungsdaten
• Sprachschulen — Schüler-WLAN, Verwaltungsdaten, Lehrerdaten
• Kleine Büros (2–20 Personen) — ohne eigene IT-Abteilung

Was wir anbieten: Unabhängige Beratung — kein Produktverkauf

Wir verkaufen keine Produkte. Sie wählen Ihre eigenen Anbieter und Produkte — wir helfen bei Planung, Installation, Konfiguration und Dokumentation.

Als Senior Network Security Engineer mit 11+ Jahren Erfahrung in Banking, Industrie und Hotellerie (u. a. Hilton, Marriott, Crown Hotel Group, Wyndham Grand Europa) bieten wir:

1. Kostenlose IT-Infrastruktur-Analyse — wir schauen uns Ihre aktuelle Situation an und zeigen, wo die Lücken sind
2. Unabhängige Produktempfehlung — wir empfehlen, was zu Ihnen passt, nicht was am teuersten ist
3. Technische Umsetzung — VLAN-Konfiguration, Firewall-Einrichtung, Backup-Setup, E-Mail-Sicherheit
4. Digitalbonus-Antragsvorbereitung — wir helfen bei der Dokumentation der förderfähigen Maßnahmen
5. Laufende Wartung — monatliche Überwachung, Updates, Ansprechpartner bei Problemen

Nächster Schritt: Kostenlose Analyse

📱 WhatsApp: wa.me/4916098665971

📧 E-Mail: info@barashhelvadzhaoglu.com

Kostenlose Analyse. Kein Auftrag ohne Ihre Zustimmung. Kein Produktverkauf — nur Beratung und technisches Know-how.

Weiterführende Links

• Digitalbonus Bayern — Offizielles Förderprogramm
• DSGVO Artikel 32 — Sicherheit der Verarbeitung
• BSI IT-Grundschutz Kompendium
• BayLDA — Bayerisches Landesamt für Datenschutzaufsicht
• GoBD — Grundsätze zur Buchführung