Geschäftsbericht 2025
Gepflasterter Weg durch eine kleine grüne Anlage.

Management der Auswirkungen, Risiken und Chancen

Konzepte im Zusammenhang mit Verbrauchern und Endnutzern

Bei den Konzepten im Zusammenhang mit Verbrauchern und Endnutzern unterteilen wir thematisch in die Bereiche Informationssicherheit und Datenschutz bezogen auf die wesentliche Chance und das Risiko. Für eine Darstellung des Risikos siehe die Ausführungen unter Cybercrime – Kundendaten im zusammengefassten Lagebericht, Risiko und Chancenbericht, im Kapitel Risiken.

Informationssicherheit und Datenschutz sind eng miteinander verknüpft, dennoch gibt es eine Reihe von Unterschieden, die wir auch in der strategischen sowie operativen Behandlung der Themen berücksichtigen müssen. Folgende Tabelle zeigt dies im Überblick (Quelle: eigene Darstellung):

Verbraucher und Endnutzer – Unterschiede im Umgang mit Informationssicherheit und Datenschutz

 

 

Datenschutz

 

lnformationssicherheit

Gesetzliche Grundlage

 

DSGVO, BDSG, TTDSG

 

NIS2, IT-SIG 2 usw.

Schutz von

 

Grundrechten und Grundfreiheiten

 

Infrastrukturen, Unternehmen

Beauftragter

 

DSB

 

ISB, CISO

Legitimation

 

Art. 37–39 DSGVO

 

ISO 27001, TISAX®

Aufsichtsbehörden

 

17 Landesbehörden + Bund

 

BSI

Um die oben genannte Thematik zu adressieren, messen wir Präventivmaßnahmen eine große Bedeutung bei. Dazu haben wir für die Geschäftstätigkeit von Bechtle konzernweit verbindliche Leitlinien (Grundsätze) und Richtlinien (Rahmenwerke) zur Informationssicherheit und zum Daten­schutz implementiert. Sie sind wichtiger Bestandteil des auf der ISO-Norm 27001 basierenden Informations­sicherheits­strategie und des auf den Vorgaben der EU-DSGVO Verordnung basierenden Datensicherheitskonzepts der zentralen Bechtle IT. Die Dokumente sind konzernweit über das Intranet zugänglich und sollen dazu beitragen, alle Bechtle Arbeitskräfte für die Grundsätze von Datenschutz, Informationssicherheit, Wahrung der Vertraulichkeit und anderer wichtiger Vorgaben zu informieren und die Einhaltung der gesetzlichen Vorgaben zu sichern. Dazu gehören unter anderem die zentrale Informations­sicherheits­leit­linie, die zentrale Richtlinie „IT Compliance“ sowie die Mitarbeitenden­richt­linie „Informationssicherheit“ sowie zum Thema Datenschutz die Datenschutz­richt­linie und die allgemeingültigen Schulungsunterlagen zur EU-DSGVO.

Im Rahmen der Zertifizierung des Informationssicherheitsmanagementsystems (ISMS) nach DIN EN ISO 27001 und TISAX® wird durch die geforderte jährliche Erstellung und Aktualisierung des ISMS Management Reviews garantiert, dass der Vorstand bzw. die jeweiligen Geschäftsführenden der zertifizierten Gesellschaften eingebunden sind. Die Bechtle IT, organisatorisch in der Bechtle AG verankert, ist als zentrale, verantwortliche Abteilung für Informationssicherheit und Datenschutz für Bechtle nach DIN EN ISO 27001 zertifiziert. Zum 31. Dezember 2025 waren 25 (2024: 15) Gesellschaften im In- und Ausland nur nach ISO 27001, 3 (2024: 6) nur nach TISAX® sowie 4 Gesellschaften sowohl nach ISO 27001 als auch nach TISAX® zertifiziert; das entspricht, umgerechnet auf die Anzahl der Arbeitskräfte, einer prozentualen Zertifikatsabdeckung von 59 % (2024: 47 %).

Um der Informationssicherheit für uns und unsere Kunden mehr Gewicht zu verleihen, wurde die Informationssicherheitsstrategie insofern erweitert, als dass im April 2024 die Stelle eines Chief Information Security Officer (CISO) geschaffen wurde, der direkt an den Chief Technology Officer (CTO) und an den Chief Executive Officer (CEO) berichtet und ebenfalls den Datenschutz verantwortet. Der CTO bekleidet ein Bereichsvorstandsmandat und berichtet an den Vorstand. CTO und CISO besitzen beide die Richtlinienkompetenz, um die notwendigen Vorgaben im Unternehmen zu definieren und einzufordern. Die Datenschutzkoordinatoren, als umsetzendes Organ, sind in allen Gesellschaften als Stabsstellen direkt an die Geschäftsführenden angebunden. An allen deutschen Gesellschaften ist die atarax Unternehmensgruppe, ein auf Datenschutz und IT-Sicherheit spezialisiertes Beratungsunternehmen, als Datenschutzbeauftragter bestellt.

Datenschutz und Informationssicherheit stehen eng mit den Menschenrechten unserer Kunden in Verbindung, da sie zentrale Aspekte des Schutzes der individuellen Privatsphäre, der Meinungsfreiheit und der informationellen Selbstbestimmung betreffen. Geregelt ist dies über die Allgemeine Erklärung der Menschenrechte (UDHR), Artikel 12, und Artikel 8 der Europäischen Menschenrechtskonvention (EMRK). Datenschutzgesetze wie die DSGVO setzen dieses Recht konkret um und stellen sicher, dass personenbezogene Daten nur mit Zustimmung und unter klar definierten Bedingungen verarbeitet werden. Unsere Leit- und Richtlinien zum Datenschutz sollen die Einhaltung des Gesetzes und somit auch die implizit inkludierten Menschenrechte unserer Kunden gewährleisten. Indem wir darauf achten, dass unsere Konzepte bekannt sind und eingehalten werden, achten wir implizit auch die Menschenrechte. In unserer E-Learning-Schulung zu Informationssicherheit und Datenschutz haben wir einen Wissenstest inkludiert, der sicherstellen soll, dass die vermittelten Inhalte von den Arbeits­kräften verstanden wurden. In der Schulung wird zudem auf die Richtlinien hingewiesen, die über das Intranet zugänglich sind. Diese Ausrichtung steht im Einklang mit der unternehmerischen Verantwortung zur Achtung der Menschenrechte gemäß den UN-Leitprinzipien für Wirtschaft und Menschenrechte, auch wenn diese keine spezifischen Vorgaben zu Datenschutz oder Informationssicherheit enthalten.

Unseren Kunden sichern wir die Einhaltung der Vorgaben zu. Unsere Informationssicherheitsmaßnahmen sollen unsere Kunden vor negativen Auswirkungen auf die Menschenrechte wie Überwachung durch Dritte, einschließlich anderer Unternehmen/Wettbewerber, staatlicher Stellen oder krimineller Akteure, schützen.

Die Informationssicherheitsstrategie verfolgt das Ziel, Bechtle vor IT- und Cyberbedrohung zu schützen und so die Grundlage für eine stabile und sichere digitale Infrastruktur zu schaffen. Wir wollen Bechtle als sicheren, verlässlichen und vertrauenswürdigen Partner am Markt positionieren, um das Vertrauen von Kunden, Partnern und Arbeitskräften nachhaltig zu stärken. Darüber hinaus wird die Sicherheit innerhalb der gesamten Bechtle Gruppe kontinuierlich und mit hoher Fachkompetenz weiterentwickelt, um ein hohes Sicherheitsniveau stetig zu wahren und die Cyberresilienz des Unternehmens langfristig zu festigen. Im Jahr 2025 gab es über unseren Meldekanal privacy@bechtle.com, der sowohl internen als auch externen Stakeholdern zur Verfügung steht, keine Meldungen unserer Kunden (nachgelagerte Wertschöpfungskette) zu Fällen, die gegen die Leitprinzipien der Vereinten Nationen verstoßen haben.

Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen

Verfahren zur Einbeziehung unserer Kunden bestehen nicht.

Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher und Endnutzer Bedenken äußern können

Bezogen auf die Informationssicherheit müssen die Nutzenden (Arbeitskräfte, Geschäftspartner) verstehen, wann und warum geschäftsrelevante Informationen zu schützen sind. Um dies zu gewährleisten, sind sie verpflichtet, die bereitgestellten Leit- und Richtlinien zu beachten und bei Bedarf adäquate Unterstützung einzuholen. Bechtle bietet entsprechende Schulungen und Beratung über Informations­sicherheit an. Neben diesem präventiven Ansatz bestehen sowohl für Informationssicherheit als auch Datenschutz Kriseninterventionspläne. Für Verstöße gegen Menschen­rechte können interne als auch externe Stakeholder den Compliance-Meldekanal oder das externe Hinweisgebersystem nutzen, für Verstöße im Bereich Informationssicherheit und Datenschutz den Meldekanal privacy@bechtle.com. Weitere Informationen dazu sind im Kapitel Governance-Informationen zu finden.

Zur Gewährleistung der Datenschutz-Compliance erfüllen die Leitlinie Datenschutz und die Richtlinie Datenschutz die Anforderungen der Rechenschafts- und Dokumentationspflicht („Accountability“). Jede Unternehmenseinheit muss die rechtskonforme, transparente und zweckgebundene Verarbeitung personenbezogener Daten sowie die Einhaltung der Grundsätze der Datenminimierung, Speicherbegrenzung, Datenrichtigkeit und Datensicherheit nachweisen. Auch hier legen die Leitlinie Datenschutz und die Richtlinie Datenschutz die Basis.

IT-Security-Maßnahmen werden risikoorientiert aus Sicht der betroffenen Personen ausgewählt und regelmäßig überprüft und weiterentwickelt; dabei werden die Prinzipien „Privacy by Design“ und „Privacy by Default“ berücksichtigt. Vermutete oder festgestellte Verstöße gegen Informationssicherheitsvorgaben sind unverzüglich an den Vorgesetzten, den IT-Koordinator, den Informationssicherheitsbeauftragten (ISB) oder über die Notfallrufnummer zu melden. Dieser IT-Compliance-Meldekanal wird durch den CISO verantwortet und ist vom Compliance-Team der Rechtsabteilung getrennt. Meldungen zu datenschutzrechtlichen Verstößen sind hingegen an den Datenschutzkoordinator (lokal/zentral) oder an den Datenschutzbeauftragten unter privacy@bechtle.com zu richten. Der Meldekanal steht auch unseren Kunden zur Verfügung und wird über die Datenschutzerklärung auf der Website bekannt gemacht.

Die Wirksamkeit der Meldekanäle, wie privacy@bechtle.com und das Hinweisgebersystem, wird dadurch sichergestellt, dass eingehende Hinweise strukturiert erfasst, geprüft und gemäß festgelegten Prozessen bearbeitet werden. Die zuständigen Stellen verfolgen die Meldungen nach und leiten bei Bedarf geeignete Abhilfe- oder Korrekturmaßnahmen ein. Erkenntnisse aus eingegangenen Meldungen fließen in die Weiterentwicklung der Datenschutz- und Informationssicherheitsprozesse ein. Bechtle stellt sicher, dass Verbraucher und Endnutzer über die bestehenden Meldekanäle informiert sind und diese als vertrauenswürdig wahrnehmen, indem klare Informationen zur Nutzung, Zuständigkeit und Vertraulichkeit der Verfahren bereitgestellt werden. Die Möglichkeit zur vertraulichen Meldung unterstützt die Nutzung der Kanäle zur Einbringung von Bedenken oder Beschwerden. Hinweise werden vertraulich behandelt und gemäß den geltenden internen Regelungen bearbeitet, sodass Verbraucher, Endnutzer und weitere Hinweisgeber keine Nachteile aus einer gutgläubigen Meldung befürchten müssen.

Das Informationssicherheitsmanagementsystem der Bechtle AG ist nach ISO 27001 zertifiziert und wird im Rahmen der Zertifizierung regelmäßig durch Externe kontrolliert. Ergänzend dazu führen wir zusätzliche interne und externe Sicherheitstests durch. Hierzu zählen Business Continuity Tests als interne Kontrollmechanismen zur Überprüfung der Wirksamkeit von Notfall- und Wiederanlauf­prozessen sowie Penetrationstests (Pentests), die die Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks oder Softwaresystems überprüfen. Diese Sicherheitstests werden mindestens zweimal jährlich in unseren zertifizierten Datacentern durchgeführt und sind Bestandteil unserer kontinuierlichen Sicherheitsmaßnahmen. Hinzu kommen Ad-hoc-Tests, die wir aufgrund sich verändernder Services, Weiterentwicklungen oder Neueinführungen in die Wege leiten.

Auch das Datenschutzmanagementsystem wird regelmäßig auf seine Aktualität und Wirksamkeit hin überprüft. Um die konzernweite Umsetzung der Anforderungen der EU-DSGVO zu gewährleisten, führen wir über unseren Datenschutzbeauftragten in allen Bechtle Gesellschaften Datenschutz­prüfungen bezüglich der Anforderungen der EU-DSGVO durch, um offene Punkte zu identifizieren und entsprechende Maßnahmen abzuleiten.

Ergreifung von Maßnahmen

Im Folgenden berichten wir über die Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen auf Verbraucher und Endnutzer und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit Verbrauchern und Endnutzern sowie die Wirksamkeit und Ansätze. Maßnahmen in Bezug auf Informationssicherheit und Datenschutz werden durch unser internes Security Operations Center (SOC) gesteuert. Seit 2024 verfügen wir über eine Notrufnummer, um kritische Fälle schnell melden und behandeln zu können. Unsere Maßnahmen beziehen sich auf unsere eigenen IT-Systeme und unsere eigene Geschäftstätigkeit. Wir arbeiten kontinuierlich an unseren Sicherheitskonzepten, um bei veränderten Anforderungen schnell reagieren und gegebenenfalls unsere Sicherheitsstrategie anpassen zu können.

Als Abhilfemaßnahmen führen wir Backups durch und überprüfen diese durch Restore-Übungen, wir erstellen Wiederanlaufpläne und halten diese vor und binden das Krisenmanagement ein. Wir nutzen IT-Security-Produkte namhafter Hersteller und führen vor dem Einsatz eine Anforderungsanalyse durch. Die Sicherheitsprüfung des Herstellers erfolgt auf Basis von Zertifikaten und Nachweisen. Letztlich achten wir auf eine angemessene und sichere IT-Architektur unserer Systeme und betrachten die gesamte Security-Kette.

Bezüglich der wesentlichen Chance sieht unser Aktionsplan den kontinuierlichen Ausbau von Kundenbeziehungen und Security-Angeboten vor. Derzeit betreut Bechtle über 10.000 aktive Security-Kunden in Europa mit einem Ende-zu-Ende-Portfolio aus Product- und Technologie-Sourcing, Consulting Services, Professional Services, Managed Services sowie Learning Services. Mit diesem Ende-zu-Ende-Ansatz sind wir in der Lage, unsere Kunden in technischen und präventiven organisatorischen Security-Aspekten zu unterstützen.

Die meisten Angriffe beginnen mit dem Identitätsdiebstahl. Die so erlangten Zugangsdaten können von Angreifern als Einstiegspunkt ins Unternehmen genutzt oder im Darknet weiterveräußert werden. Wir unterstützen hier unsere Kunden mit den Competence Centern IAM (Identity and Access Management) und PAM (Privileged Access Management), die sich auf den Schutz von Identitäten fokussieren, Security Awareness Trainings sowie einen eigens entwickelten Darknet Scan Service.

Präventive Maßnahmen können nie alle Angriffe verhindern. Daher ist ein kontinuierliches 24/7-Angriffsmonitoring wichtig. Hierzu bieten wir dem Kunden Services des SOC an, die auf eine frühzeitige Erkennung potenzieller Angriffe und eine zeitnahe Reaktion ausgerichtet sind. Dabei kommen auch automatisierte, playbookbasierte Reaktionsmechanismen zum Einsatz. Für nicht automatisierbare Maßnahmen stehen Security-Analyst:innen zur Unterstützung bereit, ebenso im Fall erfolgreicher Angriffe im Rahmen von Digital Forensics & Incident Response (DFIR). Die Wiederher­stellung betroffener Systeme kann dabei ebenfalls begleitet werden. In diesem Zusammenhang ist ein strukturiertes Notfall- und Krisenmanagement vorgesehen, um auf Sicherheitsvorfälle vorbereitet zu sein.

Schließlich bieten wir mit unseren Informationssicherheits- und Datenschutzexpert:innen umfangreiche Dienstleistungen im Bereich der nicht-technischen Sicherheit. Governance, Risk & Compliance ist insbesondere essenziell, um regulatorische Anforderungen wie NIS2, DORA, CRA oder AI Act zu erfüllen, die unsere Kunden vor Herausforderungen stellen.