Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 12 min Lesezeit

Ransomware-Notfallplan: die ersten 60 Minuten

Dieser Ransomware-Notfallplan führt dich als Zeitleiste durch die ersten 60 Minuten nach einem Verschlüsselungsangriff: erkennen, isolieren statt ausschalten, eskalieren, eingrenzen, Backups schützen und fristgerecht melden. Mit Checklisten, Tabellen und Vorlagen für den Mittelstand.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zum Ransomware-Notfallplan für die ersten 60 Minuten, mit Sofortmaßnahmen wie Systeme isolieren, Vorfall dokumentieren, Verantwortliche alarmieren, Kommunikation steuern und Wiederherstellung vorbereiten.

Ein Ransomware-Notfallplan entscheidet darüber, ob ein Verschlüsselungsangriff ein beherrschbarer Zwischenfall bleibt oder zur Existenzkrise wird. Diese Anleitung ist als Zeitleiste für die ersten 60 Minuten aufgebaut: Du erfährst, wie du den Verdacht bestätigst, betroffene Systeme isolierst (ohne sie vorschnell auszuschalten), den Krisenstab aktivierst, den Schaden eingrenzt, deine Backups rettest und parallel die gesetzlichen Meldefristen einhältst. Sie richtet sich an Admins und IT-Verantwortliche im Mittelstand und ist bewusst anbieterneutral und prozessorientiert gehalten – wenig Code, dafür klare Schritte, Tabellen und Vorlagen, die du in dein eigenes Runbook übernehmen kannst.

Kurzfassung: Entdeckungszeit notieren (sie startet die 72-Stunden-Frist). Betroffene Systeme sofort vom Netz trennen – Kabel ziehen, WLAN und Bluetooth aus – aber nicht herunterfahren, solange Forensik oder Strafanzeige geplant sind. Krisenstab über die ausgedruckte Offline-Kontaktliste aktivieren und out-of-band kommunizieren. Backups vom kompromittierten Netz trennen und auf eine saubere Offline-/Immutable-Kopie prüfen. Melden: Aufsichtsbehörde (DSGVO, 72 h), BSI (NIS-2, 24 h falls reguliert), Cyberversicherer und Strafanzeige bei der ZAC. Kein Lösegeld zahlen. Alles lückenlos dokumentieren.

Voraussetzungen

Ein Notfallplan funktioniert nur, wenn er vor dem Ernstfall vorbereitet ist. Diese Dinge müssen bereitliegen, bevor die Uhr läuft:

  1. Ein ausgedrucktes Runbook und eine Notfallkontaktliste auf Papier (off-system). E-Mail, Active Directory und Telefonanlage können beim Vorfall ausgefallen oder mitgelesen sein – analog zur Notfallkarte „Verhalten im Brandfall“.
  2. Eine klar benannte Eskalationskette mit Verantwortlichen: Incident-Lead, Geschäftsführung, Datenschutzbeauftragter (DSB), IT-Forensik/DFIR-Dienstleister, Rechtsanwalt, Cyberversicherer und Pressekontakt.
  3. Getestete Offline- oder Immutable-Backups nach der 3-2-1-1-0-Regel (siehe unten), die nachweislich wiederherstellbar sind.
  4. Eine vorab definierte Out-of-Band-Kommunikation (private Mobiltelefone, ein unabhängiger Messenger), falls die internen Kanäle kompromittiert sind.
  5. Geklärte Betroffenheit: Ist dein Unternehmen eine besonders wichtige oder wichtige Einrichtung nach NIS-2? Dann gilt zusätzlich die 24-Stunden-Erstmeldung ans BSI.

Die Zeitleiste auf einen Blick

Diese Tabelle ist das Herzstück des Notfallplans. Übernimm sie in dein Runbook und trage deine konkreten Verantwortlichen und Kontakte ein. Die Minutenangaben sind ein Richtwert – einige Aktionen laufen parallel.

Phase / MinuteMaßnahmeVerantwortlichKontakt

0–5 Erkennen

Verdacht bestätigen, Entdeckungszeit notieren, nicht herunterfahren

Erstfinder / Diensthabender

IT-Leitung

5–15 Isolieren

Netz trennen (Kabel, WLAN, Bluetooth), Zugänge sperren, Gerät anlassen

IT / Admin

IT-Forensik (DFIR)

15–25 Eskalieren

Incident-Lead benennen, Krisenstab aktivieren, out-of-band informieren

Incident-Lead

GF, DSB, Versicherer

25–40 Eingrenzen + Backups

Betroffene Systeme kartieren, Backup-Repositories trennen und prüfen

IT / Forensik

Backup-Verantwortlicher

40–60 Melden

Aufsichtsbehörde, BSI, Versicherer, Strafanzeige; Doku starten

DSB / Rechtsberatung

Aufsichtsbehörde, ZAC, BSI

Schritt 1: Erkennen (0–5 Minuten)

Zuerst bestätigst du, dass es sich wirklich um Ransomware handelt – und bewahrst Ruhe. Der häufigste und teuerste Fehler in dieser Phase ist das panische Herunterfahren des Rechners.

Typische Anzeichen eines Verschlüsselungsangriffs:

  1. Eine Lösegeldforderung (Ransom-Note) als Textdatei, Bildschirmhintergrund oder Pop-up.
  2. Massenhaft umbenannte oder verschlüsselte Dateien mit neuen, unbekannten Endungen.
  3. Ungewöhnlich hohe CPU- und Festplattenlast ohne erkennbaren Grund.
  4. Plötzlich deaktivierter Virenschutz oder fehlende Schutzdienste.

Die wichtigste Einzelhandlung jetzt: Notiere die Uhrzeit der Entdeckung. Ab diesem Zeitpunkt der Kenntnisnahme laufen die rechtlichen Fristen, allen voran die 72-Stunden-Frist nach DSGVO. Schreibe sie zusammen mit den ersten Beobachtungen direkt in die Zeitleiste deiner Dokumentation.

Entdeckungszeit:   02.06.2026  09:14 Uhr
Entdeckt von:      Vorname Name (Abteilung)
Erste Symptome:    Ransom-Note auf Desktop, Dateien mit Endung .lockxyz
Betroffenes Geraet: Hostname / IP / Standort
Status:            EINGESCHALTET gelassen, NICHT heruntergefahren

Schritt 2: Isolieren statt ausschalten (5–15 Minuten)

Jetzt geht es darum, die Ausbreitung zu stoppen, ohne forensische Spuren zu vernichten. Das BSI empfiehlt eindeutig: isolieren statt ausschalten.

  1. Netzwerk trennen: Netzwerkkabel der betroffenen Systeme physisch ziehen, WLAN und Bluetooth deaktivieren.
  2. Ausbreitung bremsen: Bei aktivem Befall ggf. den betroffenen Switch-Port abschalten, das Netzsegment trennen oder den Internet-Uplink kappen.
  3. Zugänge sperren: VPN- und Remote-Zugänge sowie erkannte Angreifer-Zugänge deaktivieren.
  4. Gerät anlassen: Kein Shutdown, kein Reboot, solange eine technische Analyse oder Strafverfolgung beabsichtigt ist.

Warum nicht ausschalten? Im Arbeitsspeicher (RAM) liegen flüchtige Daten, die nach dem Stromverlust unwiederbringlich verloren sind: laufende Prozesse, aktive Netzverbindungen, geladene Module und im besten Fall sogar Verschlüsselungs-Schlüssel. Diese Daten können über eine Wiederherstellung ohne Lösegeld oder über die Identifikation der Tätergruppe entscheiden.

Merksatz: Stecker raus aus dem Netz, Stecker drin in der Steckdose. Trenne die Verbindung, aber lass das Gerät laufen, solange Forensik oder Anzeige geplant sind.

Beweise sichern (parallel)

Wenn Forensik oder Strafverfolgung infrage kommen, sicherst du Beweise bevor ein Bereinigungs- oder Antiviren-Tool läuft – ein AV-Scan vernichtet Spuren. Die DFIR-Faustregel lautet: Memory-Capture hat Vorrang vor Disk-Imaging, wenn du wählen musst.

  1. RAM-Speicherabbild (Memory-Dump) erstellen – Standard-Werkzeug für die Memory-Forensik bleibt das Volatility-Framework.
  2. Forensisches Disk-Image der betroffenen Datenträger anlegen.
  3. Logs sichern: Server-, Firewall- und EDR-Protokolle; an Netzkoppelelementen ggf. ein zentrales Full-Packet-Capturing aktivieren.
  4. Im Zweifel externe IT-Forensik / DFIR-Dienstleister hinzuziehen, statt selbst am System zu manipulieren.

Ein wichtiger Schutzreflex: Melde dich nicht mit privilegierten oder Admin-Konten auf potenziell infizierten Systemen an. Die Angreifer greifen solche Zugangsdaten ab und bewegen sich damit lateral weiter durchs Netz. Behandle kompromittierte Admin-Konten als verbrannt.

Schritt 3: Eskalieren (15–25 Minuten)

Ein Ransomware-Vorfall ist kein reines IT-Problem, sondern eine Unternehmenskrise. Jetzt aktivierst du den Krisenstab – über die ausgedruckte Offline-Kontaktliste, nicht über die womöglich kompromittierten internen Kanäle.

  1. Incident-Lead benennen: eine Person, die koordiniert, entscheidet und die Dokumentation verantwortet.
  2. Krisenstab aktivieren: Geschäftsführung, Datenschutzbeauftragter, IT-Leitung/Forensik, Rechtsberatung, Cyberversicherer (oft 24/7-Hotline) und Pressekontakt.
  3. Out-of-band kommunizieren: über private Mobiltelefone oder einen unabhängigen Messenger, falls E-Mail, Active Directory oder Kollaborationstools betroffen sind oder mitgelesen werden.

Halte für den Krisenstab eine separate Kontakt-Tabelle bereit – ebenfalls ausgedruckt und offline:

Rolle / StelleNameTelefon / 24h-Hotline

Incident-Lead

Geschäftsführung

Datenschutzbeauftragter (DSB)

IT-Forensik / DFIR-Dienstleister

Cyberversicherung

Rechtsanwalt (IT-Recht)

Zuständige Aufsichtsbehörde

BSI-Meldestelle (NIS-2)

ZAC des zuständigen LKA

Schritt 4: Eingrenzen (25–40 Minuten)

Verschaffe dir ein Bild vom Ausmaß. Du musst wissen, was betroffen ist – nicht nur für die Wiederherstellung, sondern auch für die rechtliche Risikobewertung.

  1. Systeme kartieren: betroffene gegen nicht betroffene Server, Clients, Konten und Daten. Wo war Patient Zero, wie verlief der Ausbreitungspfad, wann begann der Angriff?
  2. Personenbezogene Daten prüfen: Welche personenbezogenen Daten sind betroffen? Das ist die Grundlage für die DSGVO-Risikobewertung und die Meldung.
  3. Konten bewerten: kompromittierte Admin-Konten als verbrannt behandeln, keine Anmeldung mit privilegierten Konten auf verdächtigen Systemen.

Gehe davon aus, dass befallene Systeme vollständig kompromittiert sind. Eine punktuelle Bereinigung ist unrealistisch – das BSI empfiehlt die komplette Neuinstallation. Plane die Wiederherstellung deshalb in eine frisch aufgesetzte, saubere Umgebung, nicht zurück ins kompromittierte Netz.

Schritt 5: Backups schützen (parallel ab Minute 25)

Backups sind dein wichtigstes Faustpfand – und genau deshalb das Hauptziel der Angreifer. In rund 96 % der Fälle zielt Ransomware aktiv auf die Backups, etwa 89 % der Vorfälle umfassen zusätzlich Datenexfiltration (Double Extortion). Handle deshalb sofort:

  1. Backup-Repositories vom kompromittierten Netz trennen, bevor sie verschlüsselt oder gelöscht werden.
  2. Saubere Kopie prüfen: Existiert eine Offline- oder Immutable-Kopie, die nicht mitverschlüsselt wurde?
  3. Restore erst später: Wiederherstellen ausschließlich in eine bereinigte, neu aufgesetzte Umgebung – niemals zurück ins noch kompromittierte Netz, sonst folgt die sofortige Re-Infektion.

Die 3-2-1-1-0-Regel als Grundlage

Diese erweiterte Backup-Regel ist die Vorbereitung, die genau jetzt den Unterschied macht:

ZifferBedeutung

3

Drei Kopien deiner Daten (Original plus zwei Backups)

2

Zwei verschiedene Medientypen

1

Eine Kopie offsite (außer Haus)

1

Eine Kopie offline (air-gapped) ODER immutable

0

Null Fehler – regelmäßig verifiziert und restore-getestet

Immutable bedeutet: für einen definierten Zeitraum von niemandem – auch nicht von Admins oder Ransomware – lösch- oder veränderbar. Air-Gap bedeutet physisch getrennt, etwa ein Band (Tape) oder eine externe Platte off-network. Eine reine Online-Sicherung im selben Netz ist kein Schutz gegen Ransomware.

Schritt 6: Melden (40–60 Minuten, Fristen laufen ab Kenntnis)

In der ersten Stunde laufen bis zu vier Meldewege parallel an. Entscheidend: Die Fristen starten mit der Kenntnisnahme des Vorfalls – nicht erst mit der internen Eskalation oder der abgeschlossenen Analyse.

a) Aufsichtsbehörde nach Art. 33 DSGVO (72 Stunden)

Eine Verletzung des Schutzes personenbezogener Daten meldest du der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden ab Kenntnis – es sei denn, es besteht voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen. Wichtig: Auch die reine Verfügbarkeitsverletzung durch Verschlüsselung ist meldepflichtig, nicht nur ein Datenabfluss. Eine Verspätung über 72 Stunden hinaus musst du begründen. Bußgelder reichen bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO).

Pflichtinhalte der Meldung nach Art. 33 Abs. 3 DSGVO – die Meldung darf nach Abs. 4 schrittweise erfolgen:

a) Art der Verletzung: Kategorien und ungefaehre Zahl
   betroffener Personen und Datensaetze
b) Name und Kontaktdaten des DSB / einer Anlaufstelle
c) Wahrscheinliche Folgen der Verletzung
d) Ergriffene oder vorgeschlagene Abhilfemassnahmen

Nach Art. 33 Abs. 5 DSGVO musst du außerdem alle Fakten, Auswirkungen und Maßnahmen dokumentieren – auch dann, wenn du dich gegen eine Meldung entscheidest, samt Begründung.

b) BSI nach NIS-2 (24 Stunden, falls reguliert)

Bist du eine besonders wichtige oder wichtige Einrichtung nach dem NIS2UmsuCG (in Kraft seit 06.12.2025, ohne Übergangsfrist), gilt bei einem erheblichen Sicherheitsvorfall eine dreistufige Meldung ans BSI über das BSI-Meldeportal:

StufeFrist ab KenntnisInhalt

Frühwarnung / Erstmeldung

binnen 24 Stunden

erste Meldung des Vorfalls

Folgemeldung

binnen 72 Stunden

Bewertung, Indikatoren (IoCs)

Abschlussmeldung

binnen 1 Monat

abschließender Bericht

c) Strafanzeige bei der ZAC

Erstatte Strafanzeige bei der Zentralen Ansprechstelle Cybercrime (ZAC) des für deinen Firmensitz zuständigen Landeskriminalamts. Unternehmen und Institutionen wenden sich an die ZAC, Privatpersonen an die Online-Wache der Landespolizei. Die Anzeige ist häufig Voraussetzung für Leistungen der Cyberversicherung und kann Hinweise auf die Tätergruppe oder verfügbare Entschlüsselungstools liefern.

d) Cyberversicherer

Informiere deinen Cyberversicherer gemäß Police – oft gilt eine vertragliche Frist von 24 bis 72 Stunden, und die Meldung ist Voraussetzung für die Deckung. Viele Versicherer betreiben eine 24/7-Hotline und stellen DFIR-Dienstleister.

Betroffene benachrichtigen (Art. 34 DSGVO)

Besteht voraussichtlich ein hohes Risiko für die Betroffenen, benachrichtigst du sie zusätzlich unverzüglich, in klarer und einfacher Sprache, mit den Angaben nach Art. 33 Abs. 3 Buchstaben b, c und d. Ausnahmen gelten u. a., wenn die Daten durch Verschlüsselung oder geeignete Maßnahmen für Unbefugte unverständlich waren oder das Folgerisiko nachweislich gebannt ist. Bei unverhältnismäßigem Aufwand – etwa sehr vielen Betroffenen – ist eine öffentliche Bekanntmachung zulässig.

Lösegeld: nicht zahlen

BSI, BKA und Europol/No More Ransom raten einhellig davon ab, Lösegeld zu zahlen. Eine Zahlung garantiert weder die Entschlüsselung noch den Schutz vor einem erneuten Angriff – zahlende Opfer werden als zahlungsbereit markiert und gezielt wieder angegriffen. Hinzu kommen straf- und sanktionsrechtliche Risiken bei Zahlungen an sanktionierte Gruppen.

Prüfe stattdessen auf nomoreransom.org, ob für die konkrete Ransomware-Variante ein kostenloser Decryptor existiert, und bindet Behörden und Forensik ein.

Durchgehend: dokumentieren

Führe vom ersten Moment an eine lückenlose Zeitleiste: Entdeckungszeit, jede einzelne Maßnahme, jede Entscheidung und jede Meldung mit Uhrzeit. Diese Dokumentation erfüllt die Pflicht aus Art. 33 Abs. 5 DSGVO, schützt dich im Bußgeldverfahren und ist Grundlage für die Versicherungsleistung.

Typische Fehler

  1. Vorschnell herunterfahren oder neu starten: zerstört flüchtige Forensik-Spuren im RAM (Prozesse, Netzverbindungen, evtl. Schlüssel) und kann die Wiederherstellung erschweren. Isolieren statt ausschalten.
  2. Falsche Annahme zur 72-Stunden-Frist: Sie beginnt mit der Kenntnis des Vorfalls, nicht nach interner Eskalation oder Analyse. Das ist der häufigste Auslöser für Bußgeldverfahren bei KMU.
  3. Reine Verschlüsselung als nicht meldepflichtig einstufen: Verfügbarkeitsverletzungen sind ebenso meldepflichtig wie Vertraulichkeitsverletzungen.
  4. Backups erst im Vorfall prüfen: Sie sind oft mitverschlüsselt oder gelöscht. Ohne getrennte Offline-/Immutable-Kopie keine sichere Wiederherstellung.
  5. Anmeldung mit Domain-Admin-Konten auf kompromittierten Systemen: Angreifer greifen die Credentials ab und bewegen sich lateral weiter.
  6. Punktuelle Bereinigung statt Neuinstallation – und ein AV-Scan vor der Forensik vernichtet zusätzlich Beweise.
  7. Wiederherstellung ins noch kompromittierte Netz: führt zur sofortigen Re-Infektion.
  8. Kommunikation über kompromittierte Kanäle (E-Mail, AD, Teams), die Angreifer mitlesen – nutze Out-of-Band. Und Kontaktlisten nur digital vorzuhalten hilft beim Totalausfall nicht: deshalb der Papierausdruck.
  9. NIS-2-Pflichten übersehen: Die 24-Stunden-Erstmeldung gilt seit 06.12.2025 ohne Übergangsfrist – prüfe deine eigene Betroffenheit.
  10. Verpasste Frist beim Cyberversicherer: kann den Versicherungsschutz kosten; die Strafanzeige ist häufig Deckungsvoraussetzung.

Häufige Fragen

Warum soll ich den befallenen Rechner nicht einfach ausschalten?

Weil im Arbeitsspeicher flüchtige Daten liegen, die beim Stromverlust verloren gehen: laufende Prozesse, aktive Netzverbindungen, geladene Module und im besten Fall Verschlüsselungs-Schlüssel. Diese können über eine Wiederherstellung ohne Lösegeld oder die Identifikation der Tätergruppe entscheiden. Trenne das Gerät deshalb vom Netz, lass es aber eingeschaltet, solange Forensik oder eine Anzeige geplant sind.

Ab wann läuft die 72-Stunden-Frist der DSGVO?

Ab der Kenntnisnahme des Vorfalls, also dem Zeitpunkt, an dem dir die Verletzung mit angemessener Sicherheit bekannt wird. Nicht erst ab der internen Eskalation oder der abgeschlossenen Analyse. Deshalb notierst du die Entdeckungszeit sofort und beginnst zügig mit der Meldung an die Aufsichtsbehörde.

Muss ich auch melden, wenn nur verschlüsselt und nichts gestohlen wurde?

Ja. Die Verschlüsselung ist eine Verletzung der Verfügbarkeit personenbezogener Daten und damit ebenso meldepflichtig wie ein Datenabfluss, sofern ein Risiko für die Betroffenen besteht. Die Annahme, reine Verschlüsselung sei nicht meldepflichtig, ist falsch.

Soll ich das Lösegeld zahlen, wenn die Backups verloren sind?

BSI, BKA und Europol raten einhellig ab. Eine Zahlung garantiert weder Entschlüsselung noch Schutz vor erneuten Angriffen, markiert dich als zahlungsbereit und birgt rechtliche Risiken bei sanktionierten Gruppen. Prüfe stattdessen auf nomoreransom.org einen kostenlosen Decryptor und binde Behörden und Forensik ein.

Wir sind ein kleines Unternehmen – gilt NIS-2 überhaupt für uns?

Das hängt von Größe und Sektor ab. Die 24-Stunden-Erstmeldung ans BSI gilt seit dem 06.12.2025 für besonders wichtige und wichtige Einrichtungen ohne Übergangsfrist. Kläre deine Betroffenheit vorab – unabhängig davon bleibt die DSGVO-Meldepflicht bestehen.

An wen erstatte ich als Unternehmen Strafanzeige?

An die Zentrale Ansprechstelle Cybercrime (ZAC) des für deinen Firmensitz zuständigen Landeskriminalamts. Unternehmen und Institutionen wenden sich an die ZAC, Privatpersonen an die Online-Wache der Landespolizei. Die Anzeige ist oft Voraussetzung für Leistungen der Cyberversicherung.

Fazit

Ein guter Ransomware-Notfallplan wird vor dem Ernstfall geschrieben und im Ernstfall stur abgearbeitet. Die Reihenfolge ist klar: Entdeckungszeit notieren, isolieren statt ausschalten, Beweise sichern, den Krisenstab über die ausgedruckte Offline-Liste aktivieren, den Schaden eingrenzen, die Backups vom Netz trennen und auf eine saubere Kopie prüfen – und parallel fristgerecht melden an Aufsichtsbehörde, BSI, Versicherer und ZAC. Kein Lösegeld zahlen, alles lückenlos dokumentieren. Drucke die Zeitleiste und die Kontakttabelle aus, lege sie griffbereit und übe den Ablauf einmal im Jahr. Dann bleibt aus 60 chaotischen Minuten ein kontrollierter Prozess.

Weiterführende Anleitungen und Quellen

  1. Backup-Restore-Test-Routine etablieren – die 0 in der 3-2-1-1-0-Regel: regelmäßig prüfen, dass deine Backups wirklich wiederherstellbar sind.
  2. Microsoft 365 Backup-Grundlagen einrichten – externe, vom Tenant getrennte Sicherung deiner Cloud-Daten.
  3. Phishing erkennen und melden – Leitfaden fürs Team – Phishing ist das häufigste Einfallstor für Ransomware; sensibilisiere dein Team.
  4. Weitere Anleitungen in der Kategorie Sicherheit

Quellen: BSI – Ich habe einen IT-Sicherheitsvorfall, Checkliste Technik; Art. 33 und Art. 34 DSGVO; BSI – NIS-2-Meldepflicht (24h/72h/1 Monat); Polizei – Zentrale Ansprechstellen Cybercrime (ZAC); No More Ransom.

Verwandt

Weiter lesen

Alle Artikel →
Infografik zur Absicherung eines Linux-Servers mit UFW-Firewall und Fail2ban, mit Firewall-Regeln, SSH-Schutz, gesperrten Angreifer-IP-Adressen und Protokollüberwachung.
02.06.2026 ·10 min

Linux-Server absichern: UFW-Firewall und Fail2ban

Härte deinen Debian-12- oder Ubuntu-24.04-Server mit UFW und Fail2ban ab: Firewall-Regeln richtig setzen, Brute-Force-Angriffe automatisch sperren und den gefürchteten SSH-Lockout vermeiden.
Infografik zu einem datensicheren Löschkonzept nach DSGVO, mit Datenarten, Löschfristen, Verantwortlichkeiten, Speicherorten, Backups und dokumentierter Löschung personenbezogener Daten.
02.06.2026 ·11 min

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.
Infografik zur DSGVO-Praxis mit dokumentierten technischen und organisatorischen Maßnahmen, Risikoanalyse, Verantwortlichkeiten sowie vertraglich geregelter Auftragsverarbeitung nach Art. 28 DSGVO.
02.06.2026 ·10 min

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.