Im Laufe des Jahres 2025 zeigte sich in Prüfungen durch Aufsichtsbehörden zunehmend, dass nicht nur das Vorhandensein technischer und organisatorischer Maßnahmen relevant ist, sondern auch deren nachvollziehbare Dokumentation.
In mehreren Verfahren wurde deutlich, dass Unternehmen zwar einzelne Schutzmaßnahmen umgesetzt hatten, diese jedoch nicht konsistent beschrieben oder intern festgehalten waren. Dies erschwerte die Bewertung der getroffenen Vorkehrungen erheblich.
Besonders im Fokus standen grundlegende Maßnahmen wie Zugriffskontrollen, Datensicherungen, Berechtigungskonzepte und Regelungen zum Umgang mit Sicherheitsvorfällen. Fehlende oder veraltete Beschreibungen führten dabei häufig zu Rückfragen.
Für Unternehmen empfiehlt es sich, technische und organisatorische Maßnahmen strukturiert zu erfassen und regelmäßig zu aktualisieren. Dabei ist weniger entscheidend, möglichst umfangreiche Dokumente zu erstellen, als vielmehr eine verständliche und aktuelle Darstellung der tatsächlich gelebten Praxis.
Eine klare Dokumentation kann dazu beitragen, Prüfungen sachlich zu begleiten und die eigene Organisation transparenter darzustellen.