Digitalagentur Dachau | Internet Agentur Scherer

Internet Agentur Scherer
Für den Datenschutz fühlt sich die Rechtsabteilung verantwortlich, für die Informationssicherheit die IT.

Datenschutz trifft Informationssicherheit:
Recht & Technik - Hand in Hand

In kleinen und mittelständischen Betrieben trifft man oftmals auf eine harte Trennlinie: Für den Datenschutz fühlt sich die Rechtsabteilung verantwortlich, für die Informationssicherheit die IT. In der heutigen Praxis aber gehen Digitalisierung und Datenschutz in aller Regel gemeinsam und sehr eng einher. In den letzten Jahren haben wir unsere Agenturarbeit auch deshalb Schritt für Schritt um ein Thema erweitert, das viele Unternehmen in Bayern umtreibt: Datenschutz, IT-Sicherheit und digitale Souveränität. In diesem Beitrag zeigen wir Ihnen, warum genau diese Kombination aus Technik- und Datenschutzbrille im Alltag von kleinen und mittleren Unternehmen so wichtig ist. (Weiterlesen: Datenschutz mit digitaler Souveränität - Hand in Hand.)

Der Weg zum technischen Datenschutzauditor

Seit 2018 - mit Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) - beschäftigen unsere Internetagentur die großen Datenschutzfragen unserer Kundinnen und Kunden deutlich intensiver als früher. Mit jeder neuen Website, jedem Kundenportal und jeder Schnittstelle wurde klarer: Es geht längst nicht mehr nur um „schönen Code“ und gutes Design, sondern immer auch um den verantwortungsvollen Umgang mit Daten.

Um hier nicht nur aus dem Bauch heraus zu entscheiden, hat unser Agenturinhaber Jürgen Scherer 2023 die Zertifizierung zum Datenschutzberater (IHK) abgelegt. Das hat geholfen, typische Stolperfallen zu erkennen – gerade dort, wo Abmahnkanzleien sich auf unklare oder veraltete Umsetzungen stürzen.

In diesem Jahr hat er einen weiteren Baustein dazugekommen: die Qualifizierung zum Datenschutzauditor (TÜV Rheinland). Damit kann/darf Herr Scherer Datenschutz nicht nur konzeptionell begleiten, sondern Unternehmen, Praxen und Organisationen strukturiert und nachvollziehbar auditieren – von der Dokumentation bis tief in die technische Umsetzung hinein.

Warum erzählen wir Ihnen das? Weil Datenschutz und Digitalisierung heute nur dann zusammenpassen, wenn die juristische und die technische Perspektive zusammenspielen. Und genau an dieser Schnittstelle arbeiten wir seit vielen Jahren – als Internetagentur und nun auch mit einem zertifizierten Datenschutzauditor.

Was ein technischer Datenschutzauditor anders macht

Die Mehrheit der Datenschutzbeauftragten und Datenschutzauditoren kommt aus der juristischen oder verwaltungsnahen Ecke. Das ist wichtig: Verträge, Verzeichnisse von Verarbeitungstätigkeiten und Richtlinien gehören zur Basis jedes geprüften Datenschutzes.

Herr Scherer kommt von der technischen Seite: Seit 1998 entwickelt seine Internetagentur Websites, Schnittstellen und digitale Infrastrukturen. Wenn er ein Datenschutzaudit durchführt, schaue er deshalb nicht nur an, ob es ein Logfile gibt oder ob in Unterlagen von „Verschlüsselung“ die Rede ist. Er kann Logfiles auch tatsächlich lesen – und eine Verschlüsselung technisch prüfen und nachvollziehen.

Konkret bedeutet das:
  • Er prüft nicht nur ob ein Häkchen bei „TLS aktiv“ gesetzt ist, sondern welche Protokolle, Cipher und Konfigurationen tatsächlich im Einsatz sind.
  • Er schaut nicht nur an, ob ein Dienstleister in Verträgen „Auftragsverarbeitung nach Art. 28 DSGVO“ zusichert, sondern auch, wie seine Systeme angebunden sind und welche Datenflüsse entstehen.
  • Er erkennt in Logfiles und Netzwerkdaten, ob es Auffälligkeiten gibt, die auf Fehlkonfigurationen, unnötige Datenübermittlungen oder Sicherheitslücken hindeuten.

Dieser technische Blick ergänzt die juristische Seite – und macht den Unterschied zwischen Papier-Sicherheit und tatsächlicher Sicherheit im laufenden Betrieb. Firmen, Praxen und Organisationen hilft diese Risikominimierung im täglichen Betrieb ungemein und stützt dabei die sogenannte CIA-Triade: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability).

Wenn das Internet wackelt:
Cloudflare-Ausfall und digitale Souveränität

Am 18. November 2025 hat ein Ausfall beim Infrastruktur-Anbieter Cloudflare für spürbare Störungen im Internet gesorgt. Weltweit waren für mehrere Stunden viele Websites und Dienste nur über Fehlermeldungen erreichbar, obwohl die eigentlichen Server im Hintergrund funktionsfähig waren. Ausgelöst wurde der Vorfall durch eine fehlerhafte Konfigurationsänderung im Zusammenspiel mit einer internen Datenbank und einem Feature-File für das Bot-Management.

Cloudflare ist (Stand 11/2025) für rund 20 % der Websites weltweit als Sicherheits- und Performance-Schicht zwischengeschaltet. Wenn diese Schicht ausfällt, zeigt sich, wie abhängig viele digitale Angebote von wenigen großen Infrastrukturknoten sind.

Für uns ist das ein deutliches Beispiel für digitale Souveränität in der Praxis:
  • Viele Unternehmen waren von einem Moment auf den anderen eingeschränkt, weil ein externer Dienst an zentraler Stelle nicht mehr reagierte.
  • Die eigenen Systeme liefen weiter, waren aber über das öffentliche Internet nur eingeschränkt erreichbar – der Flaschenhals lag außerhalb des direkten Einflussbereichs.

In unserer eigenen bayerischen Private-Cloud-Umgebung (BINTRA), die wir in Rechenzentren in Bayern betreiben, waren die Systeme unserer Kunden während dieses Vorfalls uneingeschränkt arbeitsfähig. E-Mails, Dateien und interne Anwendungen liefen normal weiter, weil wir bewusst auf eigene Infrastruktur und klar nachvollziehbare Abhängigkeiten setzen..

Natürlich kann kein System absolute Verfügbarkeit garantieren. Aber die Architektur macht einen Unterschied: Wer seine digitale Wertschöpfung auf wenige globale Dienste konzentriert, trägt ein anderes Risiko als ein Unternehmen, das auf eine transparente, regional verankerte Infrastruktur setzt – mit kurzen Wegen, klaren Verantwortlichkeiten und nachvollziehbarer Technik.

Digitale Souveränität bedeutet in diesem Kontext:
Sie wissen, wo Ihre Daten liegen, wer sie technisch verarbeitet – und wie kritisch einzelne Abhängigkeiten wirklich sind. Genau diese Fragen gehören mitunter in jedes seriöse Datenschutzaudit. Lesen Sie hier mehr zu unserer Hosting & Infrastruktur

Praxisbeispiel aus dem medizinischen Umfeld:
Wenn „verschlüsselt“ nicht wirklich verschlüsselt ist

Wie groß der Unterschied zwischen Papier-Sicherheit und technischer Realität sein kann, haben wir vor einigen Jahren bei der Digitalisierung einer medizinischen Praxis erlebt.

Die Ausgangslage

Eine Praxis in Bayern wollte ihre Abläufe modernisieren: sichere E-Mail, Dateiablage, Zusammenarbeit im Team – und das alles möglichst DSGVO-konform. Im Rahmen dieses Projekts haben wir die Praxis mit BINTRA digitalisiert und uns dabei im Vorfeld auch die vorhandene technische Infrastruktur genauer angesehen. Im Mittelpunkt stand eine etablierte Praxissoftware, die seit Jahren im Einsatz war und in Broschüren und Verträgen selbstverständlich mit „Sicherheit“ und „Verschlüsselung“ beworben wurde.

Technische Bestandsaufnahme

Für dieses Beispiel wichtig zu wissen: Medizinische Daten genießen nach der Datenschutz-Grundverordnung (DSGVO) ein besonders hohes Schutzniveau und werden in Artikel 9 DSGVO als "besondere Kategorien personenbezogener Daten" eingestuft. Im Rahmen eines verantwortlichen technischen Blicks genügt es an dieser Stelle deshalb mitunter nicht, solche Aussagen zu lesen. Man will verstehen, wie eine Software tatsächlich arbeitet, will Risiken identifizieren, Folgen abschätzen und bewerten. Erste Fragen in diesem Zusammenhang waren:

  • Ãœber welche Protokolle kommuniziert die Praxissoftware?
  • Werden sensible medizinische Daten auf dem Weg zwischen Arbeitsplatz, Server und ggf. externen Diensten tatsächlich verschlüsselt?
  • Was lässt sich in Logfiles und Netzwerkspuren nachvollziehen?

Die Antwort war ernüchternd: Teile der Kommunikation erfolgten unverschlüsselt. Hochsensible medizinische Daten wurden im Klartext übertragen – trotz Marketingaussagen zur „sicheren Übertragung“.

Konsequenzen und Korrekturen

Für Patientinnen und Patienten bedeutete das ein deutlich höheres Risiko, sollten Daten auf dem Transportweg abgegriffen werden. Für unseren Kunden - die Praxis - ein erhebliches Haftungs- und Reputationsrisiko und die Gefahr, dass eine Aufsichtsbehörde bei genauer Prüfung zu einem ähnlichen Ergebnis käme.

Gemeinsam mit der Praxis haben wir daraufhin:

  • den Hersteller kontaktiert und auf die Problematik hingewiesen,
  • kurzfristige technische Schutzmaßnahmen umgesetzt,
  • und mittelfristig die Prozesse so umgestellt, dass sensible Daten nur noch über abgesicherte, nachvollziehbar konfigurierte Kanäle übertragen und gespeichert werden.

Ohne einen technischen Blick in die Logfiles und die tatsächliche Datenübertragung wäre diese Lücke vermutlich noch lange unentdeckt geblieben – auf dem Papier wäre alles in Ordnung gewesen. Genau hier setzt die Rolle als technischer Datenschutzauditor an.

„Pack ma’s digital“:
Digitalisierung in Bayern mit Datenschutzbrille

Digitalisierung ist kein Selbstzweck. In der Region München/Oberbayern geht es ganz konkret darum, die Wettbewerbsfähigkeit von Unternehmen zu sichern und gleichzeitig verantwortungsvoll mit Daten umzugehen. Unter dem Motto „Pack ma’s digital“ unterstützt die IHK für München und Oberbayern seit mehreren Jahren kleine und mittelständische Unternehmen bei ihrer digitalen Transformation – mit Informationsangeboten, Webinaren, Praxisbeispielen und einem Netzwerk von Unterstützern aus der Digitalwirtschaft.

Offizieller Unterstützer der IHK-Initiative „Pack ma’s digital“

Wir unterstützen die IHK-Initiative Pack ma's digital, um der Wirtschaft in Oberbayern bei der Digitalisierung weiter zu helfen und die Zukunft des Standorts zu sichern.

Wir helfen dabei, Digitalisierung so zu gestalten, dass sie sich wirtschaftlich lohnt und rechtlich tragfähig bleibt.

  • Wir begleiten kleine und mittlere Unternehmen nicht nur bei klassischen Digitalprojekten wie Websites, Kundenportalen oder internen Plattformen
  • Wir bringen die Datenschutz- und Infrastrukturbrille aktiv ein: Welche Daten werden verarbeitet? Welche Dienste werden genutzt? Wie sieht die technische Umsetzung aus?
  • Wir helfen dabei, Digitalisierung so zu gestalten, dass sie sich wirtschaftlich lohnt und rechtlich tragfähig bleibt.

Verstärkt seit dem Jahr 2020 erleben wir viele Firmen/Betriebe, die klar digitaler werden wollen – aber verständlicherweise keine eigene Datenschutz- oder IT-Sicherheitsabteilung haben. Genau für diese Situation ist unsere Kombination aus Internetagentur und zertifiziertem, technischem Datenschutzauditor eine nahezu ideale Lösung.

Was ein Datenschutzaudit Ihrem Unternehmen konkret bringt

Ein Datenschutzaudit ist kein Selbstzweck und keine „Abhakübung“. Ziel ist es, Klarheit zu schaffen – für Geschäftsführung, Fachabteilungen und IT. Die Ziele legen wir gemeinsam mit Ihnen fest, typische Ergebnisse eines Audits könnten sein:

  • Transparenz über Datenflüsse und Systeme


    Sie wissen, welche personenbezogenen Daten wo verarbeitet werden, über welche Schnittstellen sie laufen und welche Dienstleister beteiligt sind.

  • Abgleich von Papier und Technik


    Verträge, Richtlinien und TOM-Listen werden mit der tatsächlichen technischen Umsetzung abgeglichen. Lücken oder Widersprüche werden sichtbar.

  • Bessere Entscheidungsgrundlagen


    Sie können Investitionen in Infrastruktur, Software oder zusätzliche Dienstleistungen auf Basis eines klaren Lagebildes planen – statt aus dem Bauch heraus.

  • Reduzierte Risiken bei Abmahnungen und Aufsichtsbehörden


    Wer seine Hausaufgaben sichtbar gemacht und dokumentiert hat, ist deutlich besser vorbereitet, falls doch einmal etwas passiert.

  • Mehr Vertrauen bei Kunden, Patientinnen und Partnern


    Gerade bei sensiblen Daten ist nachvollziehbarer Datenschutz ein Wettbewerbsvorteil.

Wenn Sie sich fragen, ob ein Datenschutzaudit für Ihr Unternehmen sinnvoll ist, helfen oft schon drei einfache Fragen: Drei kurze Fragen zur Selbstprüfung

  • Wissen Sie, wo Ihre sensibelsten Daten technisch gespeichert und übertragen werden – und wer darauf zugreifen kann?
  • Wurden Ihre wichtigsten Anwendungen und Dienstleister in den letzten zwei Jahren einmal unabhängig technisch geprüft, statt nur auf Vertragsbasis bewertet zu werden?
  • Gibt es klare, geübte Abläufe für den Fall eines Sicherheitsvorfalls – von der technischen Reaktion bis zur möglichen Meldung an die Aufsicht?

Wenn Sie eine dieser Fragen mit „eigentlich nein“ beantworten, lohnt sich ein genauerer Blick.

Häufige Fragen zum Datenschutzaudit (FAQ)

Worin unterscheidet sich ein Datenschutzauditor von einem Datenschutzbeauftragten?
Ein Datenschutzbeauftragter begleitet Ihr Unternehmen dauerhaft, berät und überwacht die Einhaltung der Datenschutzvorgaben. Ein Datenschutzauditor führt einen strukturierten Prüfprozess durch – mit klar definiertem Anfang und Ende. Ziel ist ein objektives Bild des Ist-Zustands, inklusive dokumentierter Feststellungen und Empfehlungen. Beides ergänzt sich: Ein Audit kann z. B. eine gute Basis für die weitere Arbeit des Datenschutzbeauftragten sein.

Für welche Unternehmen/Firmen und Betriebe lohnt sich ein Datenschutzaudit besonders?
Besonders sinnvoll ist ein Audit für Unternehmen, die viele personenbezogene oder sensible Daten verarbeiten (z. B. Gesundheitsdaten, Kundendaten, Mitarbeiterdaten), auf externe Cloud- und SaaS-Dienste setzen oder gerade größere Digitalprojekte umsetzen. Im Mittelstand reicht oft schon ein fokussierter Auditumfang, der die wichtigsten Prozesse und Systeme abdeckt.

Wie läuft ein Datenschutzaudit typischerweise ab?
Nach einer gemeinsamen Zieldefinition folgen in der Regel eine Dokumentensichtung (Verträge, Richtlinien, Verarbeitungsverzeichnis), Gespräche mit Verantwortlichen und eine technische Prüfung ausgewählter Systeme und Schnittstellen. Die Ergebnisse werden in einem Bericht zusammengefasst – mit konkreten Maßnahmenempfehlungen, priorisiert nach Risiken und Umsetzbarkeit.

Ausblick und Einladung zum Gespräch

Der Ausfall bei Cloudflare hat gezeigt, wie abhängig das Internet heute von wenigen zentralen Infrastrukturanbietern ist. Gleichzeitig treibt die IHK mit „Pack ma’s digital“ die Digitalisierung in Oberbayern voran – mit dem klaren Ziel, die Wettbewerbsfähigkeit der regionalen Wirtschaft zu sichern. Für uns gehören diese beiden Perspektiven zusammen: Digitalisierung ja – aber bitte mit einem klaren Blick auf Datenhoheit, IT-Sicherheit und praktische Umsetzbarkeit im Alltag. In einem eigenen Themenhub haben wir die wichtigsten Bausteine rund um das Datenschutzaudit für kleine und mittlere Unternehmen zusammengestellt – von der Bestandsaufnahme bis zur technischen Prüfung von Systemen.

Jetzt direkt Kontakt mit uns aufnehmen
Jürgen Scherer – Internetagentur Scherer

Jürgen Scherer

Gründer und Inhaber der Internetagentur Scherer. Begleitet Unternehmen seit 1998 bei Webdesign, Online-Marketing & datengetriebener Digitalisierung in der Cloud; Studium Maschinenbau & Informatik (TUM), IHK-Datenschutzbeauftragter, Datenschutzauditor (TÜV), Fortbildung zum KI-Manager (IHK). Mit eigener, gewarteter Serverinfrastruktur verbindet meine Agentur Konzept, Design und Technik zu schnellen, verlässlichen Websites und digitalen Lösungen die messbar wirken.

KI-Assistenten auf RAG-Basis
Ãœbersicht