--- title: "Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung" date: 2026-02-05T14:10:00+01:00 author: FAST LTA canonical_url: "https://www.fast-lta.de//de/blog/was-kostet-non-compliance-wirklich-bußgelder-schäden-haftung" section: "Entries: Articles" --- ### 1. Das Com­pli­ance-Kos­ten-Para­dox [\#](#1-das-compliance-kosten-paradox "1. Das Compliance-Kosten-Paradox") Der IBM Cost of Data Breach Report 2024 bezif­fert den durch­schnitt­li­chen glo­ba­len Scha­den einer Daten­pan­ne auf **4,88 Mil­lio­nen USD** — ein All­zeit­hoch. In Deutsch­land und der DACH-Regi­on lie­gen die Wer­te tra­di­tio­nell über dem glo­ba­len Durch­schnitt, weil Regu­lie­rungs­kos­ten, Anwalts­ge­büh­ren und Betriebs­un­ter­bre­chun­gen hier beson­ders ins Gewicht fallen. Dem gegen­über ste­hen die Kos­ten prä­ven­ti­ver Maß­nah­men: ein Back­up-Sys­tem, ein Infor­ma­ti­ons­si­cher­heits-Manage­ment­sys­tem, viel­leicht ein exter­ner Audit im Jahr. Die­se Inves­ti­tio­nen las­sen sich pla­nen, bud­ge­tie­ren und amor­ti­sie­ren. Ein Daten­pan­nen-Scha­den lässt sich nicht planen. Das Para­dox: Com­pli­ance erscheint als Kos­ten­fak­tor, weil die Kos­ten sicht­bar sind. Non-Com­pli­ance erscheint als Spar­op­ti­on, weil die Kos­ten unsicht­bar sind — bis zum Vor­fall. Die Auf­ga­be der Ent­schei­der ist es, die­se Asym­me­trie sicht­bar zu machen. --- ### 2. Direk­te Buß­gel­der und Stra­fen nach Regel­werk [\#](#2-direkte-bu%C3%9Fgelder-und-strafen-nach-regelwerk "2. Direkte Bußgelder und Strafen nach Regelwerk") Buß­gel­der sind der am leich­tes­ten quan­ti­fi­zier­ba­re Teil der Non-Com­pli­ance-Kos­ten. Die Rah­men sind gesetz­lich defi­niert und bekannt. Weni­ger bekannt ist, dass die­se Maxi­ma in der Pra­xis zuneh­mend aus­ge­schöpft werden. #### Über­sicht: Buß­geld­rah­men nach Regel­werk [\#](#%C3%BCbersicht-bu%C3%9Fgeldrahmen-nach-regelwerk "Übersicht: Bußgeldrahmen nach Regelwerk") Regel­werkAdres­sa­tenBuß­geld (Maxi­mum)Bemes­sungs­grund­la­ge\*\*DSGVO\*\*Alle Unter­neh­men, die per­so­nen­be­zo­ge­ne Daten verarbeiten20 Mio. EUR oder 4 % des welt­wei­ten JahresumsatzesDas jeweils Höhe­re (Art. 83 DSGVO)\*\*NIS2 (wesent­li­che Einrichtungen)\*\*KRI­TIS-Sek­to­ren, gro­ße Unter­neh­men in kri­ti­scher Infrastruktur10 Mio. EUR oder 2 % des welt­wei­ten JahresumsatzesDas jeweils Höhe­re (§ 61 BSIG‑E)\*\*NIS2 (wich­ti­ge Einrichtungen)\*\*Mit­tel­gro­ße Unter­neh­men in defi­nier­ten Sektoren7 Mio. EUR oder 1,4 % des welt­wei­ten JahresumsatzesDas jeweils Höhe­re (§ 61 BSIG‑E)\*\*DORA\*\*Finanz­un­ter­neh­men und kri­ti­sche IKT-DrittdienstleisterBis zu 1 % des durch­schnitt­li­chen welt­wei­ten TagesumsatzesTäg­lich, bis zur Behe­bung des Ver­sto­ßes (Art. 50 Abs. 4 DORA)\*\*GoBD / Abgabenordnung\*\*Alle buch­füh­rungs­pflich­ti­gen UnternehmenSchät­zung der Besteue­rungs­grund­la­gen, Nach­zah­lun­gen + ZinsenKein fixer Buß­geld­rah­men, Schä­den im Einzelfall#### Was DORA-Buß­gel­der beson­ders gefähr­lich macht [\#](#was-dora-bu%C3%9Fgelder-besonders-gef%C3%A4hrlich-macht "Was DORA-Bußgelder besonders gefährlich macht") Der täg­li­che Ansatz bei DORA ist kei­ne aka­de­mi­sche Kon­struk­ti­on. Bei einem Umsatz von 500 Mil­lio­nen EUR jähr­lich ent­spricht 1 % des Tages­um­sat­zes etwa 13.700 EUR pro Tag. Bei 60 Tagen Ver­stoß: rund 820.000 EUR — allein für die ver­zö­ger­te Behe­bung. Für grö­ße­re Finanz­in­sti­tu­te ver­viel­fa­chen sich die­se Zahlen. #### GoBD: Die unter­schätz­te Gefahr [\#](#gobd-die-untersch%C3%A4tzte-gefahr "GoBD: Die unterschätzte Gefahr") GoBD-Ver­stö­ße lan­den sel­ten in den Schlag­zei­len, tref­fen aber regel­mä­ßig mit­tel­stän­di­sche Unter­neh­men in Betriebs­prü­fun­gen. Wer Buch­füh­rungs­un­ter­la­gen nicht revi­si­ons­si­cher und unver­än­der­lich auf­be­wahrt, riskiert: - Schät­zung der Besteue­rungs­grund­la­gen durch das Finanzamt - Steu­er­nach­zah­lun­gen auf meh­re­re Geschäftsjahre - Nach­zah­lungs­zin­sen (§ 233a AO) - Im Extrem­fall: Straf­bar­keit nach § 370 AO (Steu­er­hin­ter­zie­hung) --- ### 3. Indi­rek­te Kos­ten — oft grö­ßer als die Buß­gel­der [\#](#3-indirekte-kosten-oft-gr%C3%B6%C3%9Fer-als-die-bu%C3%9Fgelder "3. Indirekte Kosten — oft größer als die Bußgelder") Buß­gel­der machen in der Pra­xis häu­fig nur einen Bruch­teil des Gesamt­scha­dens aus. Die indi­rek­ten Kos­ten sind schwe­rer vor­her­zu­sa­gen, aber empi­risch gut belegt. #### Betriebs­un­ter­bre­chung [\#](#betriebsunterbrechung "Betriebsunterbrechung") Ran­som­wa­re-Angrif­fe sind der häu­figs­te Aus­lö­ser für schwe­re Com­pli­ance-Vor­fäl­le. Cove­wa­re, ein auf Ran­som­wa­re-Respon­se spe­zia­li­sier­tes Unter­neh­men, doku­men­tiert für 2024 eine durch­schnitt­li­che Aus­fall­zeit von **meh­re­ren Wochen** nach einem Ran­som­wa­re-Angriff (Cove­wa­re Quar­ter­ly Ran­som­wa­re Report). Für pro­du­zie­ren­de Unter­neh­men oder Dienst­leis­ter mit kon­ti­nu­ier­li­chen Lie­fer­pflich­ten ist jede Woche Aus­fall ein direk­ter Umsatzausfall. **Typi­sche Kos­ten­po­si­tio­nen einer Betriebsunterbrechung:** - Umsatz­aus­fall wäh­rend der Ausfalldauer - Mehr­ar­beit und Über­stun­den für Wiederherstellung - Not­fall-Ein­kauf von Ersatzsystemen - Ver­trags­stra­fen gegen­über Kun­den (SLA-Ver­let­zun­gen) - Kos­ten für Notfall-Recovery-Dienstleister #### Exter­ne Spe­zia­lis­ten: Foren­sik, Anwäl­te, Bera­ter [\#](#externe-spezialisten-forensik-anw%C3%A4lte-berater "Externe Spezialisten: Forensik, Anwälte, Berater") Ein schwe­rer Daten­pan­nen-Vor­fall zieht typi­scher­wei­se fol­gen­de exter­ne Kos­ten nach sich: - **IT-Foren­sik:** Scha­dens­ana­ly­se, Beweis­si­che­rung für Behör­den und Ver­si­che­rer: 20.000 bis 200.000 EUR und mehr je nach Komplexität - **Anwalts­kos­ten:** Koor­di­na­ti­on mit Behör­den, Mel­de­pflich­ten, Ver­trags­recht: 5.000 bis 50.000 EUR je nach Vorfall - **PR und Kri­sen­ma­nage­ment:** Beson­ders bei öffent­li­chen Unter­neh­men oder Ver­brau­cher­da­ten: varia­bel, aber erheblich - **Benach­rich­ti­gung Betrof­fe­ner:** Bei DSGVO-Pflich­ten: Por­to, Call­cen­ter, Bearbeitungsaufwand #### Repu­ta­ti­ons­schä­den und Kun­den­ver­lust [\#](#reputationssch%C3%A4den-und-kundenverlust "Reputationsschäden und Kundenverlust") Der IBM-Report 2024 stellt fest, dass Repu­ta­ti­ons­schä­den und Kun­den­ver­lus­te nach Daten­pan­nen zuneh­mend den größ­ten Scha­dens­pos­ten dar­stel­len — und am schwie­rigs­ten zu quan­ti­fi­zie­ren sind. Eine Faust­for­mel aus der Ver­si­che­rungs­pra­xis: Bei B2B-Unter­neh­men kann ein schwe­rer Vor­fall 10 bis 30 % des betrof­fe­nen Kun­den­stamms kosten. #### Pro­duk­ti­vi­täts­ver­lust [\#](#produktivit%C3%A4tsverlust "Produktivitätsverlust") Mit­ar­bei­ter, die wäh­rend und nach einem Vor­fall mit manu­el­len Pro­zes­sen, pro­vi­so­ri­schen Sys­te­men oder Wie­der­her­stel­lungs­ar­bei­ten beschäf­tigt sind, feh­len im Tages­ge­schäft. Die­ser Pos­ten wird intern sel­ten bilan­ziert, ist aber real. --- ### 4. Per­sön­li­che Haf­tung — nicht nur das Unter­neh­men zahlt [\#](#4-pers%C3%B6nliche-haftung-nicht-nur-das-unternehmen-zahlt "4. Persönliche Haftung — nicht nur das Unternehmen zahlt") Ein zen­tra­ler Wan­del der aktu­el­len Regu­lie­rungs­wel­le: Die Haf­tung ver­bleibt nicht mehr nur auf Unter­neh­mens­ebe­ne. Ent­schei­der haf­ten persönlich. #### NIS2: Per­sön­li­che Haf­tung und Amts­ent­he­bung [\#](#nis2-pers%C3%B6nliche-haftung-und-amtsenthebung "NIS2: Persönliche Haftung und Amtsenthebung") § 38 BSIG-neu (NIS2-Umset­zungs­ge­setz) schreibt fest: Die Geschäfts­lei­tung ist **per­sön­lich ver­ant­wort­lich** für die Umset­zung ange­mes­se­ner Cyber­si­cher­heits­maß­nah­men. Das bedeu­tet konkret: - **Per­sön­li­che Haf­tung** bei nach­ge­wie­se­ner Fahr­läs­sig­keit — mit pri­va­tem Vermögen - **Mög­li­che Amts­ent­he­bung** als ergän­zen­de Sank­ti­on durch die zustän­di­ge Behörde - **Schu­lungs­pflicht** der Geschäfts­lei­tung: NIS2 ver­langt, dass das Lei­tungs­or­gan nach­weis­lich geschult wird Fahr­läs­sig­keit liegt vor, wenn bekann­te Risi­ken igno­riert wur­den — also wenn der Geschäfts­füh­rer von einem Sicher­heits­de­fi­zit wuss­te (z. B. durch Audit-Befun­de) und nicht handelte. #### DORA: Lei­tungs­or­gan in der Ver­ant­wor­tung [\#](#dora-leitungsorgan-in-der-verantwortung "DORA: Leitungsorgan in der Verantwortung") DORA (Digi­tal Ope­ra­tio­nal Resi­li­ence Act) adres­siert Finanz­un­ter­neh­men und ihre IKT-Dienst­leis­ter. Art. 5 DORA weist die **voll­stän­di­ge Ver­ant­wor­tung für das IKT-Risi­ko­ma­nage­ment dem Lei­tungs­or­gan** zu. Das ist kei­ne Dele­gie­rungs­op­ti­on, son­dern eine gesetz­li­che Pflicht des Vorstands. #### DSGVO: Daten­schutz­be­auf­trag­ter und GF [\#](#dsgvo-datenschutzbeauftragter-und-gf "DSGVO: Datenschutzbeauftragter und GF") Unter der DSGVO kön­nen nicht nur Unter­neh­men, son­dern auch ver­ant­wort­li­che Per­so­nen in bestimm­ten Kon­stel­la­tio­nen zur Rechen­schaft gezo­gen wer­den. Für Geschäfts­füh­rer gilt: Wer wis­sent­lich feh­ler­haf­te Daten­ver­ar­bei­tungs­pro­zes­se tole­riert, bewegt sich in per­sön­li­chem Haftungsraum. **Der gemein­sa­me Nen­ner aller aktu­el­len Regu­lie­run­gen:** Unwis­sen­heit schützt nicht. Doku­men­tier­te Kennt­nis ohne Han­deln begrün­det per­sön­li­che Haftung. --- ### 5. Der Busi­ness Case für Com­pli­ance-Inves­ti­tio­nen [\#](#5-der-business-case-f%C3%BCr-compliance-investitionen "5. Der Business Case für Compliance-Investitionen") An die­ser Stel­le lässt sich die Rech­nung umdre­hen. Statt Com­pli­ance als Kos­ten­fak­tor zu behan­deln, stellt sich die Fra­ge: Was kos­tet es, **nicht** zu investieren? #### Ver­gleichs­rech­nung: Prä­ven­ti­on vs. Vor­fall [\#](#vergleichsrechnung-pr%C3%A4vention-vs-vorfall "Vergleichsrechnung: Prävention vs. Vorfall") Kos­ten­po­si­ti­onPrä­ven­ti­on (p.a.)Durch­schnitt­li­cher VorfallBack­up-Sys­tem (z. B. Silent Brick System)15.000 – 40.000 EUR\*—ISMS-Betrieb / exter­ner Audit10.000 – 30.000 EUR—Schu­lun­gen und Awareness3.000 – 10.000 EUR—\*\*Sum­me Prävention\*\*\*\*28.000 – 80.000 EUR\*\*—Buß­geld (NIS2, mitt­le­res Unternehmen)—500.000 – 5.000.000 EURIT-Foren­sik und exter­ne Berater—50.000 – 250.000 EURBetriebs­un­ter­bre­chung (2 – 4 Wochen)—100.000 – 2.500.000 EURRepu­ta­ti­ons­schä­den (geschätzt)—varia­bel, oft > 500.000 EUR\*\*Sum­me Vor­fall (kon­ser­va­tiv)\*\*—\*\*650.000 – 7.750.000 EUR\*\*\*Richt­wert, abhän­gig von Unter­neh­mens­grö­ße und Kon­fi­gu­ra­ti­on. Kei­ne ver­bind­li­che Preisangabe. Das Ver­hält­nis ist ein­deu­tig: Die Prä­ven­ti­ons­kos­ten lie­gen typi­scher­wei­se bei 2 bis 5 % der poten­zi­el­len Vorfallskosten. #### Cyber-Ver­si­che­rung: Com­pli­ance als Preis­fak­tor [\#](#cyber-versicherung-compliance-als-preisfaktor "Cyber-Versicherung: Compliance als Preisfaktor") Cyber-Ver­si­che­run­gen sind in Deutsch­land stark im Wachs­tum. Ver­si­che­rer fra­gen in der Under­wri­ting-Prü­fung zuneh­mend detail­liert ab: Gibt es immu­ta­ble Back­ups? Ist ein Air Gap vor­han­den? Wur­den Reco­very-Tests dokumentiert? Unter­neh­men, die nach­weis­li­che Com­pli­ance-Maß­nah­men vor­wei­sen — zum Bei­spiel durch ein Hard­ware-WORM-Sys­tem oder einen phy­si­schen Air Gap — zah­len nach­weis­lich nied­ri­ge­re Prä­mi­en oder erhal­ten über­haupt erst Ver­si­che­rungs­schutz. Für eini­ge Risi­ko­pro­fi­le gilt: Ohne nach­ge­wie­se­ne Off­line-Back­ups gibt es kei­nen Cyber-Ver­si­che­rungs­schutz mehr. Das Silent Brick Sys­tem bie­tet durch den phy­si­schen Air Gap (Silent Brick Pro) und die gal­va­ni­sche Tren­nung (Silent Brick Max Air) genau die tech­ni­schen Nach­wei­se, die Ver­si­che­rer ver­lan­gen. Silent Cubes ergän­zen durch revi­si­ons­si­che­re Lang­zeit­ar­chi­vie­rung, die auch GoBD-Anfor­de­run­gen erfüllt. --- ### 6. Drei Quick Wins für den inter­nen Busi­ness Case [\#](#6-drei-quick-wins-f%C3%BCr-den-internen-business-case "6. Drei Quick Wins für den internen Business Case") Wenn Sie als IT-Lei­ter, CISO oder Com­pli­ance-Ver­ant­wort­li­cher intern Bud­get für Com­pli­ance-Maß­nah­men recht­fer­ti­gen müs­sen, hel­fen die­se drei Ansätze: #### Quick Win 1: Buß­geld-Sze­na­rio rech­nen [\#](#quick-win-1-bu%C3%9Fgeld-szenario-rechnen "Quick Win 1: Bußgeld-Szenario rechnen") Ermit­teln Sie Ihren welt­wei­ten Jah­res­um­satz. Berech­nen Sie 2 % (NIS2, wesent­li­che Ein­rich­tun­gen) oder 4 % (DSGVO). Das ist Ihr theo­re­ti­sches Maxi­mal­ri­si­ko aus Buß­gel­dern allein — ohne Betriebs­un­ter­bre­chung, ohne Foren­sik, ohne Repu­ta­ti­ons­scha­den. Stel­len Sie die­sem Wert die Kos­ten der bean­trag­ten Maß­nah­men gegenüber. #### Quick Win 2: Ver­si­che­rungs­prä­mi­en ver­han­deln [\#](#quick-win-2-versicherungspr%C3%A4mien-verhandeln "Quick Win 2: Versicherungsprämien verhandeln") For­dern Sie von Ihrem Cyber-Ver­si­che­rer eine detail­lier­te Auf­stel­lung an: Wel­che tech­ni­schen Maß­nah­men redu­zie­ren Ihre Prä­mie um wie viel? Vie­le Ver­si­che­rungs­ge­sell­schaf­ten lie­fern die­se Zah­len auf Anfra­ge. Damit wird die Inves­ti­ti­on in Back­up-Infra­struk­tur direkt in Prä­mi­en­ein­spa­run­gen übersetzbar. #### Quick Win 3: Audit-Befun­de als Haf­tungs­schutz doku­men­tie­ren [\#](#quick-win-3-audit-befunde-als-haftungsschutz-dokumentieren "Quick Win 3: Audit-Befunde als Haftungsschutz dokumentieren") Las­sen Sie inter­ne oder exter­ne Audits die aktu­el­len Com­pli­ance-Lücken schrift­lich doku­men­tie­ren. Die­ser Report ist nach einem Vor­fall Ihre wich­tigs­te Ver­tei­di­gungs­li­nie — er belegt, dass Sie von einem Risi­ko wuss­ten und Maß­nah­men ein­ge­lei­tet haben. Er ist aber auch die stärks­te inter­ne Argu­men­ta­ti­ons­grund­la­ge: ​“Hier sind die Lücken, hier sind die Risi­ken, hier ist das Bud­get, das wir brauchen.” --- ### Fazit [\#](#fazit "Fazit") Com­pli­ance ist kein Kos­ten­fak­tor. Non-Com­pli­ance ist einer — und zwar einer, den Sie weder pla­nen noch kon­trol­lie­ren können. Die voll­stän­di­ge Rech­nung aus Buß­gel­dern, Betriebs­un­ter­bre­chun­gen, exter­nen Spe­zia­lis­ten, Repu­ta­ti­ons­schä­den und per­sön­li­cher Haf­tung über­steigt die Kos­ten prä­ven­ti­ver Maß­nah­men in jedem rea­lis­ti­schen Sze­na­rio. Der IBM Cost of Data Breach Report 2024 belegt das mit einem glo­ba­len Durch­schnitts­wert von 4,88 Mil­lio­nen USD — für einen ein­zi­gen Vorfall. Ent­schei­der, die Com­pli­ance als Invest­ment statt als Pflicht­übung behan­deln, ste­hen im Vor­falls­fall bes­ser da: tech­nisch, recht­lich und finan­zi­ell. Der ers­te Schritt ist, die unsicht­ba­ren Kos­ten der Non-Com­pli­ance sicht­bar zu machen. --- ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DORA DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### WORM WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm) ### Air Gap Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap) ### GoBD Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit. [Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo) ### DSGVO Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung). [Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)