Cybersecurity

Business Continuity Plan: BSI 200-4 und DSGVO Art. 32

Business Continuity Plan nach BSI-Standard 200-4: BCM-Aufbau, IT-Notfallplanung und Verzahnung mit DSGVO Art. 32 — Leitfaden 2026 mit BfDI-Praxis.

TD
Dr. Thiébaut Devergranne
23. Mai 20264 min read

In einem Satz. Ein Business Continuity Plan (BCP) nach BSI-Standard 200-4 ist die operative Antwort auf DSGVO Artikel 32 Absatz 1 Buchstabe c: die “Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen” — gemessen in RTO (Recovery Time Objective) und RPO (Recovery Point Objective).

BSI-Standard 200-4 (Version 1.0, Juni 2023) hat den älteren BSI-Standard 100-4 abgelöst und definiert ein dreistufiges Reifegradmodell: Reaktiv-BCMS, Aufbau-BCMS und Standard-BCMS. Die Verzahnung mit IT-Grundschutz (200-2) und Risikoanalyse (200-3) ist obligatorisch für KRITIS-Betreiber und nun auch für NIS2-Anwendungsbereich relevant.

Für den Sicherheitsrahmen siehe DSGVO Artikel 32 Sicherheit. Für die NIS2-Pflichten NIS2 Umsetzung Deutschland.

Wichtige Punkte

  • BSI-Standard 200-4 löst 100-4 ab und bietet drei Reifegrade (Reaktiv, Aufbau, Standard).
  • DSGVO Artikel 32 Absatz 1 Buchstabe c fordert “rasche Wiederherstellung” — BCP liefert RTO/RPO als Beweis.
  • Business Impact Analyse (BIA) ist der Kern: jede Geschäftsprozess wird nach MTPD (Maximum Tolerable Period of Disruption) klassifiziert.
  • Sanktionen wegen fehlender Verfügbarkeitssicherung: Vodafone Deutschland 2022, mehrere Krankenhaus-Ransomware-Fälle.
  • BCP-Testierung mindestens jährlich; nach BSI-Empfehlung halbjährliche Komponenten-Tests.

1. Rechtliche Grundlage — Artikel 32 trifft BSI 200-4

DSGVO Artikel 32 nennt vier Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit. BSI 200-4 operationalisiert die letzten beiden durch BCM (Business Continuity Management).

Artikel 32 Anforderung BSI 200-4 Antwort
Verfügbarkeit der Daten RTO/RPO-Definition pro Prozess
Rasche Wiederherstellung Wiederanlaufpläne (WAP)
Belastbarkeit Redundanz + georedundante Standorte
Regelmäßige Überprüfung BCM-Übungen, jährliche Audits

2. Die drei Reifegrade nach BSI 200-4

Reaktiv-BCMS (Stufe 1) — Krisenstab benannt, Notfallhandbuch existiert, Notrufketten. Mindestmaß für KMU.

Aufbau-BCMS (Stufe 2) — BIA durchgeführt, kritische Prozesse identifiziert, RTO/RPO definiert. Geeignet für mittelständische Unternehmen.

Standard-BCMS (Stufe 3) — Vollständiges BCMS nach ISO 22301-äquivalentem Niveau, KRITIS-konform, mit jährlicher Auditpflicht.

3. Business Impact Analyse (BIA)

Die BIA ist der diagnostische Kern des BCP. Jeder Geschäftsprozess wird bewertet nach:

  • MTPD (Maximum Tolerable Period of Disruption) — maximale Ausfallzeit ohne existenzielle Folgen
  • RTO (Recovery Time Objective) — Ziel-Wiederanlaufzeit
  • RPO (Recovery Point Objective) — maximaler tolerabler Datenverlust
  • MBCO (Minimum Business Continuity Objective) — Mindestbetriebsniveau

Beispiel-Klassifikation:

  • Lohnbuchhaltung: MTPD 5 Tage, RTO 48h, RPO 24h
  • E-Commerce-Plattform: MTPD 4 Stunden, RTO 1h, RPO 15min
  • HR-Aktenarchiv: MTPD 30 Tage, RTO 7 Tage, RPO 24h

4. IT-Notfallplan vs. BCP — die Abgrenzung

Dokument Scope Verantwortlich
IT-Notfallplan (IT-DR) Wiederherstellung von IT-Systemen CISO/IT-Leitung
BCP (Business Continuity) Aufrechterhaltung des Geschäftsbetriebs BCM-Beauftragter
Krisenmanagement-Plan Strategische Reaktion auf Großereignisse Vorstand/Krisenstab

DSGVO Artikel 32 verlangt mindestens IT-DR; bei kritischen Prozessen mit personenbezogenen Daten auch BCP.

5. Verzahnung mit IT-Grundschutz (BSI 200-2/200-3)

BSI 200-4 baut auf der IT-Grundschutz-Methodik auf. Der Bezug:

  • 200-2 Methodik — Strukturanalyse, Schutzbedarfsfeststellung
  • 200-3 Risikoanalyse — Bedrohungsmodellierung
  • 200-4 BCMS — Geschäftsfortführung trotz Eintritt

Eine vollständige Implementierung umfasst alle drei Standards, häufig zertifiziert nach ISO 27001 auf Basis von IT-Grundschutz.

6. Sanktionen und Präzedenzfälle

Jahr Vorfall Sanktion/Folge
2020 Universitätsklinikum Düsseldorf (Ransomware) Patientensterben, BSI-Untersuchung
2021 Anhalt-Bitterfeld (Ransomware) Katastrophenfall ausgerufen, 9 Wochen Ausfall
2022 Vodafone Deutschland (Verfügbarkeit) BfDI-Verwarnung
2023 Südwestfalen-IT (Ransomware) 70+ Kommunen betroffen
2024 Verlagsgruppe (CHIP/Focus) Wochenlanger Ausfall

Die Tendenz: Aufsichtsbehörden fragen nach Vorfällen aktiv nach BCP-Dokumentation und Testberichten.

7. Wiederanlaufpläne (WAP) — die operative Ebene

Jeder kritische Prozess benötigt einen WAP mit:

  • Auslöser (welches Ereignis aktiviert den Plan)
  • Verantwortliche (Rollen, nicht Personen)
  • Schritte (zeitlich geordnet, mit Zwischenzielen)
  • Ressourcen (Personal, Hardware, externe Dienstleister)
  • Eskalationsweg

BSI empfiehlt: WAP nicht länger als 10 Seiten, sonst unbenutzbar im Notfall.

8. Testierung und Übungen

BSI 200-4 unterscheidet:

  • Schreibtischübungen (Tabletop) — halbjährlich, ca. 4h
  • Funktionsübungen — jährlich, einzelne Komponenten
  • Vollübungen — alle 2-3 Jahre, ganzes BCMS

Jede Übung mündet in einen Lessons-Learned-Bericht. Aufsichtsbehörden fordern bei Kontrollen oft die letzten drei Übungsberichte an.

9. Dokumentation für DSGVO-Nachweis

Artikel 5 Absatz 2 (Rechenschaftspflicht) verlangt Nachweis. Für BCP/BCM:

  • BIA-Dokument mit RTO/RPO pro Prozess
  • BCP/IT-Notfallhandbuch (aktueller Stand)
  • Übungsberichte (letzte 24 Monate)
  • Lessons-Learned-Protokolle
  • Schulungsnachweise für Krisenstab

10. Werkzeuge

Legiscope verknüpft BCP-Dokumentation mit dem Verzeichnis der Verarbeitungstätigkeiten und alarmiert bei abgelaufenen Übungen oder fehlenden RTO/RPO-Werten kritischer Prozesse.

Verwandte Leitfäden: DSGVO Artikel 32 Sicherheit, NIS2 Umsetzung Deutschland, Datenpanne melden.

Fazit

BCP ist nicht “IT-Backup mit Begleitdokument” — es ist die Übersetzung von Geschäftsprioritäten in Wiederanlaufmechaniken. BSI 200-4 gibt einen pragmatischen, mehrstufigen Rahmen. Die DSGVO-Verzahnung läuft über Artikel 32 Absatz 1 Buchstabe c und die Rechenschaftspflicht aus Artikel 5 Absatz 2.

FAQ

Was ist der Unterschied zwischen BSI 100-4 und BSI 200-4?

BSI 200-4 (2023) ersetzt 100-4 (2008) und führt drei Reifegradstufen ein. Inhaltlich erweitert um Cloud, Ransomware-Spezifika und stärkere Verzahnung mit ISO 22301.

Ist ein BCP nach DSGVO Pflicht?

Artikel 32 fordert “rasche Wiederherstellung” — ein BCP ist die etablierte Methode, dies nachzuweisen. Für KRITIS-Betreiber und NIS2-Anwendungsbereich ist BCM rechtlich verpflichtend.

Wie oft muss ein BCP getestet werden?

BSI empfiehlt mindestens jährliche Funktionsübungen und alle 2-3 Jahre eine Vollübung. Tabletop-Übungen halbjährlich.

Welcher BSI-Reifegrad ist für KMU realistisch?

“Aufbau-BCMS” (Stufe 2) ist für die meisten KMU mit kritischen Prozessen realistisch und DSGVO-konform.

Was ist der Unterschied zwischen RTO und RPO?

RTO ist die maximale Zeit bis zum Wiederanlauf eines Prozesses; RPO ist der maximale tolerable Datenverlust gemessen vom letzten validen Backup.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →