Die Abgabe an Behörden bezeichnet die Weiterleitung eines Hinweises an zuständige Strafverfolgungs- oder Aufsichtsbehörden, wenn der gemeldete

Abhilfemaßnahmen nach dem Lieferkettensorgfaltspflichtengesetz sind die gesetzlich vorgeschriebenen Schritte, mit denen ein Unternehmen festgestellte

Ein Angemessenheitsbeschluss ist ein förmlicher Beschluss der Europäischen Kommission, der einem Drittland, einem Gebiet oder einem Sektor ein der EU

Eine Meldung, bei der die Identität des Hinweisgebers weder der Meldestelle noch dem betroffenen Unternehmen bekannt wird.

Anonymisierung ist die irreversible Veränderung personenbezogener Daten, sodass die betroffene Person nicht oder nicht mehr mit verhältnismäßigem

Der Anwendungsbereich der CSRD legt anhand von Größenschwellen fest, welche Unternehmen ab welchem Geschäftsjahr einen ESRS-konformen

Asset-Management bezeichnet die systematische Erfassung, Klassifizierung und Pflege aller Informationswerte einer Organisation und bildet damit die

Eine systematische, unabhängige Untersuchung zur Feststellung, ob Prozesse und Maßnahmen den festgelegten Anforderungen entsprechen.

Die Aufbewahrungsfrist der Meldung bezeichnet den Zeitraum, in dem die Dokumentation einer Hinweisgebermeldung gespeichert werden darf; nach § 11 Abs.

Eine Datenschutzaufsichtsbehörde ist eine unabhängige staatliche Stelle, die die Anwendung der DSGVO überwacht, durchsetzt und Betroffene wie

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, die personenbezogene Daten ausschließlich nach Weisung und für Zwecke eines

Vertragliche Regelung gem. Art. 28 DSGVO, wenn ein Dienstleister personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

Das Auskunftsrecht nach Art. 15 DSGVO gibt betroffenen Personen den Anspruch, vom Verantwortlichen eine Bestätigung über die Verarbeitung ihrer Daten,

Die Auslagerung der Meldestelle bezeichnet die Übertragung des Betriebs der internen Meldestelle auf einen externen Dritten, etwa eine Kanzlei,

Eine ausschließlich auf automatisierter Verarbeitung einschließlich Profiling beruhende Entscheidung, die der betroffenen Person gegenüber rechtliche

Die BAFA-Berichtspflicht verpflichtet Unternehmen im Anwendungsbereich des Lieferkettensorgfaltspflichtengesetzes, jährlich über die Erfüllung ihrer

Das Bundesdatenschutzgesetz (BDSG) ist das nationale deutsche Datenschutzgesetz, das die DSGVO ergänzt und konkretisiert, wo diese den Mitgliedstaaten

Die beauftragte Person der Meldestelle ist die für den Betrieb des internen Meldekanals zuständige, fachkundige und unabhängige Stelle, die Meldungen

Begrenzte Prüfungssicherheit (Limited Assurance) ist die niedrigere von zwei Prüfungstiefen, mit der Wirtschaftsprüfer CSRD-Nachhaltigkeitsangaben

Die Behinderung einer Meldung ist jeder Versuch, eine hinweisgebende Person an der Abgabe eines Hinweises zu hindern oder ihr die Meldung zu

Das berechtigte Interesse ist eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO, die eine Datenverarbeitung erlaubt, wenn die Interessen des

Der weite Beschäftigtenbegriff des HinSchG erfasst nicht nur Arbeitnehmer, sondern auch Bewerber, Leiharbeiter, Praktikanten, Beamte, Selbständige und

Beschäftigtendatenschutz bezeichnet den Schutz personenbezogener Daten von Beschäftigten im Arbeitsverhältnis, der sich in Deutschland insbesondere

Beschäftigungsgeber sind Unternehmen und juristische Personen des öffentlichen Sektors, die nach dem HinSchG verpflichtet sind, eine interne

Besondere Kategorien personenbezogener Daten sind besonders sensible Daten nach Art. 9 DSGVO, deren Verarbeitung grundsätzlich verboten ist und nur

Besonders wichtige und wichtige Einrichtungen sind die beiden zentralen Einrichtungskategorien der NIS2-Richtlinie, an die sich der Umfang der

Die Beteiligung des Betriebsrats umfasst dessen Mitbestimmungs- und Mitwirkungsrechte bei Einführung und Ausgestaltung des internen Meldesystems nach

Eine betroffene Person im Sinne des HinSchG ist eine natürliche oder juristische Person, die in einer Meldung oder Offenlegung als Verursacherin eines

Die Rechte natürlicher Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch gem. Art. 15–21 DSGVO.

Die Beweislastumkehr nach dem HinSchG vermutet, dass eine Benachteiligung eines Hinweisgebers eine verbotene Repressalie ist, sodass der Arbeitgeber

Binding Corporate Rules (BCR) sind verbindliche konzerninterne Datenschutzregeln, die nach Art. 47 DSGVO von der Aufsichtsbehörde genehmigt werden und

Das vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Framework für systematische Informationssicherheit.

Das BSI ist die nationale Cybersicherheitsbehörde Deutschlands und zuständige Aufsichtsbehörde für die Umsetzung der NIS2-Richtlinie sowie zentrale

Ein Managementprozess zur Sicherstellung der Geschäftsfortführung bei Störfällen und Krisen.

Die Business-Impact-Analyse (BIA) bewertet systematisch, welche Folgen der Ausfall kritischer Geschäftsprozesse hat, und leitet daraus

Das Bußgeld nach Art. 83 DSGVO ist eine von der Aufsichtsbehörde verhängte Geldbuße für Datenschutzverstöße, die je nach Verstoß bis zu 20 Mio. Euro

Das Bußgeld nach HinSchG ist die Geldbuße, die bei Verstößen gegen Pflichten des Hinweisgeberschutzgesetzes verhängt werden kann, etwa bei

Ein 12-Schritte-Modell als Einstieg in die Informationssicherheit, besonders geeignet für kommunale Verwaltungen und KMU.

Das CO2-Äquivalent (CO2e) ist eine Vergleichseinheit, die die Klimawirkung verschiedener Treibhausgase über ihr Treibhauspotenzial (GWP) auf die

Die Gesamtmenge der direkt und indirekt verursachten Treibhausgasemissionen, oft unterteilt in Scope 1, 2 und 3.

CO2-Kompensation bezeichnet den Ausgleich nicht vermeidbarer Treibhausgasemissionen durch den Erwerb von Zertifikaten aus geprüften

Ein systematischer Ansatz zur Sicherstellung der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben in einer Organisation.

Ein Computer Security Incident Response Team (CSIRT) ist ein spezialisiertes Team, das Sicherheitsvorfälle entgegennimmt, analysiert, koordiniert und

Die Cookie-Einwilligung ist die vorherige, informierte und freiwillige Zustimmung des Nutzers, die nach § 25 TTDSG erforderlich ist, bevor nicht

Die EU-Richtlinie 2022/2464, die erweiterte Nachhaltigkeitsberichtspflichten für Unternehmen ab bestimmten Schwellenwerten einführt.

Das Datengeheimnis verpflichtet die mit der Verarbeitung personenbezogener Daten betrauten Beschäftigten zur Vertraulichkeit, sodass sie diese Daten

Datenminimierung verlangt, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Verarbeitungszwecke notwendige Maß

Eine Verletzung des Schutzes personenbezogener Daten, die gem. Art. 33 DSGVO innerhalb von 72 Stunden der Aufsichtsbehörde zu melden ist.

Datenrichtigkeit ist der DSGVO-Grundsatz, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen;

Die Gesamtheit aller Maßnahmen zur Einhaltung datenschutzrechtlicher Anforderungen, insbesondere der DSGVO.

Eine gem. Art. 35 DSGVO erforderliche Risikoanalyse bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte der Betroffenen.

Die gem. Art. 37 DSGVO und § 38 BDSG unter bestimmten Voraussetzungen zu benennende Person zur Überwachung der Datenschutz-Compliance.

Die Datenschutzerklärung informiert Website-Besucher transparent und in präziser, leicht zugänglicher Form darüber, welche personenbezogenen Daten zu

Ein Datenschutzkoordinator ist ein dezentraler Datenschutzansprechpartner innerhalb einer Fachabteilung oder Konzerngesellschaft, der die Umsetzung

Datensicherung bezeichnet die regelmäßige, planmäßige Erstellung von Kopien kritischer Daten und Systeme, um diese nach Verlust, Beschädigung oder

Dienstleistersteuerung umfasst die systematische Bewertung, vertragliche Absicherung und laufende Überwachung von Sicherheitsrisiken, die aus der

Direktwerbung ist die unmittelbare, personalisierte werbliche Ansprache einzelner Personen (per Brief, E-Mail, Telefon oder digital), die datenschutz-

Disaster Recovery bezeichnet die Gesamtheit technischer und organisatorischer Maßnahmen zur planmäßigen Wiederherstellung von IT-Systemen, Anwendungen

Das DNSH-Kriterium (Do No Significant Harm) verlangt, dass eine als ökologisch nachhaltig eingestufte Wirtschaftstätigkeit keines der sechs

Die Pflicht der Meldestelle nach dem Hinweisgeberschutzgesetz, eingehende Meldungen sowie alle ergriffenen Verfahrensschritte dauerhaft, vertraulich

Die Analyse sowohl der Auswirkungen von Nachhaltigkeitsthemen auf das Unternehmen als auch der Unternehmensauswirkungen auf Umwelt und Gesellschaft.

Die EU-Verordnung 2022/2554 zur digitalen Betriebsstabilität im Finanzsektor mit Anforderungen an ICT-Risikomanagement.

Die Drei-Monats-Frist verpflichtet die interne Meldestelle, der hinweisgebenden Person spätestens drei Monate nach der Eingangsbestätigung eine

Das dreistufige Meldesystem beschreibt die im HinSchG vorgesehenen Meldewege für hinweisgebende Personen: die interne Meldestelle, die externe

Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die besondere Garantien gem. Art. 44 ff. DSGVO erfordert.

Die Durchbrechung der Vertraulichkeit bezeichnet die nach dem HinSchG eng begrenzten Ausnahmefälle, in denen die Identität einer hinweisgebenden oder

Die Eingangsbestätigung ist die Rückmeldung der Meldestelle an die hinweisgebende Person, dass deren Meldung eingegangen ist; sie muss nach dem

Eine freiwillig, informiert, unmissverständlich und für den bestimmten Fall erteilte Willensbekundung gem. Art. 7 DSGVO.

Einwilligungsmanagement umfasst alle Prozesse, mit denen Verantwortliche datenschutzrechtliche Einwilligungen rechtskonform einholen, dokumentieren,

Ein Emissionsfaktor ist ein Umrechnungswert, der Aktivitätsdaten wie Energieverbrauch oder gefahrene Kilometer in eine Menge an Treibhausgasemissionen

Ende-zu-Ende-Verschlüsselung (E2EE) schützt Daten durchgängig vom Sender bis zum Empfänger, sodass nur diese beiden Endpunkte den Klartext sehen und

Endpoint Detection and Response (EDR) ist eine Sicherheitstechnologie, die Aktivitäten auf Endgeräten wie Laptops und Servern kontinuierlich

Das European Single Electronic Format (ESEF) verpflichtet kapitalmarktorientierte Unternehmen, ihre Jahresfinanzberichte einschließlich

Das Rahmenwerk zur Bewertung von Unternehmen anhand ökologischer, sozialer und governance-bezogener Kriterien.

Ein ESG-Rating ist die Bewertung der Nachhaltigkeitsleistung eines Unternehmens entlang der Dimensionen Umwelt, Soziales und Unternehmensführung durch

Die von der EFRAG entwickelten Standards, nach denen CSRD-pflichtige Unternehmen ihre Nachhaltigkeitsberichte erstellen müssen.

ESRS 2 ist der verpflichtende Querschnittsstandard der CSRD-Berichterstattung, der übergreifende Angaben zu Governance, Strategie,

ESRS E1 ist der themenbezogene EU-Berichtsstandard, der Unternehmen unter der CSRD verpflichtet, ihren Klimaschutz, einen Übergangsplan zur

ESRS E2 ist der themenbezogene Standard der CSRD-Berichterstattung, der Angaben zur Verschmutzung von Luft, Wasser und Boden sowie zu Schadstoffen,

ESRS E3 ist der themenbezogene europäische Berichtsstandard, der Unternehmen zur Offenlegung ihrer Auswirkungen, Risiken und Chancen im Zusammenhang

ESRS E4 ist der themenbezogene EU-Berichtsstandard, der Unternehmen zur Offenlegung ihrer Auswirkungen, Risiken und Chancen in Bezug auf

ESRS E5 ist der themenbezogene CSRD-Standard zur Ressourcennutzung und Kreislaufwirtschaft und verlangt Angaben zu Ressourcenzuflüssen und -abflüssen,

ESRS G1 ist der themenbezogene CSRD-Standard für Governance und Unternehmensführung; er regelt Angaben zu Geschäftsethik, Korruptions- und

ESRS S1 ist der themenbezogene Sozialstandard der CSRD-Berichterstattung, der Angaben zu Arbeitsbedingungen, Löhnen, Gleichbehandlung und Rechten der

ESRS S2 ist der themenbezogene Sozialstandard der CSRD, der die Berichtspflichten zu den Auswirkungen eines Unternehmens auf Arbeitskräfte in der vor-

ESRS S3 ist der Sozialstandard der CSRD-Berichterstattung, der wesentliche Auswirkungen, Risiken und Chancen eines Unternehmens auf betroffene lokale

ESRS S4 ist der themenbezogene Sozialstandard der CSRD-Berichterstattung, der Angaben zu den Auswirkungen des Unternehmens auf Verbraucher und

ESRS-Datenpunkte sind die standardisierten Einzelangaben aus den European Sustainability Reporting Standards, die Unternehmen im Rahmen der

Die EU-Green-Claims-Richtlinie ist ein geplantes EU-Regelwerk, das Unternehmen verpflichtet, ausdrückliche Umweltaussagen wissenschaftlich zu belegen

Die CSDDD verpflichtet große Unternehmen, menschenrechtliche und umweltbezogene Sorgfaltspflichten entlang ihrer Aktivitätskette zu erfüllen und einen

Das Gesetzespaket der EU-Kommission vom Februar 2025, das die Nachhaltigkeitspflichten aus CSRD, CSDDD und EU-Taxonomie bündelt, vereinfacht und in

Das EU-Klassifikationssystem zur Definition ökologisch nachhaltiger Wirtschaftstätigkeiten.

Das EU-US Data Privacy Framework (DPF) ist der seit Juli 2023 geltende Angemessenheitsbeschluss der EU-Kommission, der Datenübermittlungen in

Die Richtlinie (EU) 2019/1937 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden.

Der Europäische Datenschutzausschuss (EDSA) ist das unabhängige EU-Gremium aller nationalen Aufsichtsbehörden, das durch Leitlinien und verbindliche

Die externe Meldestelle ist ein vom Beschäftigungsgeber unabhängiger, staatlich eingerichteter Meldekanal nach dem HinSchG, an den sich hinweisgebende

Die externe Meldestelle des Bundes ist die beim Bundesamt für Justiz eingerichtete zentrale staatliche Stelle, an die sich hinweisgebende Personen

Die Fallbearbeitung umfasst alle Prozessschritte einer Meldestelle von der Entgegennahme eines Hinweises über die Eingangsbestätigung,

Ein Fallmanagementsystem ist eine Software, mit der eingehende Hinweise einer internen oder externen Meldestelle vertraulich erfasst, strukturiert

Die federführende Aufsichtsbehörde ist bei grenzüberschreitender Datenverarbeitung die nach dem One-Stop-Shop-Prinzip allein zuständige Behörde am Ort

Finanzielle Materialität (Outside-in) bezeichnet die Wesentlichkeit von Nachhaltigkeitsthemen, die voraussichtlich wesentliche finanzielle

Eine Firewall ist eine Sicherheitskomponente, die den Netzwerkverkehr anhand definierter Regeln überwacht, filtert und kontrolliert, um unautorisierte

Folgemaßnahmen sind die nach § 18 HinSchG von der Meldestelle zu ergreifenden Schritte zur Prüfung, Aufklärung und Behebung eines gemeldeten

Eine gemeinsame Meldestelle ist eine von mehreren Unternehmen gemeinsam betriebene interne Meldestelle nach dem HinSchG, die unter engen gesetzlichen

Liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam über Zweck und Mittel der Verarbeitung entscheiden (Art. 26 DSGVO).

Die NIS2-Richtlinie verpflichtet die Leitungsorgane betroffener Einrichtungen, die Risikomanagementmaßnahmen der Cybersicherheit persönlich zu

Eine geschützte Meldung ist die Mitteilung von Informationen über Verstöße, die den persönlichen und sachlichen Anwendungsbereich des HinSchG erfüllt,

Das Greenhouse Gas Protocol ist der weltweit führende Standard zur Bilanzierung und Berichterstattung von Treibhausgasemissionen und unterteilt diese

Der integrierte Ansatz zur Steuerung von Unternehmensführung, Risikomanagement und Compliance-Einhaltung.

Greenwashing bezeichnet irreführende oder unbelegte Werbe- und Nachhaltigkeitsaussagen, die ein Unternehmen, ein Produkt oder eine Dienstleistung

Das weltweit verbreitete Rahmenwerk der Global Reporting Initiative für die Nachhaltigkeitsberichterstattung.

Gutgläubigkeit bezeichnet im Hinweisgeberschutzrecht die Voraussetzung, dass eine hinweisgebende Person zum Zeitpunkt der Meldung hinreichenden Grund

Hinreichende Prüfungssicherheit (reasonable assurance) ist die hohe, positiv formulierte Prüfungssicherheit, die die externe Prüfung von

Hinreichender Grund liegt vor, wenn eine hinweisgebende Person zum Zeitpunkt der Meldung aufgrund der ihr bekannten Umstände vernünftigerweise

Eine hinweisgebende Person ist nach dem HinSchG eine natürliche Person, die im beruflichen Kontext erlangte Informationen über Verstöße meldet oder

Die Hinweisgeberschutz-Richtlinie ist die unternehmensinterne Verfahrensregelung, die festlegt, wie Meldungen entgegengenommen, bearbeitet und

Das deutsche Gesetz zum Schutz hinweisgebender Personen, das die EU-Whistleblower-Richtlinie 2019/1937 umsetzt.

Ein technisches System zur sicheren und ggf. anonymen Übermittlung von Hinweisen auf Rechtsverstöße.

Identitätsschutz bezeichnet die Pflicht der Meldestelle, die Identität der hinweisgebenden Person sowie weiterer im Hinweis genannter Personen

Identity- und Access-Management (IAM) umfasst die Prozesse und Technologien zur Verwaltung digitaler Identitäten, Rollen und Zugriffsrechte über deren

Die Impact-Materialität (Inside-out-Perspektive) erfasst die tatsächlichen und potenziellen, positiven wie negativen Auswirkungen eines Unternehmens

Incident-Response bezeichnet den strukturierten Prozess zur Erkennung, Reaktion auf und Eindämmung von Sicherheitsvorfällen, um Schäden zu begrenzen

Die Informationsklassifizierung ordnet Informationen anhand ihres Schutzbedarfs definierten Schutzstufen zu und legt verbindliche Kennzeichnungs- und

Die Informationspflicht über Meldewege verpflichtet Beschäftigungsgeber, ihre Mitarbeitenden klar und verständlich über die Nutzung interner

Informationspflichten verpflichten den Verantwortlichen, betroffene Personen bei der Erhebung ihrer Daten transparent und verständlich über

Der Informationssicherheitsbeauftragte (ISB) ist die zentrale Rolle, die das Informationssicherheits-Managementsystem einer Organisation steuert,

Eine Informationssicherheitsrichtlinie ist das von der Leitung verabschiedete, verbindliche Grundsatzdokument, das Ziele, Rollen und Vorgaben für die

Integrität und Vertraulichkeit ist der in Art. 5 Abs. 1 lit. f DSGVO verankerte Grundsatz, wonach personenbezogene Daten durch geeignete technische

Die Interessenabwägung ist die nach Art. 6 Abs. 1 lit. f DSGVO erforderliche dreistufige Prüfung, in der das berechtigte Interesse des

Ein Interessenkonflikt der Meldestelle liegt vor, wenn eine mit der Bearbeitung von Hinweisen betraute Person aufgrund eigener Beteiligung,

Die von Unternehmen ab 50 Beschäftigten gem. HinSchG einzurichtende Stelle zur Entgegennahme und Bearbeitung von Hinweisen.

Strukturierte Sachverhaltsaufklärung durch das Unternehmen selbst, mit der ein eingegangener Hinweis auf mögliche Rechtsverstöße geprüft, dokumentiert

Ein Intrusion-Detection-System (IDS) überwacht Netzwerkverkehr oder Systemaktivitäten, erkennt Angriffe sowie Anomalien anhand von Signaturen oder

Die IRO-Analyse ist das nach den ESRS vorgeschriebene Verfahren zur systematischen Identifikation und Bewertung der Auswirkungen (Impacts), Risiken

Ein systematischer Ansatz zur Verwaltung vertraulicher Informationen, bestehend aus Richtlinien, Prozessen und Kontrollen.

Der internationale Standard für Informationssicherheits-Managementsysteme mit Anforderungen an Aufbau, Betrieb und Verbesserung eines ISMS.

IT-Forensik ist die methodische, beweissichere Identifikation, Sicherung, Analyse und Dokumentation digitaler Spuren nach einem Sicherheitsvorfall, um

Der Klima-Transitionsplan ist ein strategischer Plan, der darlegt, wie ein Unternehmen sein Geschäftsmodell auf eine kohlenstoffarme Wirtschaft im

Klimaneutralität bezeichnet einen Zustand, in dem die einem Unternehmen, Produkt oder Prozess zurechenbaren Treibhausgasemissionen durch Reduktion und

Das Kohärenzverfahren ist der in der DSGVO verankerte Abstimmungsmechanismus, mit dem die Aufsichtsbehörden der EU-Mitgliedstaaten bei

Das Koppelungsverbot untersagt es, die Erfüllung eines Vertrags von einer datenschutzrechtlichen Einwilligung abhängig zu machen, die für die Leistung

Kritische Infrastrukturen (KRITIS) sind Anlagen und Systeme in versorgungsrelevanten Sektoren, deren Ausfall erhebliche Versorgungsengpässe oder

Kryptografie ist die Wissenschaft der Verschlüsselung und Sicherung von Informationen mittels symmetrischer und asymmetrischer Verfahren sowie

Das Least-Privilege-Prinzip besagt, dass Benutzer, Dienste und Systeme nur genau die Zugriffsrechte erhalten, die sie zur Erfüllung ihrer konkreten

Lieferkettensicherheit umfasst alle Maßnahmen, mit denen eine Einrichtung Cyberrisiken aus Beziehungen zu Zulieferern und Dienstleistern erkennt,

Das deutsche Gesetz zu menschenrechtlichen und umweltbezogenen Sorgfaltspflichten in globalen Lieferketten.

Die LkSG-Risikoanalyse ist das systematische Verfahren, mit dem Unternehmen menschenrechtliche und umweltbezogene Risiken im eigenen Geschäftsbereich

Ein Löschfristenkonzept legt strukturiert für jede Datenart fest, wie lange personenbezogene Daten aufbewahrt und wann sie gelöscht oder anonymisiert

Ein systematischer Plan zur fristgerechten Löschung personenbezogener Daten nach Wegfall des Verarbeitungszwecks.

Die Fähigkeit einer Software, mehrere rechtlich getrennte Organisationen (Mandanten) in einem System mit strikter Datentrennung zu verwalten.

Ein Meldekanal ist der technische und organisatorische Weg, über den hinweisgebende Personen Verstöße melden können – etwa schriftlich, mündlich oder

Die Pflicht betroffener Einrichtungen, erhebliche Sicherheitsvorfälle innerhalb von 24 Stunden an die zuständige Behörde zu melden.

Die menschenrechtliche Sorgfaltspflicht ist ein fortlaufender Prozess, mit dem Unternehmen tatsächliche und potenzielle nachteilige Auswirkungen ihrer

Der Mindestschutz (Minimum Safeguards) umfasst die sozialen und governancebezogenen Mindestanforderungen nach Art. 18 der EU-Taxonomieverordnung, die

Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren, bei dem die Identität einer Person durch mindestens zwei unabhängige Faktoren aus

Die mündliche Meldung ist ein Hinweis, der nach dem HinSchG telefonisch, über ein anderes Sprachübermittlungssystem oder auf Wunsch in einer

Ein Nachhaltigkeitsbericht ist die strukturierte Offenlegung der ökologischen, sozialen und Governance-Auswirkungen, Risiken und Chancen eines

Das Need-to-Know-Prinzip gewährt Zugang zu Informationen ausschließlich denjenigen Personen, die diesen Zugang zur Erfüllung einer konkreten

Netto-Null bezeichnet den Zustand, in dem die anthropogenen Treibhausgasemissionen eines Unternehmens so weit reduziert und verbleibende

Netzwerksegmentierung ist die Aufteilung eines IT-Netzes in voneinander abgegrenzte Zonen, um den Datenverkehr zu kontrollieren und die Ausbreitung

Die NFRD (Non-Financial Reporting Directive, Richtlinie 2014/95/EU) war die EU-Vorgängerregelung zur CSRD und verpflichtete große Unternehmen von

Die Pflicht, die Nachhaltigkeitsberichterstattung nach CSRD/ESRS als eigenen Abschnitt direkt in den (Konzern-)Lagebericht zu integrieren, statt sie

Die EU-Richtlinie 2022/2555 zur Stärkung der Cybersicherheit in wesentlichen und wichtigen Einrichtungen.

Die Prüfung, ob ein Unternehmen als wesentliche oder wichtige Einrichtung unter die NIS-2-Richtlinie fällt.

Notfallmanagement umfasst alle organisatorischen und technischen Vorkehrungen, um auf Notfälle und Krisen vorbereitet zu sein, sie zu bewältigen und

Die Offenlegung bezeichnet das Zugänglichmachen von Informationen über Verstöße gegenüber der Öffentlichkeit, das hinweisgebende Personen nur unter

Die SFDR (Sustainable Finance Disclosure Regulation) verpflichtet Finanzmarktteilnehmer und Finanzberater zur transparenten Offenlegung, wie sie

Die Ökobilanz (Life Cycle Assessment, LCA) ist eine systematische Methode zur Bewertung der Umweltwirkungen eines Produkts oder einer Dienstleistung

Eine externe Vertrauensperson (oft Rechtsanwalt), die als Anlaufstelle für Hinweisgeber fungiert und zur Verschwiegenheit verpflichtet ist.

Opt-in und Opt-out bezeichnen zwei gegensätzliche Einwilligungsmodelle: Beim Opt-in muss die betroffene Person der Datenverarbeitung aktiv zustimmen,

Patch-Management ist der geordnete Prozess zum Identifizieren, Bewerten, Testen und Einspielen von Software-Updates und Sicherheitskorrekturen, um

PCAF (Partnership for Carbon Accounting Financials) ist ein global anerkannter Standard, mit dem Banken, Versicherer und Investoren die

Ein Penetrationstest ist ein autorisierter, kontrollierter Angriff auf IT-Systeme, Anwendungen oder Netzwerke, um ausnutzbare Sicherheitslücken

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO).

Recht hinweisgebender Personen, auf eigenen Wunsch innerhalb angemessener Frist persönlich mit der zuständigen Meldestelle zusammenzukommen, um einen

Der persönliche Anwendungsbereich des Hinweisgeberschutzgesetzes legt fest, welche natürlichen Personen als hinweisgebende Personen geschützt sind,

Phishing ist ein Social-Engineering-Angriff, bei dem Angreifer per gefälschter E-Mail, Website oder Nachricht Zugangsdaten erbeuten oder das Opfer zur

Die Plausibilitätsprüfung ist die erste fachliche Bewertung einer eingegangenen Meldung daraufhin, ob der gemeldete Verstoß stichhaltig erscheint und

Präventionsmaßnahmen nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) sind Vorkehrungen, mit denen Unternehmen menschenrechtliche und

Privacy by Default verpflichtet Verantwortliche nach Art. 25 Abs. 2 DSGVO, durch datenschutzfreundliche Voreinstellungen sicherzustellen, dass ohne

Privacy by Design (Datenschutz durch Technikgestaltung) verpflichtet den Verantwortlichen nach Art. 25 DSGVO, geeignete technische und

Privileged-Access-Management (PAM) umfasst Prozesse und Technologien zur Absicherung, Kontrolle und Überwachung privilegierter administrativer Konten

Profiling ist jede automatisierte Verarbeitung personenbezogener Daten, mit der persönliche Aspekte einer Person bewertet, analysiert oder

Protokollierung und Monitoring bezeichnen die systematische Aufzeichnung und kontinuierliche Auswertung sicherheitsrelevanter Ereignisse in

Die Prüfung des Nachhaltigkeitsberichts ist die externe Verifizierung der CSRD-pflichtigen Nachhaltigkeitsangaben durch einen unabhängigen Prüfer, der

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass sie ohne Hinzuziehung gesondert aufbewahrter Zusatzinformationen

Eine Public-Key-Infrastruktur (PKI) ist das organisatorische und technische System zur Erzeugung, Verteilung, Verwaltung und Rückruf digitaler

Ransomware ist Schadsoftware, die Daten oder ganze Systeme verschlüsselt oder den Zugriff darauf sperrt und für die Wiederfreigabe ein Lösegeld

Die Pflicht des Verantwortlichen, die Einhaltung aller DSGVO-Grundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO).

Das Recht auf Berichtigung gibt betroffenen Personen den Anspruch, unrichtige personenbezogene Daten korrigieren und unvollständige Daten

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO erlaubt betroffenen Personen, ihre bereitgestellten Daten in einem strukturierten, gängigen und

Das Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO erlaubt betroffenen Personen, die weitere Verarbeitung ihrer Daten in bestimmten

Das Recht auf Vergessenwerden (Art. 17 DSGVO) verpflichtet den Verantwortlichen, personenbezogene Daten unverzüglich zu löschen, sobald ein Löschgrund

Eine Rechtsgrundlage ist der nach Art. 6 DSGVO erforderliche Erlaubnistatbestand, der eine Verarbeitung personenbezogener Daten rechtmäßig macht; ohne

Das Verbot von Benachteiligungen (z. B. Kündigung, Versetzung) gegenüber Hinweisgebern als Reaktion auf deren Meldung.

Die Risikobehandlung ist der Prozess der Auswahl und Umsetzung von Maßnahmen, um identifizierte Informationssicherheitsrisiken zu vermeiden, zu

Die systematische Identifikation, Analyse und Bewertung von Risiken für die Informationssicherheit einer Organisation.

Risikomanagement ist der systematische, fortlaufende Prozess zur Identifikation, Bewertung, Behandlung und Überwachung von Risiken für die

Rollenbasierte Zugriffskontrolle (RBAC) vergibt Zugriffsrechte nicht an einzelne Personen, sondern an definierte Rollen, denen Nutzer zugewiesen

Die Rückmeldung ist die innerhalb von drei Monaten nach der Eingangsbestätigung an die hinweisgebende Person zu erteilende Information über geplante

Die Rücksprache mit dem Hinweisgeber bezeichnet den Kommunikationskanal, über den die Meldestelle während der Fallbearbeitung Nachfragen an die

Ein Cloud-basiertes Bereitstellungsmodell, bei dem Software über das Internet als Dienstleistung genutzt wird.

Der sachliche Anwendungsbereich legt fest, welche Verstöße vom Schutz des Hinweisgeberschutzgesetzes erfasst werden – im Kern Verstöße gegen

Die gem. § 17 HinSchG binnen drei Monaten an den Hinweisgeber zu übermittelnde Rückmeldung über ergriffene Folgemaßnahmen.

Schadensersatz nach dem HinSchG ist der gesetzliche Anspruch hinweisgebender Personen auf Ersatz des Schadens, den sie durch eine unzulässige

Der Schadensersatzanspruch nach Art. 82 DSGVO gewährt betroffenen Personen bei einem Verstoß gegen die DSGVO Ersatz sowohl für materielle als auch für

Schadsoftware (Malware) bezeichnet Programme, die ohne Wissen oder Einwilligung der Nutzer in IT-Systeme eingeschleust werden, um Daten zu stehlen, zu

Schlüsselmanagement umfasst alle Prozesse zur sicheren Erzeugung, Verteilung, Speicherung, Nutzung, Rotation und Vernichtung kryptografischer

Eine schriftliche Meldung ist ein Hinweis auf einen Verstoß, der in Textform – etwa per E-Mail, Online-Formular, Brief oder Hinweisgebersystem – bei

Die Schutzbedarfsfeststellung ermittelt für jeden Informationswert, wie hoch der Schutzbedarf in den Grundwerten Vertraulichkeit, Integrität und

Die Schutzziele der Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit (die sogenannte CIA-Triade), die festlegen, vor welchen

Schwachstellenmanagement ist der fortlaufende Prozess, technische Schwachstellen in IT-Systemen systematisch zu identifizieren, hinsichtlich ihres

Ein Schwachstellenscan ist die automatisierte Prüfung von IT-Systemen, Netzwerken und Anwendungen auf bekannte Sicherheitslücken anhand aktueller

Der Schwellenwert der Beschäftigtenzahl bestimmt, ab welcher Mitarbeiterzahl ein Unternehmen nach dem HinSchG verpflichtet ist, eine interne

Die Klassifizierung von Treibhausgasemissionen in direkte (Scope 1), energiebedingt indirekte (Scope 2) und sonstige indirekte (Scope 3).

Die EU-Taxonomie definiert sechs Umweltziele, anhand derer beurteilt wird, ob eine Wirtschaftsaktivität als ökologisch nachhaltig gilt; eine Tätigkeit

Security Information and Event Management (SIEM) ist eine zentrale Plattform, die sicherheitsrelevante Protokolldaten aus IT-Systemen sammelt,

Ein Security Operations Center (SOC) ist eine zentrale Organisationseinheit, die rund um die Uhr die IT-Landschaft einer Organisation überwacht,

Security-Awareness bezeichnet die gezielte Schulung und Sensibilisierung von Beschäftigten, damit sie Sicherheitsrisiken wie Phishing oder Social

Ein Sicherheitskonzept ist die dokumentierte Gesamtdarstellung aller technischen und organisatorischen Sicherheitsmaßnahmen einer Organisation, mit

Ein Ereignis, das die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen gefährdet oder beeinträchtigt.

Die Sieben-Tage-Frist bezeichnet die gesetzliche Frist nach dem HinSchG, innerhalb der eine Meldestelle der hinweisgebenden Person den Eingang ihrer

Social Engineering bezeichnet die gezielte psychologische Manipulation von Menschen, um sie zur Preisgabe vertraulicher Informationen oder zu

Sorgfaltspflicht in der Lieferkette bezeichnet die Pflicht von Unternehmen, menschenrechtliche und umweltbezogene Risiken entlang ihrer Lieferketten

Die Speicherbegrenzung ist ein DSGVO-Grundsatz, nach dem personenbezogene Daten nur so lange in identifizierbarer Form gespeichert werden dürfen, wie

Die Stakeholder-Einbindung bezeichnet den systematischen Dialog mit betroffenen Interessengruppen, um deren Sichtweisen in die Wesentlichkeitsanalyse

Standardvertragsklauseln (SCC) sind von der EU-Kommission erlassene Mustervertragsklauseln, die ein angemessenes Datenschutzniveau bei der

Das Dokument im Rahmen der ISO 27001, das alle anwendbaren Kontrollen aus Annex A und deren Umsetzungsstatus auflistet.

Systemhärtung bezeichnet die gezielte Reduktion der Angriffsfläche von IT-Systemen durch sichere Konfiguration, etwa das Deaktivieren nicht benötigter

Taxonomiefähigkeit bezeichnet die Zuordnung einer Wirtschaftsaktivität zu einer in der EU-Taxonomie beschriebenen Tätigkeit, unabhängig davon, ob

Taxonomiekonformität bezeichnet die nachgewiesene Übereinstimmung einer Wirtschaftsaktivität mit allen technischen Bewertungskriterien der

Schutzmaßnahmen gem. Art. 32 DSGVO, die ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten gewährleisten.

Threat Intelligence bezeichnet die systematische Sammlung, Aufbereitung und Auswertung von Informationen über aktuelle Cyberbedrohungen,

Das Transfer Impact Assessment (TIA) ist die nach dem Schrems-II-Urteil verpflichtende Einzelfallprüfung, ob bei einer Datenübermittlung in ein

Die Treibhausgasbilanz erfasst und berechnet alle klimawirksamen Emissionen eines Unternehmens, gegliedert nach Scope 1, 2 und 3, und bildet die

Treu und Glauben ist der datenschutzrechtliche Grundsatz, dass personenbezogene Daten rechtmäßig, nach Treu und Glauben und in einer für die

Das TTDSG (heute TDDDG) regelt den Datenschutz in Telekommunikation und Telemedien, insbesondere den Schutz von Endeinrichtungen, und ergänzt die

Die Unabhängigkeit der Meldestelle verlangt, dass die mit der Fallbearbeitung beauftragten Personen ihre Tätigkeit fachlich weisungsfrei, vertraulich

Der Grundsatz, dass eine von einem Hinweis beschuldigte Person bis zum Nachweis eines Fehlverhaltens als unschuldig gilt und im gesamten

Der Prüfkatalog des Verbands der Automobilindustrie zur Informationssicherheit, geprüft über das TISAX-Verfahren der ENX Association.

Der Verantwortliche ist die natürliche oder juristische Person, Behörde oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel

Das Verzeichnis aller Verarbeitungstätigkeiten, das gem. Art. 30 DSGVO von jedem Verantwortlichen geführt werden muss.

Die Vereinbarung gemeinsamer Verantwortlicher (Joint Controller Agreement) legt nach Art. 26 DSGVO transparent fest, wer welche Datenschutzpflichten

Der Verfahrensabschluss bezeichnet die formelle Beendigung der Bearbeitung einer Meldung durch die Meldestelle, einschließlich der abschließenden

Verfügbarkeit ist das Schutzziel der Informationssicherheit, das sicherstellt, dass Systeme, Anwendungen und Daten autorisierten Nutzern jederzeit bei

Verschlüsselung ist ein kryptografisches Verfahren, das Daten mithilfe von Schlüsseln in ein nicht lesbares Format umwandelt, um sie bei der

Die Verschwiegenheitspflicht der Bearbeiter verpflichtet alle mit einer Meldung befassten Personen der Meldestelle, die Identität von Hinweisgebern,

Der Verstoßkatalog des HinSchG umschreibt in § 2 abschließend, welche Rechtsverstöße meldefähig sind und damit den Hinweisgeberschutz auslösen.

Das Vertraulichkeitsgebot verpflichtet interne und externe Meldestellen, die Identität der hinweisgebenden Person, der von einer Meldung betroffenen

Eine vorsätzliche Falschmeldung ist die wissentliche oder grob fahrlässige Abgabe unrichtiger Informationen über angebliche Verstöße; sie ist nach dem

Das Wahlrecht der Meldewege bezeichnet das Recht hinweisgebender Personen nach dem HinSchG, frei zu entscheiden, ob sie einen Verstoß über die interne

Die Wertschöpfungskette umfasst im ESG-Kontext alle vor- und nachgelagerten Aktivitäten eines Unternehmens und bildet die wesentliche Berichtsgrenze

Die Wesentlichkeitsanalyse ist der strukturierte Prozess, mit dem ein Unternehmen die für seine Nachhaltigkeitsberichterstattung wesentlichen Themen,

Die Meldung von Missständen, Gesetzesverstößen oder ethischem Fehlverhalten innerhalb einer Organisation an eine zuständige Stelle.

Das Widerspruchsrecht erlaubt betroffenen Personen, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, insbesondere bei Direktwerbung,

Wissenschaftsbasierte Ziele (Science Based Targets) sind unternehmerische Emissionsreduktionsziele, die mit dem 1,5-Grad-Pfad des Pariser

Die Zero-Trust-Architektur ist ein Sicherheitsmodell, das keinem Nutzer, Gerät oder Dienst implizit vertraut und jede Zugriffsanfrage unabhängig vom

Die Zugriffskontrolle umfasst alle organisatorischen und technischen Maßnahmen, mit denen Berechtigungen auf IT-Systeme, Anwendungen und Daten

Die Zweckbindung verlangt, dass personenbezogene Daten nur für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen