IoT und Datenschutz: Herausforderungen und Lösungsansätze für Geschäftsführer

Inhalt in Kürze

• IoT-Geräte sind DSGVO-relevant, sobald sie personenbezogene Daten erfassen oder verarbeiten — und das betrifft mehr Geräte, als die meisten Geschäftsführer denken (Zutritt, Telematik, Kameras, Wearables, Gebäudetechnik).
• Unter NIS2 sind IoT-Geräte Teil der zu schützenden IT-Infrastruktur — mit Inventarisierungs-, Patch- und Meldepflichten.
• Die vier Pflicht-Maßnahmen: Netzwerk-Segmentierung, Passwort-Management, Firmware-Updates und Outbound-Monitoring.
• Realistische Kosten: 8.000 bis 15.000 Euro Setup plus 200 bis 500 Euro monatlich für Mittelständler — günstig im Vergleich zum Bußgeld- und Reputationsrisiko.

Das Internet of Things ist längst kein Zukunftsthema mehr. Vernetzte Sensoren, Maschinen, Kameras, Zutrittssysteme und Telematik produzieren tonnenweise Daten — und damit Datenschutzrisiken. Geschäftsführer haften für die DSGVO-Compliance ihres Unternehmens persönlich. Was Sie konkret tun müssen, jenseits von Folien und Beratergeschwurbel, aus 18 Jahren Hamburger Mittelstandspraxis.

Warum IoT für Geschäftsführer ein Datenschutz-Thema ist

IoT-Geräte sind keine isolierten Spielzeuge. Sie sammeln Daten, übertragen sie meist in eine Cloud und reichen sie an Drittsysteme weiter. Drei Beispiele aus unserer Beratungspraxis:

• Zutrittssystem mit Personalausweis-Karte: Erfasst Name, Zeit, Ort. Wer hat wann welchen Raum betreten? Personenbezogene Daten, Verarbeitungszweck muss klar sein.
• Firmenwagen-Telematik: Aufenthaltsort, Fahrverhalten, Tankvorgänge. Mit Mitarbeiterbezug sofort DSGVO-relevant — Betriebsrat ist meist involviert.
• Smarte Heizungssteuerung im Büro: Klingt harmlos. Aber: Welche Räume sind besetzt? Wer war zuletzt im Büro? Indirekt personenbezogen, wenn nicht aggregiert.

Das BfDI hat klargestellt: Auch IoT-Daten unterliegen der DSGVO, sobald ein Personenbezug hergestellt werden kann (Orientierungshilfe zu IoT und Datenschutz). Hinzu kommt die NIS2-Richtlinie, die seit Oktober 2024 mittlere und große Unternehmen aus 18 Sektoren verpflichtet, ihre gesamte IT — einschließlich IoT — abzusichern.

Die fünf größten Herausforderungen für Geschäftsführer

1. Schatten-IoT — Geräte, von denen niemand weiß

Der Vertrieb hat zwei Webcams beim Discounter bestellt. Die Haustechnik hat einen smarten Thermostat in den Serverraum eingebaut. Der Außendienst nutzt private Bluetooth-Tracker an Firmenwagen. Niemand hat IT gefragt — und niemand weiß, welche Daten diese Geräte wohin senden. Schatten-IoT ist DSGVO- und NIS2-rechtlich brisant, weil Sie als Geschäftsführer für Geräte haften, von deren Existenz Sie nichts wissen.

2. Default-Passwörter und fehlende Updates

Eine Untersuchung des BSI zu IoT-Sicherheit zeigt: Über 60 Prozent der untersuchten IoT-Geräte hatten Sicherheitslücken. Default-Passwörter wie „admin/admin”, veraltete Firmware, offene Ports — IoT-Geräte sind oft die schwächste Stelle im Netzwerk. Der berüchtigte Mirai-Botnetz-Angriff 2016 startete genau hier.

3. Datenübertragung in Drittstaaten

Viele IoT-Geräte aus Fernost senden Telemetriedaten in Cloud-Backends außerhalb der EU. Ohne Standardvertragsklauseln und EU-US-Data-Privacy-Framework ist das ein DSGVO-Problem. Geschäftsführer müssen wissen: Wohin gehen die Daten? Wer ist Auftragsverarbeiter? Liegt ein AV-Vertrag nach Art. 28 DSGVO vor?

4. Aufbewahrungs- und Löschpflichten

Ein Zutrittssystem speichert Logs — wie lange? Eine Videokamera nimmt auf — wann wird gelöscht? Eine Telematik-Box trackt Routen — wie lange retro? Die DSGVO verlangt klare Aufbewahrungsfristen. Wer „läuft halt mit” sagt, verstößt gegen Art. 5 DSGVO (Speicherbegrenzung).

5. Betriebsrat und Mitarbeiterüberwachung

Sobald IoT-Geräte Mitarbeiterverhalten erfassen können — Zutritt, Standort, Anwesenheit, Leistung — ist der Betriebsrat zwingend zu beteiligen (§ 87 Abs. 1 Nr. 6 BetrVG). Ein nicht abgestimmter Telematik-Rollout in einer Logistikflotte hat 2024 in mehreren Hamburger Speditionen zu Konflikten geführt. Mit dem Betriebsrat vorab klären spart Monate.

Wir sehen IoT im Mittelstand oft an der falschen Stelle: gekauft, weil es modern ist — eingebunden, weil es funktionieren muss. Datenschutz wird nachträglich draufgesetzt. Das ist das genaue Gegenteil von Privacy by Design — und wird teuer, wenn die Aufsichtsbehörde fragt.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

Sieben Lösungsansätze, die im Mittelstand funktionieren

1. IoT-Inventar führen

Erstellen Sie eine Liste aller IoT-Geräte im Unternehmen — inkl. Standort, Hersteller, Firmware-Version, Verantwortlicher und Datenfluss. Ohne dieses Inventar ist NIS2-Compliance unmöglich.

2. Eigenes VLAN für IoT-Geräte

IoT-Geräte gehören technisch und logisch vom Office-Netzwerk getrennt. Ein eigenes VLAN (Virtual LAN) verhindert, dass ein kompromittierter Sensor Zugriff auf den Dateiserver bekommt. Bei modernen Firewalls und Switches ist das in einer Stunde eingerichtet — siehe unsere Hinweise zur IT-Sicherheit für Unternehmen.

3. Standard-Passwörter sofort ändern

Jedes neue IoT-Gerät bekommt vor Inbetriebnahme ein individuelles Passwort aus dem Passwort-Manager. Default-Passwörter sind die offene Hintertür schlechthin.

4. Patch-Management auch für IoT

Wenn der Hersteller keine Updates mehr bringt, gehört das Gerät getauscht — egal wie teuer es war. Veraltete Firmware mit bekannten CVE-Lücken ist NIS2-Verstoß und Versicherungsrisiko.

5. Outbound-Monitoring

Was sendet das IoT-Gerät? Wohin? Wie oft? Eine moderne Firewall (z.B. Fortinet, Sophos, Cisco) protokolliert genau das. Auffälligkeiten — etwa nächtliche Verbindungen zu russischen Servern — fallen sofort auf.

6. Privacy by Design ab Beschaffung

IT und Datenschutz müssen bei jeder IoT-Beschaffung gefragt werden. Wer ein Gerät erst kauft, dann fragt, hat schon verloren. Das umfasst auch die Frage nach EU-Hosting und Verschlüsselung — Themen, die wir auch in Microsoft 365 Sicherheit und DSGVO beleuchten.

7. Mitarbeiter sensibilisieren

Wer dem Kollegen aus dem Vertrieb erklärt, warum er keine private Webcam ins Firmen-WLAN hängen darf, verhindert mehr Vorfälle als jede Firewall.

NIS2 — was Geschäftsführer 2026 wissen müssen

Die NIS2-Richtlinie ist seit Oktober 2024 in Kraft. Sie betrifft mittlere Einrichtungen (50+ Mitarbeiter oder 10 Mio. Euro Umsatz) und große Einrichtungen aus 18 Sektoren — von Energieversorgern über Logistik bis Maschinenbau. Geschäftsführer haften persönlich (§ 38 BSI-Gesetz). Für IoT bedeutet das konkret:

• Inventarisierung aller Geräte inklusive IoT — keine Schatten-IT mehr.
• Risikoanalyse: Welche IoT-Geräte sind systemkritisch? Was passiert beim Ausfall?
• Sicherheitsmaßnahmen: Patch-Management, Zugriffsschutz, Verschlüsselung, Backups.
• Meldepflicht: Schwere Vorfälle binnen 24 Stunden ans BSI, Folgemeldung binnen 72 Stunden.
• Schulungen: Geschäftsführung muss nachweisbar geschult sein — nicht nur die IT.

Wer noch nicht weiß, ob NIS2 das eigene Unternehmen betrifft, kann den NIS2-Betroffenheits-Check nutzen — kostenlos, 2 Minuten. Mehr Tiefe gibt unsere NIS2-Beratung Hamburg.

Praxisbeispiel: Hamburger Spedition, 45 Mitarbeiter

Eine Spedition wollte 22 Fahrzeuge mit Telematik ausrüsten. Ziel: Tourenoptimierung und Tankkostenkontrolle. Drei Probleme stellten sich heraus:

1. Betriebsrat-Beteiligung fehlte: Mitarbeiterdaten zu Standort und Fahrverhalten — § 87 Abs. 1 Nr. 6 BetrVG zwingend. Wir haben den Rollout gestoppt und eine Betriebsvereinbarung aufgesetzt.
2. Hersteller-Backend in den USA: Datenübertragung ohne SCCs und ohne EU-Hosting. Anbieter gewechselt zu einer Lösung mit deutschem Rechenzentrum.
3. Verfahrensverzeichnis fehlte: Art. 30 DSGVO. Nachgepflegt, inklusive Zweck, Rechtsgrundlage, Aufbewahrungsfrist (3 Monate, dann automatisches Löschen).

Aufwand: ca. 12 Tage Beratung plus interne Abstimmung. Risiko vermieden: Sechsstellig, sollte die Datenschutzbehörde fragen. Heute läuft das Projekt sauber.

Aus der Praxis — was Hamburger Unternehmer sagen

Genau das ist die Aufgabe: Komplexes in handhabbare Schritte zerlegen. Wer mehr zu konkreten Sicherheits-Aspekten lesen möchte, findet im Artikel Datenschutz und Compliance — rechtliche Risiken minimieren die ausführliche Geschäftsführer-Sicht. Wir setzen das in Hamburg mit der Co-Managed IT gemeinsam mit Ihrer internen IT um — vom VLAN-Setup bis zur DSGVO-Dokumentation.