Am 26. Januar 2026 stellte die Europäische Kommission offiziell fest, dass Brasilien ein mit der Europäischen Union vergleichbares Schutzniveau für die Verarbeitung personenbezogene Daten bietet und damit die Anforderungen des Art. 45 DS-GVO erfüllt. Mit diesem Angemessenheitsbeschluss wird die Übermittlung personenbezogener Daten von der Europäischen Union nach Brasilien deutlich erleichtert, da keine zusätzlichen Übermittlungsinstrumente wie Standardvertragsklauseln oder Binding Corporate Rules erforderlich sind. Für Organisationen bedeutet dies eine spürbare Vereinfachung und erhöhte Rechtssicherheit bei Datenübermittlungen nach Brasilien.

Was ist ein Angemessenheitsbeschluss?

Werden personenbezogene Daten an Organisationen außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums übermittelt, reicht eine allgemeine Rechtsgrundlage (z. B. vertragliche Grundlage, berechtigtes Interesse) allein nicht aus. Zusätzlich müssen die Anforderungen aus Kapitel V der DS-GVO erfüllt sein. Ziel ist es dabei, dass das europäische Datenschutzniveau auch bei einer Verarbeitung in sogenannten Drittländern gewahrt bleibt. Hier setzt der Angemessenheitsbeschluss an: Die Europäische Kommission kann feststellen, dass ein bestimmtes Drittland oder eine internationale Organisation ein der Europäischen Union vergleichbares Datenschutzniveau bietet.

Maßgeblich sind dabei gemäß Art. 45 Abs. 2 DS-GVO:

• Die Rechtsstaatlichkeit, die Achtung der Menschenrechte und Grundfreiheiten, einschlägige Rechtsvorschriften, auch in Bezug auf die öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie der Zugang der Behörden zu personenbezogenen Daten, die Anwendung dieser und datenschutzrechtlicher Vorschriften sowie die Möglichkeit zur Durchsetzung von Rechten der betroffenen Person und die Wirksamkeit der verwaltungsrechtlichen und gerichtlichen Rechtsbehelfe;

• Die Existenz und wirksame Funktionsweise unabhängiger Aufsichtsbehörden für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften, einschließlich angemessener Durchsetzungsbefugnisse sowie für die Unterstützung und Beratung von betroffenen Personen bei der Ausübung ihrer Rechte und für die Zusammenarbeit mit Aufsichtsbehörden anderer Mitgliedstaaten;

• Die eingegangenen internationalen Verpflichtungen, die sich aus rechtsverbindlichen Übereinkünften oder Instrumenten sowie aus der Teilnahme an multilateralen oder regionalen Systemen insbesondere in Bezug auf den Schutz personenbezogener Daten ergeben.

Wird ein solches angemessenes Schutzniveau festgestellt, dürfen personenbezogene Daten in dieses Land grundsätzlich ohne zusätzliche Garantien (z. B. Standardvertragsklauseln oder Binding Corporate Rules) übermittelt werden – der Angemessenheitsbeschluss wirkt damit wie eine „datenschutzrechtliche Brücke“ und vereinfacht internationale Datenübermittlungen erheblich. Um sicherzustellen, dass das festgestellte Schutzniveau weiterhin besteht, überprüft die Europäische Kommission bestehende Angemessenheitsbeschlüsse regelmäßig.

Hintergründe zum Angemessenheitsbeschluss für Brasilien

Mit Blick auf Brasilien ist insbesondere die strukturelle Annäherung des dortigen Datenschutzrechts an europäische Standards hervorzuheben. Die brasilianische „Lei Geral de Proteção de Dados“ (LGPD) orientiert sich systematisch an zentralen Prinzipien der DS-GVO, darunter Transparenz, Zweckbindung, Datenminimierung sowie umfassende Betroffenenrechte. Auch die Existenz einer eigenständigen Datenschutzaufsichtsbehörde (Autoridade Nacional de Proteção de Dados – ANPD) war ein wesentlicher Bestandteil der Bewertung. Diese institutionellen und materiell-rechtlichen Parallelen bildeten die Grundlage für die positive Entscheidung der Europäischen Kommission.

Für Organisationen mit Niederlassungen, Auftragsverarbeitern oder Geschäftspartnern in Brasilien vereinfacht der Angemessenheitsbeschluss die praktische Umsetzung von Datentransfers erheblich. Bestehende Standardvertragsklauseln oder andere Transferinstrumente, die ausschließlich zur Absicherung des Drittlandtransfers implementiert wurden, können überprüft und gegebenenfalls angepasst werden. Dadurch lassen sich vertragliche Strukturen und interne Prozesse verschlanken.

Wichtig bleibt jedoch: Der Angemessenheitsbeschluss ersetzt nicht die übrigen Anforderungen der DS-GVO. Für jede Verarbeitung ist weiterhin eine belastbare Rechtsgrundlage erforderlich. Zudem müssen die allgemeinen Grundsätze – etwa Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit – eingehalten werden. Auch Informationspflichten, Betroffenenrechte sowie Dokumentations- und Rechenschaftspflichten gelten unverändert fort. Der Beschluss schafft damit operative Erleichterungen bei Datenübermittlungen nach Brasilien, entbindet Unternehmen jedoch nicht von einem strukturierten und ganzheitlichen Datenschutzmanagement.

Fazit

Der Angemessenheitsbeschluss für Brasilien stellt für international tätige Organisationen einen relevanten Schritt zur Vereinfachung grenzüberschreitender Datenflüsse dar. Datenübermittlungen können künftig auf einer stabilen unionsrechtlichen Grundlage erfolgen, ohne dass zusätzliche Übermittlungsinstrumente erforderlich sind. Gleichzeitig bleibt jedoch festzuhalten: Die Erleichterung betrifft ausschließlich die Transfermechanik. Die weiteren Anforderungen der DS-GVO gelten unverändert fort.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?

Biometrie und Datenschutz

Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.

Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.

Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.

In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.

Einwilligung im Beschäftigtenverhältnis

Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.

Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.

Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.

Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.

Fazit

Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nichts ist so beständig wie der Wandel – oder die datenschutzrechtliche Diskussion über Microsoft 365. Nachdem wir bereits im Oktober 2020 sowie im November und Dezember 2022 den jeweiligen Standpunkt der Datenschutz-Aufsichtsbehörden sowie mögliche Herangehensweisen darstellten, wandte sich nun der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) im November 2025 mit einer – zu Teilen sicher unerwarteten – Pressemitteilung an die Öffentlichkeit: „Microsoft 365 kann datenschutzkonform genutzt werden“ heißt es in der Überschrift. Zu den Hintergründen des vermeintlichen Sinneswandels.

Was bisher geschah

Ende November 2022 hieß es von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („Datenschutzkonferenz“, kurz: DSK) zuletzt: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. […] Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ Hauptkritikpunkt war demnach im Wesentlichen die vertragliche Grundlage zur Auftragsverarbeitung und daran anknüpfende Aspekte der Transparenz. Microsoft hatte diese Auffassung – wenig überraschend – nicht geteilt und eine entsprechende Stellungnahme veröffentlicht.

Nachdem die Handlungsempfehlungen der Datenschutz-Aufsichtsbehörden zum damaligen Zeitpunkt insbesondere individuelle Vertragsanpassungen vorsahen, die seitens der Verantwortlichen gegenüber Microsoft durchgesetzt werden sollten, vermeldete das Niedersächsische Ministerium für Inneres und Sport im Mai 2024 erstmals die datenschutzkonforme Nutzung von Microsoft Teams auf Basis individuell vereinbarter datenschutzrechtlicher Vereinbarungen – nach Ansicht des LfD Niedersachen zum damaligen Zeitpunkt immerhin ein „akzeptables“ Ergebnis.

Auch der Europäische Datenschutzbeauftragte (EDSB) bestätigte im Juli 2025 den datenschutzkonformen Einsatz von Microsoft 365 bei der EU-Kommission. Nachdem dieser im Frühjahr 2024 einige datenschutzrechtliche Mängel feststellte und konkrete Abhilfemaßnahmen auferlegte, konnte die EU-Kommission die Umsetzung der Maßnahmen letzten Endes nachweisen. Auch hierbei handelte es sich neben der Umsetzung ergänzender technischer und organisatorischer Maßnahmen ebenfalls um die Etablierung zusätzlicher vertraglicher Regelungen.

Zum Ergebnis des HBDI

Im Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft 365 werden auf 137 Seiten ausführlich die rechtlichen Erwägungen des HBDI sowie daraus erwachsende Handlungsempfehlungen für Organisationen dargelegt. Im Rahmen der Pressemitteilung fasst die hessische Datenschutz-Aufsichtsbehörde das Ergebnis wie folgt zusammen:

„In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Zum einen haben sich rechtliche Vorgaben verändert wie z. B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks. Zum anderen hat [Microsoft] seine Datenverarbeitung an europäische Anforderungen angepasst wie z. B. durch die EU-Datengrenze, durch die [Microsoft] fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.

Drittens hat [Microsoft] Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert. Viertens konnte der HBDI erreichen, dass [Microsoft] das DPA (für öffentliche Stellen) fortentwickelt hat. Schließlich stellt [Microsoft] zusätzliche Informationen bereit wie z. B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt. Das positive Ergebnis beruht auch auf der Erwartung, dass [Microsoft] und die Verantwortlichen zusammenwirken, damit Verantwortliche M365 datenschutzrechtskonform nutzen können.“

Mitunter ausschlaggebend waren eben auch hier vertragliche Anpassungen. Deutlich wird dabei auch, dass seitens des HBDI hauptsächlich vertragliche und dokumentarische Aspekte, nicht jedoch die durch die jeweiligen Anwendungen tatsächlich stattfindenden Verarbeitungen personenbezogener Daten überprüft wurden. Es bedarf also neben gegebenenfalls erforderlichen vertraglichen Ergänzungen weiterhin auch einer fundierten Auseinandersetzung mit der technischen Konfiguration der Microsoft 365-Instanz mitsamt aller Anwendungen und Prozesse.

Fazit

Die Überschrift der Pressemitteilung des HBDI „Microsoft 365 kann datenschutzkonform genutzt werden“ darf nicht missverstanden werden. Zwar konnte Microsoft im Rahmen der Prüfung durch die hessische Datenschutz-Aufsichtsbehörde vermeintliche Mängel ausräumen, die Implementierung und Nutzung von Microsoft 365 setzt durch die jeweiligen Organisationen jedoch weiterhin eine konkrete Betrachtung der genutzten Anwendungen, potenzieller Risiken und vorhandener Einstellungsmöglichkeiten voraus. Ein datenschutzkonformer Betrieb von Microsoft 365 ist damit nicht ausgeschlossen; er kann jedoch nicht pauschal unterstellt werden und entbindet nicht von einer einzelfallbezogenen datenschutzrechtlichen Prüfung und fortlaufenden Steuerung.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem wir uns in der vergangenen Woche im Rahmen des ersten Teils unseres alljährlichen Jahresrückblicks den Monaten Januar bis Juni gewidmet haben, werfen wir heute einen Blick auf die Monate Juli bis Dezember.

Juli

In den sommerlichen Tagen des Jahres wandten wir uns zunächst zwei relevanten Veröffentlichungen der Bundesnetzagentur sowie des Bundesverband IT-Sicherheit e. V. (TeleTrust) zu. Unter dem Titel „KI-Kompetenzen nach Artikel 4 KI-Verordnung“ veröffentlichte zunächst die Bundesnetzagentur ein Hinweispapier, welches wir im Rahmen unseres Blog-Beitrages „Bundesnetzagentur äußert sich zu KI-Kompetenz“ näher betrachteten. Weiterhin setzten wir uns aufgrund der aktualisierten Fassung der „Handreichung zum Stand der Technik in der IT-Sicherheit“ des TeleTrust mit der Begrifflichkeit des Standes der Technik sowie den wesentlichen Inhalten der Handreichung auseinander – nachzulesen in unserem Beitrag „Zum aktuellen Stand der Technik“.

Ebenfalls im Juli, genauer gesagt am 17. Juli 2025, entschied das Verwaltungsgericht Köln (Az. 13 K1419/23), dass das Bundespresseamt – entgegen des Bescheids des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), seine Facebook-Fanpage zu Zwecken der Öffentlichkeitsarbeit weiterhin betreiben dürfe. Die Hintergründe zum Verfahren und Urteil können in unserem Beitrag „Verwaltungsgericht Köln zu Facebook-Fanpages“ nachgelesen werden. Im August wurde gegen das Urteil Berufung eingelegt.

August

Weiter ging es im August mit der Einordnung von zahlreichen Veröffentlichungen der Datenschutzkonferenz. Hierbei thematisierten wir die „Orientierungshilfe zu empfohlenen technischen und organisatorischen Maßnahmen bei der Entwicklung und beim Betrieb von KI-Systemen“, die Entschließungen „Confidential Computing“ und „Ohne Sicherheit keine Freiheit – Ohne Freiheit keine Sicherheit“ sowie das Positionspapier „Datenschutz bei der Terminverwaltung durch Heilpraxen“, welches auch für andere Branchen eine gute Orientierung darstellen kann.

Auch das Ende Juli durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Whitepaper zu „Bias in der künstlichen Intelligenz“ stellten wir im Rahmen eines Blog-Beitrages vor.

September

Statt eines Herbstes der Reformen stand uns ein September der Urteilsbesprechungen bevor. Im Rahmen des Beitrages „Darf § 26 BDSG nun doch nicht mehr angewendet werden?“ ordneten wir zunächst das Urteil des Bundesarbeitsgerichts vom 8. Mai 2025 (8 AZR 209/21) ein und klärten die Frage, welche konkreten Auswirkungen das Urteil auf den Beschäftigtendatenschutz hat.

Anschließend widmeten wir uns der Entscheidung des Gerichts der Europäischen Union vom 3. September 2025 (T-553/23) hinsichtlich des Data Privacy Frameworks (DPF). Auch wenn dieses Urteil zunächst bestätigt, dass die USA zum Zeitpunkt des Erlasses des DPF ein angemessenes Schutzniveau für personenbezogene Daten gewährleisteten, wird hierdurch ebenfalls deutlich, dass mit zugrunde legen eines anderen zeitlichen Bezugspunktes hierzu jederzeit auch ein anderslautendes Urteil gefällt werden könnte. Insofern bleibt es bei dem bisherigen Resümee unserer Beiträge zu diesem Thema: Verantwortliche sollten sich zumindest einen möglichen Plan B ohne Data Privacy Framework zurechtlegen.

Und da aller guten Dinge bekanntlich drei sind, widmeten wir uns ebenfalls dem Urteil des Europäischen Gerichtshofs vom 4. September 2025 (C-413/23 P) bezüglich der Reichweite des Begriffs personenbezogener Daten. Ergebnis: Es lebe der relative Personenbezug! Im Rahmen einer Datenübermittlung kommt es beispielsweise entscheidend auf die Mittel an, welche potenziellen Empfängern zur Verfügung stehen, um bestimmten zu können, ob es sich um personenbezogene Daten handelt und damit auch für den Empfänger der Anwendungsbereich des Datenschutzrechts eröffnet ist – oder nicht.

Oktober

Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Grund genug für uns, diesem Thema zu Beginn des Herbstes einen eigenen Blog-Beitrag zu widmen. Denn auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm des CRA bereits im Herbst 2026 anwendbar.

Weiter stellten wir die Inhalte einer vorläufigen Handreichung des BSI zur Schulungspflicht der Geschäftsleitung nach NIS2 dar. Grundlage hierfür bildet § 38 Abs. 3 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG): „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Welche konkreten Anforderungen sich hieraus für die Praxis ergeben, können Sie unserem Blog-Beitrag entnehmen.

November

Und sprachen wir im Oktober noch vom Entwurf des BSIG und verfolgten bis dahin den scheinbar nicht endenden Prozess zur Etablierung eines NIS2-Umsetzungsgesetzes, war es nun am 13. November 2025 endlich so weit: Der Bundestag verabschiedet die Umsetzung der NIS2-Richtlinie in Deutschland durch das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“.

Und auch bei uns stand der Monat November ganz im Zeichen der IT-Sicherheit und daran unmittelbar angrenzender Themenbereiche: Beginnend bei der Frage, was zu tun ist, wenn plötzlich das E-Mail-Konto kompromittiert ist und wie derartigen Fällen vorgebeugt werden kann, über die Broschüre des BSI zum Business Continuity Management für KMU, bis hin zur aktuellen Lage der IT-Sicherheit in Deutschland 2025.

Nahezu unbemerkt passierten in diesem November der IT-Sicherheit jedoch auch neue Verfahrensregelungen für die Durchsetzung der DS-GVO den Rat der Europäischen Union: Dieser verabschiedete am 17. November 2025 einen neuen Rechtsakt zur Beschleunigung der Bearbeitung grenzüberschreitender Datenschutzbeschwerden. Dieser wird 15 Monate nach Inkrafttreten und somit im ersten Quartal 2027 anwendbar.

Dezember

Aber fest steht auch: Dies wird nicht die letzte Änderung im Kontext der DS-GVO gewesen sein. Der digitale Omnibus, mit dem die Europäische Kommission in Bezug auf die Digitalregulierung deutlich zurückrudern möchte (eigentlich ein untypisches Verhalten für einen Omnibus), wird kommen. Wann und wie genau ist noch unklar. Was das konkret für die DS-GVO bedeuten könnte, thematisierten wir Anfang Dezember in unserem Blog-Beitrag „Warten bis der Bus kommt“.

Dem aber nicht genug. Wie aus einer Besprechung des Bundeskanzlers mit den Regierungschefinnen und Regierungschefs der Länder vom 4. Dezember 2025 hervorgeht, soll die Pflicht zur Benennung des Datenschutzbeauftragten gemäß § 38 Abs. 1 BDSG abgeschafft werden. In Maßnahme 160 heißt es hierzu: „Der Bund wird bis zum 31.12.2026 eine Aufhebung des § 38 Abs. 1 BDSG einbringen und damit die Pflicht zur Bestellung von Datenschutzbeauftragten im nichtöffentlichen Bereich auf die Regelung in Art. 37 DSGVO beschränken.“ Die Frage, ob diese Maßnahme tatsächlich zu einer Entbürokratisierung führt, kann bereits jetzt verneint werden.

Im Hinblick auf solche Entwicklungen kann das Jahr gar nicht schnell genug zu Ende gehen… In diesem Sinne beenden wir nun unseren Jahresrückblick für das Jahr 2025 und erwarten mit Spannung die Entwicklungen, die das kommende Jahr in den Bereichen Datenschutz und Informationssicherheit bereithalten wird. Wir bedanken uns recht herzlich bei Ihnen, dass Sie uns als Leserinnen und Leser unseres Blogs auch in diesem Jahr begleitet und uns Feedback zu unseren Beiträgen gegeben haben.

Wir wünschen Ihnen nun ein besinnliches Weihnachtsfest im Kreise Ihrer Liebsten sowie
einen guten und gesunden Start in das Jahr 2026!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Nachdem Änderungen an der DS-GVO lange Zeit als undenkbar galten, kommt nun allmählich Bewegung in die Sache. Die Europäische Kommission plant eine Vereinfachung der Digitalgesetzgebung mittels eines sogenannten „Omnibus“-Gesetzespakets, mit dem die Vorschriften für künstliche Intelligenz, Cybersicherheit und des Daten(schutz)rechts modifiziert werden sollen. Welche Änderungen konkret die DS-GVO betreffen könnten, stellen wir im nachfolgenden Blog-Beitrag kurz dar.

Reichweite personenbezogener Daten

Eine wesentliche Änderung betrifft zunächst die Klarstellung der Begriffsbestimmung von personenbezogenen Daten. Der Kommissionsvorschlag übernimmt hier die aktuelle Rechtsprechung des Europäischen Gerichtshofs und stellt ausdrücklich klar, dass pseudonymisierte Datensätze unter bestimmten Umständen nicht mehr für alle Beteiligten als personenbezogen anzusehen sind. Entscheidend soll künftig allein sein, ob der jeweilige Empfänger über Mittel verfügt, um Personen wieder zu identifizieren. Können Empfänger eine Person hingegen nicht re-identifizieren, sollen die erhaltenen Daten für diese Empfänger außerhalb der datenschutzrechtlichen Regelungen nutzbar sein.

Die Kommission soll zudem per neuem Art. 41a DS-GVO ermächtigt werden, technische Standards festzulegen, welche eine Wiederherstellung des Personenbezugs möglichst ausschließen. Diese Änderungen sollen die Spielräume bei der Datennutzung – etwa für Forschung oder KI-Training – erweitern.

Neue Möglichkeiten für künstliche Intelligenz

Angesichts der rasanten Entwicklung von künstlicher Intelligenz plant die Kommission weiterhin Anpassungen, um Innovation zu erleichtern und Rechtsunsicherheiten auszuräumen. So soll ausdrücklich festgeschrieben werden, dass Verantwortliche personenbezogene Daten zum Training von KI-Modellen auf Basis des berechtigten Interesses verarbeiten dürfen. Hierbei soll es möglich sein, dass große Sprachmodelle auch ohne Einwilligung mit personenbezogenen Daten trainiert werden können – sofern keine anderweitigen Gesetze verletzt werden und alle weiteren datenschutzrechtlichen Anforderungen sowie geeignete Schutzmaßnahmen sichergestellt sind.

Erwähnenswert ist in diesem Kontext auch eine geplante Öffnungsklausel für besondere Kategorien personenbezogener Daten: Im Entwurf wird eine neue Ausnahme (Art. 9 Abs. 2 lit. k) DS-GVO) vorgeschlagen, die es erlauben soll, besondere Kategorien personenbezogener Daten ausnahmsweise im KI-Training zu verarbeiten, wenn deren Vorhandensein unbeabsichtigt ist und der Verantwortliche technisch-organisatorische Maßnahmen ergreift, um solche personenbezogenen Daten möglichst zu vermeiden und zu entfernen. Diese Ausnahme soll auf unvermeidbare, zufällige Einschlüsse derartiger Informationen begrenzt sein und damit den Umgang mit großen Trainingsdatensätzen rechtlich absichern.

Entlastungen bei Informations-, Auskunfts- und Meldepflichten

Auch bei konkreten Pflichten von Verantwortlichen sieht das Omnibus-Paket Erleichterungen vor. Transparenzpflichten gegenüber Betroffenen sollen unter bestimmten Bedingungen entschärft werden: Bereits wenn anzunehmen ist, dass eine Person die erforderlichen Informationen über die Datenverarbeitung bereits hat, soll der Verantwortliche diese Informationen nicht erneut bereitstellen müssen. Ferner soll die Geltendmachung von Betroffenenrechten dahingehend eingeschränkt werden, dass mit diesen ausschließlich datenschutzbezogene Zwecke verfolgt werden dürfen – andernfalls soll es den Verantwortlichen möglich sein, für die Bearbeitung Kosten zu erheben oder dem Antrag nicht nachzugehen.

Auch die Meldepflichten bei Datenschutzverletzungen sollen gezielt angepasst werden. Künftig müssten Datenschutzverletzungen voraussichtlich nur noch dann gegenüber der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, wenn für die Betroffenen ein hohes Risiko besteht. Zudem hätten Verantwortliche für die Vornahme der Meldung etwas mehr Zeit: Geplant ist eine Verlängerung der Frist von 72 auf 96 Stunden. Zudem soll ein zentraler Meldemechanismus eingeführt werden: Über einen einzigen „Single-Entry-Point“ soll ein Verantwortlicher alle nötigen Meldungen gleichzeitig erfüllen können. Aktuell müssen Sicherheits- und Datenschutzvorfälle oft parallel an verschiedene Behörden nach DS-GVO, NIS-2-Richtlinie, DORA, … gemeldet werden – hier soll eine einheitliche Plattform Mehrfachmeldungen ablösen.

ÜberARBEITETE cOOKIE- UND eINWILLIGUNGSREGELN

Besonderes Augenmerk legt der digitale Omnibus auf die Verbesserung der Cookie-Regeln. Das Ziel: Die allgegenwärtigen Cookie-Banner sollen drastisch reduziert werden. Geplant sind nutzerfreundlichere Lösungen: Internetseiten müssen künftig eine einfache Möglichkeit bieten, alle nicht notwendigen Cookies mit einem Klick abzulehnen oder zu akzeptieren. Ein entsprechender Button wird zur Pflicht und getroffene Entscheidungen der Nutzenden sind dann mindestens sechs Monate lang zu respektieren. Außerdem sollen zentrale Datenschutzeinstellungen im Browser oder Betriebssystem greifen: Nutzende können dort generelle Präferenzen festlegen, die Internetseiten automatisiert auslesen und befolgen müssen.

Parallel dazu will die Kommission die Rechtsgrundlagen für Cookies neu ordnen. Geplant ist hierfür ein neuer Art. 88a DS-GVO. Inhaltlich soll neben Einwilligungen auch das berechtigte Interesse als Grundlage für bestimmte Cookies oder vergleichbare Technologien dienen. Die Kommission plant zudem eine Whitelist von unbedenklichen Verwendungszwecken, bei denen Verantwortliche keine Zustimmung einholen müssen, z. B. für rein statistische Reichweitenmessungen oder grundlegende Funktions-Cookies.

Ausblick

Die vorgeschlagenen DS-GVO-Änderungen sollen Teil eines ersten Schritts zur Vereinfachung sein. Sie müssen nun im ordentlichen Gesetzgebungsverfahren vom Europäischen Parlament und den EU-Mitgliedstaaten beraten und beschlossen werden. Für Verantwortliche heißt es jetzt, die weiteren Entwicklungen aufmerksam zu verfolgen. Klar ist jedenfalls: Nach Jahren der Stabilität der DS-GVO zeichnen sich erstmals konkrete Änderungen am europäischen Datenschutzrahmen ab. Mit wesentlichen Änderungen an den durch die Europäische Kommission eingebrachten Vorschlägen wird jedoch zu rechnen sein. Insofern heißt es nun: Warten bis der Bus kommt.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

„Die IT-Sicherheitslage in Deutschland bleibt auf angespanntem Niveau.“ So heißt es im aktuellen Bericht über „Die Lage der IT-Sicherheit in Deutschland 2025“, welcher erst jüngst durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht wurde. Umso wichtiger ist es in diesen Zeiten, dass sich Organisationen bereits im Vorfeld auf mögliche Störungen, Ereignisse oder Vorfälle vorbereiten und Pläne für den Ernstfall erarbeiten. Das gilt nicht nur für umsatzstarke Unternehmen, internationale Konzerne oder kritische Infrastrukturen, sondern eben auch für kleine und mittlere Unternehmen (KMU). Das BSI hat hierzu Anfang November eine Broschüre „Einstieg in das BCM für KMU“ veröffentlicht und bietet einen Leitfaden, wie Unternehmen mit begrenzten Ressourcen ihre Betriebsfähigkeit im Krisenfall sichern können.

Was ist Business Continuity Management und warum ist es wichtig?

Business Continuity Management (BCM) – also das Management der Geschäftskontinuität – umfasst die Gesamtheit der Methoden zur Reduzierung der Auswirkungen von Vorfall-, Notfall- und Krisensituationen. Diese Methoden umfassen dabei insbesondere die Bereitstellung von Notfallplänen und -prozessen, die Unterstützung einer raschen Wiederaufnahme der Geschäftstätigkeiten sowie die Stärkung der Resilienz gegenüber zukünftigen Angriffen. Umfragen zeigen, dass viele KMU bislang über kein systematisches Notfallmanagement verfügen. Dabei kann ein einziger Vorfall genügen, um den Geschäftsbetrieb zum Erliegen zu bringen. Ohne vorbereitete Notfallpläne ist in solchen Situationen oft unklar, wer was tun muss, um Schaden vom Unternehmen abzuwenden.

Das BCM gewinnt daher immer mehr an Bedeutung. Die Bedrohungslage durch Cyberangriffe (etwa Ransomware) wächst stetig und kann jederzeit auch KMU treffen. Gleichzeitig verpflichten neue regulatorische Vorgaben Unternehmen in vielen Branchen zu angemessenen Notfallvorsorgemaßnahmen. Hinzu kommt: Auch ohne eigene rechtliche Verpflichtung setzen Geschäftspartner ein solches immer öfter voraus. Fällt die Produktion eines kleinen Unternehmens aus, kann dies ganze Lieferketten stören. Die Resilienz der Lieferkette ist ein zentrales Anliegen der aktuellen Cyber­sicherheits­strategie – Ausfälle eines Zulieferers sollen nicht zum Stillstand aller nachgelagerten Unternehmen führen. Ein BCM kann auch dabei helfen, solche Dominoeffekte zu vermeiden und die Handlungsfähigkeit zu erhalten.

Ein Business Continuity Management umsetzen

Das BSI untergliedert im Rahmen der Broschüre BCM-Systeme (BCMS) grundsätzlich in drei verschiedene Stufen:

• Reaktiv-BCMS: Fokus auf kurzfristige Reaktion bei Ausfällen, mit einfachen Notfallplänen und geringem Ressourceneinsatz.

• Aufbau-BCMS: Integration präventiver Maßnahmen und systematische Analysen für wesentliche Bereiche des Unternehmens mit dem Fokus auf eine größere Widerstandsfähigkeit und Notfallstrategien.

• Standard-BCMS: Vollständig ausgereifte und an internationale Standards orientierte Vorgehensweise zur Sicherstellung eines durchgängig resilienten Betriebs bei jedweden Schadensereignissen.

Das BSI empfiehlt insbesondere für KMU den Einstieg über die Reaktiv-Stufe, da hier mit überschaubarem Aufwand eine erste Widerstandsfähigkeit erzeugt werden kann. Darüber hinaus ist ein schrittweiser Ausbau an die Bedürfnisse des jeweiligen Unternehmens möglich.

Während ein vollständiges BCM in der Regel aus einem Geschäftsfortführungsplan, einem Wiederanlaufplan sowie einem Wiederherstellungsplan besteht, bildet ausschließlich der Geschäftsfortführungsplan die Basis eines Reaktiv-BCMS. Hierin werden beispielsweise Alternativprozesse beschrieben, Ersatzressourcen festgelegt oder der Umfang an Notfallkommunikation definiert. Für die Umsetzung nennt die Broschüre konkret folgende Schritte:

• Vorbereitung: Identifikation und Priorisierung kritischer Geschäftsprozesse (z B. maximal tolerierbare Ausfallzeiten, erforderliche Ressourcen) sowie Definition von Sofortmaßnahmen, Notfall-Infrastrukturen und Verantwortlichkeiten.

• Dokumentation: Verschriftlichung von Prozessen und Verantwortlichkeiten sowie Bereitstellung von Checklisten für die Organisation und jeden einzelnen Geschäftsprozess.

• Übung und Simulation: Testen von relevanten Szenarien (z. B. Back-up-Wiederherstellung, Notstrombedarf, Ausfall einzelner Systeme) unter Einbindung der Beschäftigten.

• Evaluation und Anpassung: Berücksichtigung neuer Risiken, Veränderungen in der Infrastruktur sowie der Ergebnisse aus Übungen und Simulationen.

• Kontinuierliche Verbesserung.

Auch hierauf spezialisierte Dienstleister und standardisierte Lösungen (z. B. Managed Services) können KMU wirksam bei der Umsetzung eines Reaktiv-BCM unterstützen.

Fazit

Kurz gesagt: Ein Business Continuity Management ist für eine Vielzahl von Organisationen essenziell, um auch im Notfall den Geschäftsbetrieb fortführen zu können. Mit verständlichen Empfehlungen und einem schrittweisen Vorgehen lässt sich ein BCM auch ohne großes Expertenteam erfolgreich umsetzen. Wichtig ist, überhaupt anzufangen – denn jeder Schritt in Richtung Notfallvorsorge erhöht auch die Überlebensfähigkeit von kleinen und mittleren Unternehmen im Ernstfall.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Gemäß Art. 38 Abs. 6 DS-GVO ist es gestattet, dass der Datenschutzbeauftragte grundsätzlich weitere Aufgaben und Pflichten wahrnehmen kann. Eine Grenze dieser Möglichkeit ist jedoch spätestens dann erreicht, wenn solche Aufgaben und Pflichten zu einem Interessenskonflikt des Datenschutzbeauftragten führen. Aus einem Beschluss der italienischen Datenschutz-Aufsichtsbehörde Garante per la Protezione dei Dati Personali aus April 2025 geht nun hervor, dass ein solcher Interessenskonflikt des Datenschutzbeauftragten beispielsweise dann besteht, wenn dieser datenschutzrechtliche Dokumente nicht nur prüft, sondern auch selbst erstellt.

Aufgaben des Datenschutzbeauftragten und des Verantwortlichen

Unter Berücksichtigung des Art. 39 Abs. 1 DS-GVO obliegen dem Datenschutzbeauftragten insbesondere die Unterrichtung und Beratung hinsichtlich datenschutzrechtlicher Pflichten, die Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie die Tätigkeit als Kommunikationsschnittstelle mit der jeweiligen Datenschutz-Aufsichtsbehörde. Dem Datenschutzbeauftragten kommt demnach ausschließlich eine unterstützende Aufgabe zu.

Die operative Umsetzung des Datenschutzes ist entsprechend Aufgabe des jeweiligen Verantwortlichen. Dies wird beispielsweise aus den einschlägigen Normen zur Umsetzung eines Datenschutzmanagements (Art. 24 Abs. 1 DS-GVO: „Der Verantwortliche setzt […] um […].“), zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen […].“) oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DS-GVO: „[…] so führt der Verantwortliche […].“)deutlich. In Bezug auf die Datenschutz-Folgenabschätzung tritt die Aufgabentrennung auch noch einmal durch Art. 35 Abs. 2 DS-GVO hervor. Demnach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.

Durch die dargestellte Verteilung der Aufgaben soll eine wirksame Eigenkontrolle ermöglicht werden, sodass Organisationen in die Lage versetzt werden, effektive Maßnahmen zur Gewährleistung des Datenschutzes zu etablieren und deren Wirksamkeit selbstständig zu prüfen.

Interessenskonflikt bei fehlender Trennung

Dass eine unzureichende Trennung beider Aufgabenfelder zu einem Interessenskonflikt des Datenschutzbeauftragten führen kann, zeigt ein Fall aus Italien. Dort bemängelte die hiesige Datenschutz-Aufsichtsbehörde die Tätigkeit des Datenschutzbeauftragten, als dieser im Rahmen der Einführung eines KI-basierten Systems als Autor einer Datenschutz-Folgenabschätzung auftrat. Die Aufsichtsbehörde sah hierin einen Interessenskonflikt gegeben, da:

• der Datenschutzbeauftragte bei der Durchführung einer Datenschutz-Folgenabschätzung eine unabhängige Beratungsfunktion innehat, Art. 35 Abs. 2 DS-GVO, Art. 39 Abs. 1 lit. c) DS-GVO;

• eine ausreichende Unabhängigkeit des Datenschutzbeauftragten nicht mehr gegeben ist, wenn dieser selbst als Verfasser der Datenschutz-Folgenabschätzung tätig wird;

• die erforderliche Trennung zwischen der Beratungsfunktion des Datenschutzbeauftragten und der Umsetzungsverantwortung des Verantwortlichen nicht gegeben ist.

Der Datenschutzbeauftragte stand somit faktisch auf zwei Seiten zugleich: Er entschied als Autor der Datenschutz-Folgenabschätzung über Risiko und erforderliche Maßnahmen und hätte gleichzeitig die Angemessenheit dieser Entscheidungen überwachen sollen – ein unauflösbarer Widerspruch. Die Folge: Die italienische Aufsichtsbehörde erkannte hierin einen Verstoß gegen Art. 38 Abs. 6 DS-GVO und verhängte ein entsprechendes Bußgeld. Auch wenn dieses Bußgeld mit 9.000 Euro relativ gering ausfiel, kommt der grundsätzlichen Aussage der Entscheidung eine wesentliche Bedeutung zu.

Fazit

Interessenkonflikte lassen sich vermeiden, wenn Organisationen klare Zuständigkeiten festlegen und die Aufgaben des Datenschutzbeauftragten strikt von operativen Tätigkeiten trennen. Der Datenschutzbeauftragte sollte keine Entscheidungsbefugnisse über Datenverarbeitungen haben, die er später selbst prüfen muss. Dokumentationspflichten wie Verzeichnisse der Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen sind von den jeweiligen Fachbereichen zu erstellen; der Datenschutzbeauftragte darf nur beratend und prüfend unterstützen.

Bei kleinen Organisationen kann die Bestellung eines externen Datenschutzbeauftragten helfen, Interessenkonflikte zu vermeiden – entscheidend ist die tatsächliche Unabhängigkeit. Regelmäßige Überprüfungen der Aufgabenverteilung, insbesondere nach organisatorischen Änderungen, sind empfehlenswert. Insgesamt gilt: Der Datenschutzbeauftragte soll beraten und kontrollieren, nicht selbst handeln. Nur eine klare Trennung von Verantwortung und Kontrolle sichert Unabhängigkeit, vermeidet Bußgelder und stärkt das Vertrauen in die Datenschutzorganisation.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Jüngst veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf. Mit dieser möchte das BSI Organisationen, Geschäftsleitungen und Schulungsanbietern eine erste Orientierung ermöglichen. Der nachfolgende Blog-Beitrag gibt einen ersten Überblick über die Inhalte und Empfehlungen.

Wen adressiert die Schulungspflicht?

Die Handreichung des BSI thematisiert die gesetzlichen Vorgaben aus § 38 Abs. 3 BSIG-E. Danach müssen Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen regelmäßig an Schulungen teilnehmen, „um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können.“ Die Schulungspflicht adressiert dabei insbesondere die haftungsrelevanten Umsetzungs- und Überwachungspflichten der Geschäftsleitung.

Vom Begriff der Geschäftsleitung umfasst sein sollen natürliche Personen, „die nach Gesetz, Satzung oder Gesellschaftsvertrag zur Führung der Geschäfte und zur Vertretung einer besonders wichtigen Einrichtung oder wichtigen Einrichtung berufen“ sind. Leiterinnen und Leiter von Einrichtungen der Bundesverwaltung sollen hingegen nicht als Geschäftsleitung im Sinne des Gesetzesentwurfs gelten (vgl. § 29 Abs. 2 BSIG-E). Neben der gesetzlichen Verpflichtung kann es allemal sinnvoll sein, die Schulungspflicht auf Personen mit vergleichbaren Positionen und Aufgaben zu erweitern.

Ergänzend sei zu erwähnen, dass es sich bei besonders wichtigen Einrichtungen gemäß § 28 Abs. 1 BSIG-E beispielsweise um Betreiber kritischer Anlagen (KRITIS), qualifizierte Vertrauensdienstanbieter oder DNS-Diensteanbieter handelt. Aber auch weitere Organisationen mit mindestens 250 Mitarbeitern oder einem Jahresumsatz von über 50 Millionen Euro und einer Jahresbilanzsumme von über 43 Millionen Euro, die einer der in Anlage 1 des Gesetzesentwurfs benannten Einrichtungsart zuzuordnen sind, unterfallen dem Begriff.

Neben Vertrauensdiensten gelten hingegen beispielsweise Organisationen mit mindestens 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von jeweils über 10 Millionen Euro als wichtige Einrichtungen, sofern sie einer der in den Anlagen 1 und 2 bestimmten Einrichtungsarten zugeordnet werden können. So werden laut Schätzungen allein in Deutschland etwa 30.000 Unternehmen in eine der beiden genannten Kategorien fallen und dementsprechend zukünftig erweiterte Cybersicherheitspflichten erfüllen müssen.

Wie oft müssen solche Schulungen stattfinden?

Eine konkrete Vorgabe, wie oft derartige Schulungen stattfinden müssen gibt der Gesetzeswortlaut nicht vor. Aus der Gesetzesbegründung lässt sich jedoch eine Orientierung entnehmen. Demnach soll als regelmäßig im Sinne des BSIG-E eine Schulung gelten, die mindestens alle drei Jahre angeboten wird. An dieser Orientierung sollte jedoch nicht zu starr festgehalten werden, stattdessen empfiehlt sich nach Angaben des BSI eine risikoangemessene Umsetzung unter besonderer Berücksichtigung von Wechsel in der Geschäftsleitung, signifikanten Änderungen in Geschäftsprozessen, signifikanten Änderungen in der Risikoexposition oder signifikanten Änderungen bei implementierten oder geplanten Risikomanagementmaßnahmen.

Auch zur konkreten Dauer schweigt der Gesetzesentwurf, wohingegen in der Gesetzesbegründung von durchschnittlich halbtägigen Schulungen ausgegangen wird. Das BSI verweist in diesem Zusammenhang darauf, dass jedoch in Einzelfällen „je nach Risikoexposition der Einrichtung und individuellen Fähigkeiten der Geschäftsleitungen“ die Dauer von vier Stunden auch deutlich überschritten werden könne. Ausschlaggebend sei die sinnvolle Übermittlung der geforderten Kenntnisse und Fähigkeiten.

Unerheblich ist dabei, ob eine Schulung durch qualifiziertes internes Personal oder spezialisierte externe Schulungsanbieter durchgeführt wird. Jedoch sollten insbesondere externe Anbieter darauf achten, dass die jeweiligen Schulungsinhalte auf die individuellen Aspekte der jeweiligen Organisation angepasst werden. In jedem Fall sind die durchgeführten Schulungen mit Nennung der Teilnehmenden, der Inhalte und der Dauer zu dokumentieren. Die Dokumentation ist aufzubewahren und den zuständigen Stellen auf Verlangen vorzulegen. Eine Pflicht zur Durchführung von Wissenskontrollen bei den Teilnehmenden ist hingegen weder gesetzlich noch durch das BSI verpflichtend vorgesehen.

Welche Inhalte sollen derartige Schulungen aufweisen?

Einen groben Rahmen gibt hierbei bereits die zuvor zitierte Formulierung des § 38 Abs. 3 BSIG-E vor. Das BSI hat hieraus in Kapitel 2 der Handreichung (S. 9 ff.) eine Auflistung dringend empfohlener und fakultativ empfohlener Inhalte abgeleitet. Diese können den vorbereitenden Kategorien „Überblick NIS-2-Richtlinie“, „Umsetzung und Dokumentation von Risikomanagementmaßnahmen“, „Melde- und Unterrichtungspflichten“, „Registrierungspflichten und ggf. besondere Registrierungspflichten“, „Pflichten für Geschäftsleitungen“ sowie den Kernkategorien „Risikoanalyse“, „Risikomanagementmaßnahmen“ und „Auswirkungen von Risiken und Risikomanagementmaßnahmen“ zugeordnet werden.

Ergänzt werden können die Inhalte zudem durch sektoren- und einrichtungsspezifische Inhalte sowie durch Szenarien, Übungen und Fallstudien. Ziel ist insgesamt die Vermittlung von „Verantwortlichkeiten und Wirkungszusammenhängen“, nicht von technischen Details. Die Handreichung des BSI enthält ferner in Kapitel 3 (S. 15 ff.) eine Reihe von Leitfragen, die den Geschäftsleitungen einen Überblick ermöglicht, welche Fragen im Rahmen derartiger Schulungen beantwortet werden sollten.

Fazit

Die vorläufige Handreichung „NIS-2-Geschäftsleitungsschulung“ enthält eine Reihe wichtiger und sinnvoller Orientierungspunkte für die Gestaltung und Umsetzung entsprechender Schulungen. Positiv hervorzuheben ist insbesondere, dass sich das BSI bereits zum derzeitigen Umsetzungsstand des NIS-2-Umsetzungsgesetzes um klare Handlungsempfehlungen bemüht. Für besonders wichtige Einrichtungen und wichtige Einrichtungen ist die Auseinandersetzung mit den Anforderungen des Gesetzgebers und der Handreichung des BSI auf jeden Fall ein Muss.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Der Cyber Resilience Act (CRA) ist nicht nur ein weiterer europäischer Rechtsakt, sondern die erste europäische Verordnung, die ein Mindestmaß an Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt. Ziel ist die Schaffung einheitlicher Sicherheitsstandards innerhalb der Europäischen Union, sodass Verbraucher und Organisationen besser vor digitalen Bedrohungen geschützt werden. Der Cyber Resilience Act ist bereits im Jahr 2024 verabschiedet und am 11. Dezember 2024 in Kraft getreten. Auch wenn die wesentlichen Anforderungen erst ab Dezember 2027 gelten, wird eine zentrale Norm bereits im Herbst 2026 anwendbar. Ein Überblick.

Anwendungsbereich des Cyber Resilience Act

Der Cyber Resilience Act gilt gemäß Art. 2 Abs. 1 CRA für nahezu sämtliche Hardware- und Software-Produkte, die direkt oder indirekt mit einem anderen Gerät oder einem Netzwerk verbunden werden können und ab Ende 2027 neu auf den Markt gebracht werden. Damit erfasst die Verordnung grundsätzlich ein sehr breites Spektrum an sogenannten „Produkten mit digitalen Elementen“, von einfachen Alltagsgeräten bis hin zu komplexen Industriemaschinen. Hierunter können beispielsweise intelligente Thermostate, Smart Meter, Router, Switches sowie vernetzte Maschinensteuerungen und Roboter fallen. Ausschlaggebend ist hierbei der Zielmarkt Europa – unabhängig davon, ob die betreffende Hard- oder Software etwa in Amerika, Asien oder anderen Teilen der Welt ihren Ursprung hat.

Hingegen nicht umfasst sind gemäß Art. 2 Abs. 2 – 4 CRA einige Produktkategorien, die bereits anderen spezialgesetzlichen Vorschriften der Europäischen Union unterliegen, zum Beispiel medizinische Geräte, bestimmte Kraftfahrzeugkomponenten oder Schiffsausrüstungen. Ferner ist kostenfreie Open-Source-Software ohne Gewinnerzielungsabsicht von den Anforderungen ausgenommen. KMU und Start-ups sind zwar von den Regelungen nicht ausgenommen, können jedoch auf Unterstützung mittels Leitlinien, Helpdesks und vereinfachten Dokumentationspflichten hoffen.

Ziele des Cyber Resilience Act

Mit dem Cyber Resilience Act verfolgt die Europäische Union das übergeordnete Ziel, die Cybersicherheit in der Union nachhaltig zu stärken. Insbesondere sollen hierbei Mindeststandards für die IT-Sicherheit EU-weit etabliert, digitale Risiken reduziert, die Verantwortung der Hersteller gestärkt sowie Verbraucher und Wirtschaft stärker geschützt werden. Der Cyber Resilience Act baut damit unmittelbar auf der Cybersicherheitsstrategie der Europäischen Union auf.

Wesentliche Pflichten und Maßnahmen des Cyber Resilience Act

Gemäß Art. 6 CRA werden Produkte mit digitalen Elementen nur dann auf den Markt bereitgestellt, wenn diese „den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil I genügen“, ordnungsgemäß betrieben werden und „die vom Hersteller festgelegten Verfahren den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil II entsprechen.“ Zu den jeweiligen Anforderungen gehören beispielsweise Security by Design & Default, ein kontinuierliches Schwachstellenmanagement und Updates, eine technische Dokumentation und ein Software-Stückverzeichnis („SBOM“ – Software Bill of Materials) sowie Konformitätsnachweise und CE-Kennzeichnungen. Weitergehende Anforderungen können in Zukunft für wichtige Produkte mit digitalen Elementen (z. B. Netzmanagementsysteme, Art. 7 CRA) sowie für kritische Produkte mit digitalen Elementen (z. B. Smart-Meter-Gateways, Art. 8 CRA) gelten.

All diese Anforderungen sind ab dem 11. Dezember 2027 für Produkte mit digitalen Elementen einschlägig, die entweder ab dem 11. Dezember 2027 in Verkehr gebracht werden oder die bereits zuvor in Verkehr gebracht wurden und nach diesem Zeitpunkt wesentlichen Änderungen unterliegen. Unabhängig davon gelten für sämtliche Hersteller von Produkten mit digitalen Inhalten, die in den Anwendungsbereich des Cyber Resilience Acts fallen, ab dem 11. September 2026 Meldepflichten gemäß Art. 14 CRA.

Gemäß Art. 14 Abs. 1 CRA hat ein Hersteller „jede aktiv ausgenutzte Schwachstelle, die in dem Produkt mit digitalen Elementen enthalten ist und von der er Kenntnis erlangt“ dem Computer Security Incident Response Team (CSIRT) sowie der Agentur der Europäischen Union für Cybersicherheit (ENISA) zu melden. Letztere ist verpflichtet für die Umsetzung der Meldepflichten eine einheitliche Meldeplattform bereitzustellen. Die Meldepflicht nach dem Cyber Resilience Act ergänzt bestehende europäische Regelungen, etwa die Meldepflichten nach der NIS-2-Richtlinie, ist jedoch produktbezogen und nicht auf Betreiber kritischer Infrastrukturen beschränkt.

Die Anforderungen des Art. 14 Abs. 2 CRA sehen grundsätzlich ein mehrstufiges Verfahren vor: Eine Erstmeldung ist innerhalb von 24 Stunden nach Kenntniserlangung verpflichtend. Diese Meldung enthält erste Angaben zum betroffenen Produkt, zur Art der Schwachstelle und zu möglichen Auswirkungen. Eine Folgemeldung mit detaillierteren Informationen muss innerhalb von 72 Stunden erfolgen, sobald weitere technische Erkenntnisse vorliegen. Darüber hinaus verlangt der Cyber Resilience Act, dass Hersteller binnen 14 Tagen nach der Erstmeldung einen vollständigen Bericht einreichen, der die Ursachenanalyse, ergriffene Gegenmaßnahmen und geplante Sicherheitsupdates dokumentiert.

Sanktionsmöglichkeiten

Der Cyber Resilience Act sieht in Artikel 64 bei Verstößen gegen zentrale Pflichten Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes vor. Bei weniger schwerwiegenden Verstößen können bis zu zehn Millionen Euro oder 2 % des Umsatzes verhängt werden. Zusätzlich dürfen Marktaufsichtsbehörden gemäß Art. 54 Abs. 5 CRA alle geeigneten Maßnahmen ergreifen, um die Bereitstellung von Produkten mit digitalen Elementen zu untersagen oder einzuschränken, das Produkt vom Markt zu nehmen oder es zurückzurufen.

Fazit

Der Cyber Resilience Act markiert einen Wendepunkt, indem er für Produkte mit digitalen Elementen IT-Sicherheit zur gesetzlichen Pflicht macht. Für Organisationen bedeutet dies kurzfristig einen Mehraufwand, bietet aber langfristig die Chance, durch nachweislich sichere Produkte Vertrauen bei Kunden aufzubauen. Wer früh handelt und die Vorgaben proaktiv umsetzt, sichert sich nicht nur die Compliance zum Stichtag, sondern verschafft sich auch einen Wettbewerbsvorteil in einer zunehmend digitalisierten Wirtschaft. Dabei sollte der Fokus zunächst auf die Umsetzung der Meldeverpflichtung gelegt werden. Weiterführende Informationen finden sich unter anderem auf der Seite des Bundesamt für Sicherheit in der Informationstechnik.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Initiative „Meine Daten. Meine Freiheit.“ für mehr Achtsamkeit im Umgang mit personenbezogenen Daten, stellt die Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) seit kurzer Zeit mehrere Textgeneratoren zur Umsetzung der gängigsten Betroffenenrechte der Datenschutz-Grundverordnung bereit. Die sächsische Datenschutz-Aufsichtsbehörde möchte damit betroffenen Personen die Kommunikation mit den datenverarbeitenden Stellen erleichtern und so eine bessere Kontrolle über die eigenen personenbezogenen Daten ermöglichen.

Weiterführende Informationen zu Betroffenenrechte

Neben den eigentlichen Textgeneratoren für das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht werden Betroffenen und Interessierten zusätzliche Informationen bereitgestellt. Dazu zählen etwa Erläuterungen zum jeweiligen Zweck und Umfang, Hinweise auf mögliche Einschränkungen und Besonderheiten sowie Verweise auf einschlägige Veröffentlichungen der Datenschutzkonferenz.

Einfache Bedienung der Textgeneratoren

Das Herzstück der Initiative bilden jedoch die fünf Textgeneratoren selbst. Mit wenigen Klicks und Eingaben wird ein fertiges Musterschreiben erstellt: Angaben zum Verantwortlichen und zur eigenen Person, optionale Präzisierungen, die gewünschte Form der Auskunft – und schon liegt das fertige Auskunftsersuchen vor. Wer zusätzlich das Häkchen für eine Datenkopie setzt, berücksichtigt zugleich auch das Recht gemäß Art. 15 Abs. 3 DS-GVO. Alle Eingaben werden schließlich mit einem Klick zu einem übersichtlichen Musterschreiben – wahlweise als Text- oder PDF-Datei – zusammengefügt.

Die Generatoren für die weiteren Betroffenenrechte sind naturgemäß noch einfacher: Für das Recht auf Berichtigung wird eine kurze Begründung ergänzt, der konkrete Grund bezüglich des Rechts auf Löschung wird ausgewählt – und in Sekundenschnelle steht auch hier das fertige Schreiben bereit.

Insgesamt scheinen die Textgeneratoren auf den ersten Blick sehr intuitiv und bedienungsfreundlich. Datenschutzsensible Personen brauchen zudem nicht befürchten, dass die getroffenen Eingaben zu weiteren Zwecken aufbewahrt oder weiterverwendet werden. Nach der Generierung des Musterschreibens stehen die jeweiligen Dokumente für nur 15 Minuten zum Download zur Verfügung und werden sodann unverzüglich gelöscht

Fazit

Ob die Bereitstellung der Textgeneratoren tatsächlich zu einer vermehrten Wahrnehmung der Betroffenenrechte führt, bleibt abzuwarten. Fest steht jedoch: Sie erleichtern den Zugang erheblich und senken die Hemmschwelle zur Geltendmachung dieser Rechte sowie zur Kontaktaufnahme mit den datenverarbeitenden Stellen. Auch Verantwortliche können profitieren – etwa durch die klare Struktur und präzise Formulierung der Anliegen, die den Willen der betroffenen Person deutlicher hervortreten lassen können. Nun bleibt abzuwarten, wie die neuen Textgeneratoren von den Betroffenen angenommen werden.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.