[datensicherheit.de, 10.05.2026] Es gibt dubiose Apps, welche mit dem Versprechen beworben werden, den Anrufverlauf fremder Telefonnummern anzuzeigen, indes aber derzeit Millionen Nutzer in eine Kostenfalle locken. Sicherheitsexperten des europäischen IT-Sicherheitsherstellers ESET warnen in ihrer aktuellen Stellungnahme vor einer neuen Betrugsmasche, bei der Nutzer Geldzahlen, aber nur frei erfundene Daten erhalten. Nach Erkenntnissen von ESET wurden 28 solcher Anwendungen bereits mehr als 7,3 Millionen Mal heruntergeladen. Als Partner der „App Defense Alliance“ habe ESET Google über diese Ergebnisse informiert, woraufhin sämtliche in diesem Bericht genannten Apps aus dem „Play Store“ entfernt worden seien.

App namens „Call History of Any Number“ soll Nutzer anlocken

Solche Apps geben demnach vor, Zugriff auf Anruflisten, SMS-Verläufe oder sogar „WhatsApp“-Anrufe beliebiger Personen zu ermöglichen. Genau dies mache sie für viele Nutzer so interessant.

• Doch diese Versprechen seien technisch gar nicht umsetzbar: „Im November 2025 sind wir auf einen ,Reddit’-Beitrag gestoßen, der eine App namens ‚Call History of Any Number‘ thematisierte, die im ,Google Play Store’ verfügbar war“, berichtet der ESET-Forscher Lukáš Štefanko, welcher diesen Betrug aufgedeckt habe.

Er führt aus: „Unsere Analyse zeigte schnell, dass die angezeigten Anrufdaten vollständig erfunden sind. Die App generiert zufällige Telefonnummern und kombiniert sie mit festen Namen, Anrufzeiten und -dauern. Diese Daten sind direkt im Code hinterlegt.“

„CallPhantom“-Apps fokussieren bisher auf „Android“-Nutzer in Indien

Die „CallPhantom“-Apps richteten sich vor allem an „Android“-Nutzer in Indien sowie im Asiatisch-Pazifischen Raum (APAC). Viele Anwendungen hätten die indische Ländervorwahl +91 bereits voreingestellt und unterstützten „UPI“, ein in Indien weit verbreitetes Bezahlsystem.

• Damit die Anwendungen glaubwürdig wirken, setzten die Betreiber auf mehrere Tricks. Neben teils positiven Bewertungen im „Play Store“, um Vertrauen zu schaffen, kämen auch gezielte Täuschungsmechanismen zum Einsatz.

So zeigten einige Apps beispielsweise Benachrichtigungen im Stil eingehender Nachrichten an, welche angeblich fertige Ergebnisse ankündigten. „Wer darauf klickte, landete jedoch direkt auf einer Zahlungsseite.“

Teil der Täuschung, dass Apps kaum Berechtigungen verlangen

Auffällig sei zudem, dass diese Apps kaum Berechtigungen verlangten. Für viele Nutzer wirke dies seriös – tatsächlich sei es Teil der Täuschung, da die Anwendungen gar keinen Zugriff auf echte Daten benötigten.

• Bei der Untersuchung habe ESET feststellen können, dass drei unterschiedliche Bezahlmethoden zum Einsatz kämen. Zwei davon verstießen gegen die Zahlungsrichtlinien von „Google Play“.

Einige Apps nutzten Abonnements über das offizielle Abrechnungssystem von Google. Andere setzten auf Drittanbieter-Zahlungen. Teilweise seien Kreditkartenformulare direkt in die Apps integriert.

Für 28 von ESET identifizierte Apps wurden Abonnements nach Entfernung aus dem „Play Store“ beendet

Die geforderten Preise variierten stark. Angeboten würden unter anderem Wochen-, Monats- oder Jahresabonnements. Der höchste festgestellte Preis habe bei 80 US‑Dollar gelegen – die günstigste Abonnementstufe koste im Durchschnitt etwa fünf Euro.

• Abonnements, welche über das offizielle „Google Play“-Abrechnungssystem abgeschlossen wurden, ließen sich grundsätzlich kündigen. Für die 28 von ESET beschriebenen Apps seien bestehende Abonnements nach deren Entfernung aus dem „Play Store“ beendet worden. In einigen Fällen seien zudem Rückerstattungen über Google möglich.

Erfolgte die Zahlung jedoch außerhalb von „Google Play“ – etwa durch die Eingabe von Kreditkartendaten in der App oder über Drittanbieter – könne Google weder das Abonnement kündigen noch eine Rückerstattung veranlassen. Betroffene müssten sich in diesen Fällen direkt an ihren Zahlungsdienstleister wenden.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT, Lukas Stefanko, 07.05.2026
Gefälschte Anrufprotokolle, echte Zahlungen: Wie CallPhantom Android-Nutzer austrickst / ESET-Forscher haben auf Google Play betrügerische Apps entdeckt, die angeblich den Anrufverlauf „jeder beliebigen Nummer“ liefern können. Millionen Nutzer zahlten dafür und bekamen am Ende nur erfundene Daten.

welivesecurity by eseT
Lukas Stefanko / Malware Researcher

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.09.2022
Kaspersky identifiziert schädliche Kampagne im Google Play Store / Trojaner Harly imitierte laut Kaspersky über 190 legitime Apps und abonnierte Nutzer für kostenpflichtige Dienste

datensicherheit.de, 08.09.2021
Malwarebytes-Warnung: Spionage und Stalking über Google Play Store / Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

[datensicherheit.de, 10.05.2026] Ein dubioser Absender fordert von Unternehmen Stellungnahmen zu angeblichen Verbraucherbeschwerden an – die Verbraucherzentrale Hamburg (vzhh) warnt daher vor solchen betrügerischen E-Mails, welche demnach derzeit gezielt an Unternehmen versendet werden und fälschlicherweise den Eindruck erwecken, von der vzhh zu stammen. Darin werde behauptet, bei den Verbraucherschützern seien zahlreiche Beschwerden von Verbrauchern über die Geschäftspraktiken der angeschriebenen Unternehmen eingegangen. Insbesondere werde diesen vorgeworfen, Kunden bewusst an einer fristgerechten Kündigung bestehender Verträge zu hindern.

Foto: © Matthias Kruettgen

Cyberkriminelle missbrauchen Reputation der Verbraucherzentrale Hamburg

Öffentliche Warnung über angebliches Web-Portal „Verbraucher-Radar“ angedroht

Die Empfänger der Nachrichten seien aufgefordert, zu den Vorwürfen Stellung zu nehmen und über einen in der E-Mail verlinkten Online-Kalender einen Termin zu vereinbaren. Für den Fall einer ausbleibenden Rückmeldung werde mit einer öffentlichen Warnung auf einem Portal namens „Verbraucher-Radar“ sowie mit rechtlichen Schritten gedroht.

• Diese Anschreiben seien unter anderem mit der Signatur einer angeblichen „Dr. Karin Jakobi, Rechtsanwältin • Fachanwältin für Handels- und Gesellschaftsrecht“ versehen. Als Absender erscheine die gefälschte E-Mail-Adresse „noreply@verbraucherzentrale-harnburg.bzfsm.de“ – auffällig hieran sei die fehlerhafte Schreibweise: „Harnburg“ statt „Hamburg“.

Die vzhh stellt ausdrücklich klar, dass diese E-Mails nicht von ihr stammen: „Wir betreiben kein Portal mit dem Namen ,Verbraucher-Radar’, auch die verwendeten Domains und verlinkten Internetseiten stehen in keinerlei Verbindung zu uns!“, betont Julia Rehberg von der vzhh.

Offizielle Anforderungen von Stellungnahmen zu Verbraucherbeschwerden in der Regel per Post

Rehberg führt weiter aus: „Zwar kommt es vor, dass wir Unternehmen im Rahmen unserer Arbeit um Stellungnahmen zu Verbraucherbeschwerden bitten, doch diese Schreiben versenden wir in der Regel per Post.“

• Sie stellt klar: „Wenn wir E-Mails verschicken, dann haben die Adressen immer die offizielle Domain ,vzhh.de’.“

Die vzhh rät Unternehmen daher dringend dazu, nicht auf die in den E-Mails enthaltenen Links zu klicken, keine Daten preiszugeben und die Nachrichten umgehend zu löschen. Verdächtige E-Mails könnten zu Dokumentationszwecken an die vzhh weitergeleitet werden.

Weitere Informationen zum Thema:

Verbraucherzentrale Hamburg
Über uns: Von A wie Altersvorsorge bis Z wie Zusatzstoffe in Lebensmitteln – wir bieten Informationen, Beratung, Vorträge sowie Publikationen zu (fast) allen Themen, die Verbraucherinnen und Verbraucher betreffen. Wir unterstützen Ratsuchende bei der Durchsetzung ihrer Interessen in Fragen des privaten Konsums – kompetent und anbieterunabhängig.

Verbraucherzentrale Hamburg
Achtung, falsche Verbraucherschützer! Dubiose Geschäftemacher geben sich immer wieder als Mitarbeitende der Verbraucherzentrale Hamburg aus. Sie verwenden unseren Namen, um Vertrauen zu gewinnen und Menschen Geld oder persönliche Daten zu klauen. Die Maschen sind vielfältig. Aktuell sind auch Unternehmen betroffen. Seien Sie vorsichtig!

datensicherheit.de, 07.04.2021
Unseriöse Trittbrettfahrer: vzhh warnt vor Betrug / Dubiose Geschäftemacher geben sich Mitarbeiter der Verbraucherzentrale Hamburg (vzhh) aus

[datensicherheit.de, 09.05.2026] Laut einer aktuellen Meldung des Digitalcourage e.V. haben bereits mehr als 61.000 Menschen der Forderung „Das Recht auf ein Leben ohne Digitalzwang gehört ins Grundgesetz!“ zugestimmt. Dies gebe der Aktion „Rückenwind“. Die Bürgerrechtler und Datenschützer appellieren: „Jetzt gilt’s! Alle, die jetzt noch unterzeichnen, gehen noch in das Petitionspaket ein, das wir am 21. Mai Abgeordneten des Bundestags überreichen. Die Zeit läuft. Und Sie können den Unterschied machen!“ Denn jede Stimme zähle.

Abbildung: Digitalcourage e.V.

Digitalcourage fordert: Wer nicht digital unterwegs ist, darf nicht abgehängt werden!

Digitalcourage engagiert sich für Zusatz im Grundgesetz

Anschaulich beschrieben wird ein zukünftiges Szenario: „Stellen Sie sich vor, Sie wollen einen Behördengang erledigen – aber das geht nur noch online. Kein Schalter, kein Telefon, keine Alternative. Wer keinen digitalen Zugang hat – aus welchen Gründen auch immer – schaut in die Röhre.“

• Für viele Menschen sei dies indes bereits Realität. Deshalb kämpft Digitalcourage dafür, dass das Grundgesetz endlich klarstellt: „Wer nicht digital unterwegs ist, darf nicht abgehängt werden!“

Verbraucher werden gebeten, jetzt noch mal mit den Menschen im eigenen Umfeld zu sprechen – mit Verwandten, Kollegen, Freunden, Nachbarn – und zwar mit der einen Person, welche dieses Anliegen auch wichtig findet, aber einfach noch nicht die Zeit fürs Unterschreiben gefunden hat. Genau jetzt sei der Moment dafür – jede Stimme verstärke die Forderung.

Verbot der Diskriminierung: Nichtnutzung digitaler Zugangswege soll in Art. 3 GG einfließen

Viel Zeit bleibe nicht mehr: „Am 21. Mai wollen wir die Petition in Berlin an Mitglieder des Bundestags übergeben – mit so vielen Unterschriften wie möglich. Am selben Tag haben wir außerdem eine Einladung für ein Gespräch zum Thema Digitalzwang mit dem parlamentarischen Staatssekretär im Digitalministerium.“

• Der Termin sei passend zum 23. Mai gewählt worden – eben dem Tag des Grundgesetzes. Dieses benötige dringend ein Update: „Nämlich einen zeitgemäßen Zusatz zu Artikel 3, in dem es um die Gleichbehandlung und das Verbot der Diskriminierung geht.“ Dieser Zusatz soll sozusagen dem Grundgesetz zum 76. „Geburtstag“ geschenkt werden: „Niemand darf wegen der Nichtnutzung digitaler Zugangswege benachteiligt werden.“

„Am 17. Mai fahren wir bereits von Bielefeld nach Berlin, um unseren Stand auf der ,re:publica’ (18.–20.5.) aufzubauen.“ Auch dort solle das Publikum noch einmal intensiv auf das Thema Digitalzwang angesprochen werden. „Am 21. Mai stehen wir dann vor dem Bundestag.“

Weitere Informationen zum Thema:

digitalcourage
Team

digitalcourage
Recht auf Leben ohne Digitalzwang: Wir fordern den deutschen Bundestag auf, das Recht auf ein Leben ohne Digitalzwang ins Grundgesetz aufzunehmen.

Bundesministerium der Justiz und für Verbraucherschutz, Bundesamt für Justiz
Grundgesetz für die Bundesrepublik Deutschland

re:publica
Die re:publica ist das Festival für die digitale Gesellschaft. Seit 2007 bringt Europas wichtigste Digital- und Gesellschaftskonferenz die bedeutendsten Stimmen unserer Zeit zusammen und bietet eine Plattform für Debatten und Austausch – in Berlin und international.

datensicherheit.de, 18.03.2026
Recht auf Leben ohne Digitalzwang: Digitalcourage-Petition im Endspurt / Am „Tag des Grundgesetzes“ soll die Digitalcourage-Petition in Berlin an Abgeordnete des Bundestages (MdB) übergeben werden

[datensicherheit.de, 09.05.2026] Fast jeder von Software unterstützten Alltagstätigkeit liegen heute Tausende Zeilen Programmcode zugrunde – egal ob z.B. bei der App für das Online-Banking, das Patienten-Web-Portal einer Klinik oder die Software im eigenen Auto: Ein einziger unentdeckter Fehler im Code kann dann zu Sicherheitslücken mit teils gravierenden Auswirkungen führen, beispielsweise zum Abgreifen sensibler Daten oder gar Ausfall kritischer Systeme. Um solche Systeme vor ihrem Einsatz zu überprüfen, werden heute oft sogenannte Große Sprachmodelle („Large Language Models“ / LLMs) eingesetzt. Ein Forschungsteam vom „Berlin Institute for the Foundations of Learning and Data“ (BIFOLD) an der TU Berlin hat nun aber in einer aktuellen Studie aufgezeigt, dass sich der immense technische Aufwand dieser LLMs nicht immer auszahlt.

Abbildung: BIFOLD

Abstract der Studie „LLM-based Vulnerability Discovery through the Lens of Code Metrics“

Bislang immer größere und komplexere LLMs mit immer mehr Parametern eingesetzt

Die Publikation „LLM-based Vulnerability Discovery through the Lens of Code Metrics“ von Felix Weißberg, Lukas Pirch, Erik Imgrund, Jonas Möller, Dr. Thorsten Eisenhofer und Prof. Dr. Konrad Rieck wurde demnach jetzt auf der „48th IEEE/ACM International Conference on Software Engineering (ICSE) 2026“, einer der weltweit wichtigsten Konferenzen im Bereich Softwaretechnik, vorgestellt.

• Felix Weißberg, Lukas Pirch, Erik Imgrund, Jonas Möller, Thorsten Eisenhofer, Konrad Rieck: LLM-based Vulnerability Discovery through the Lens of Code Metrics. Proceedings of the 48th IEEE/ACM International Conference on Software Engineering (ICSE), 2026.

Große Sprachmodelle gelten allgemein als besonders leistungsfähig, wenn es darum geht, Programmcode zu erzeugen, zu verstehen und vor allem auch zu analysieren. Unter der Annahme, dass bei der Analyse von Code mehr Komplexität auch bessere Ergebnisse bringt, konzentrierte sich die Forschung in den vergangenen Jahren darauf, immer größere und komplexere Modelle mit immer mehr Parametern zu bauen.

Klassisches Erkennungssystem kann bereits 98% der Erkennungsrate der besten modernen LLMs erreichen

Das BIFOLD-Team hat nun in seiner Arbeit die Gegenfrage gestellt: „Welchen Mehrwert bringen diese großen Modelle, verglichen mit der Analyse von einfachen, sogenannten Code-Metriken, die bereits seit den 1970er Jahren eingesetzt werden?“ Code-Metriken sind einfache, quantitative Kennzahlen, die zum Beispiel die Größe des Quellcodes in Zeilen oder Zeichen nennen; komplexere Metriken versuchen die Verständlichkeit des Quellcodes zu beurteilen.

• „Nach dem Grundsatz ,Korrelation ist nicht gleich Kausalität‘ können solche Metriken nur einen Hinweis auf eine mögliche Schwachstelle geben, sie sind aber kein direkter Nachweis”, so Mit-Autor Lukas Pirch. Im Gegensatz dazu sollten LLMs inhaltlich „verstehen“, was ein Stück Code tut.

Das zentrale Ergebnis der Studie: Ein klassisches Erkennungssystem, welches sich auf lediglich 23 Code-Metriken stütze, erreiche bereits 98 Prozent der Erkennungsrate der besten modernen LLMs und benötige dafür nur sechs Prozent der Parameter. Selbst ein nur auf eine einzige Metrik beschränktes Erkennungssystem erziele noch mehr als 90 Prozent der Erkennungsleistung eines deutlich ressourcen-aufwändigeren Sprachmodells.

Frage, ob immense Größe heutiger LLMs überhaupt notwendig ist

„Für die IT-Sicherheit sind das gute Nachrichten: Vielleicht können wir viele Fehler in Software auch mit weniger Ressourcen finden und beheben“, kommentiert der Team-Leiter, Konrad Rieck. In einem zweiten Schritt untersuchten die Wissenschaftler die Ursache für diesen auffälligen Gleichstand.

• Mit-Autor Felix Weißberg berichtet: „Mithilfe statistischer Verfahren konnten wir zeigen, dass sämtliche untersuchten LLMs Code-Metriken einsetzen oder sehr ähnliche Muster haben und ihre Vorhersagen eng mit diesen korrelieren. Für einige Modelle konnten wir sogar starke Indikatoren für eine Kausalität nachweisen: Die Entscheidungen der LLMs beruhte, zumindest teilweise, auf den simplen, seit Jahrzehnten bekannten Mustern.”

„Dass der Unterschied zwischen beiden Ansätzen unter realistischen Bedingungen so klein ist, hat uns überrascht”, so Riecks Fazit zu den Ergebnissen seines Teams. Er erläutert: „Unsere Ergebnisse zeigen, dass die jüngsten Fortschritte bei der Erkennung von Schwachstellen mittels KI weniger auf die Fähigkeiten der LLMs selbst zurückgehen als auf die Werkzeuge und die Umgebung, in denen sie operieren. Es stellt sich daher die Frage, ob die immense Größe heutiger Modelle für diese Aufgabe überhaupt notwendig ist.“

Weitere Informationen zum Thema:

BIFOLD
BIFOLD Institute / About BIFOLD: Cross-linking Machine Learning and Big Data Management

BIFOLD
Lukas Pirch

BIFOLD
Prof. Dr. Konrad Rieck

BIFOLD MLSEC
Felix Weißberg

ICSE ’26, Rio de Janeiro, Brazil
LLM-based Vulnerability Discovery through the Lens of Code Metrics

datensicherheit.de, 05.05.2026
Berliner KI-Forschung: BIFOLD Day 2026 im neuen Zuhause / Der neue Standort wird am 6. Mai 2026 von der Berliner Senatorin für Wissenschaft, Gesundheit und Pflege, der TUB-Präsidentin und BIFOLD-CO-Direktor Professor Müller offiziell eröffnet

[datensicherheit.de, 08.05.2026] Auch der TÜV-Verband erkennt in der Einigung bei den Trilog-Verhandlungen über den „KI-Omnibus“ ein ambivalentes Ergebnis – es gebe Licht und Schatten. Positiv etwa seien Anpassungen wie längere Umsetzungsfristen für den „AI Act“, Meldepflichten für KI-Sicherheitsvorfälle sowie ein Verbot sexualisierter Deepfakes und sogenannter Nudifier-Anwendungen. Der sogenannte Sektor-Exit für Maschinen führe indes zu Rechtsunsicherheit und mehr Bürokratie. Jetzt komme es darauf an, ein gleichwertig hohes Schutzniveau in der „Maschinenverordnung“ sicherzustellen. Die Entwicklung industrieller KI-Standards für den Weltmarkt sei ausgebremst worden.

Abbildung: TÜV-Verband

Der TÜV-Verband moniert den „Sektor-Exit“ für Maschinen im „AI Act“

Maschinen sollen aus direktem Anwendungsbereich der „KI‑Verordnung“ herausfallen

Kritisch sieht der TÜV-Verband, dass Maschinen aus dem direkten Anwendungsbereich des „AI Act“ herausfallen und Sicherheitsvorgaben stattdessen in der nachgeordneten „Maschinenverordnung“ geregelt werden sollen.

• Ziel des „AI Act“ sei es, die Risiken sogenannter Hochrisiko-KI-Systeme in verschiedenen Produktgruppen wie Medizinprodukten, Maschinen oder auch Spielzeug zu minimieren.

„Der ‚Sektor-Exit‘ für Maschinen führt zu einer regulatorischen Fragmentierung mit unterschiedlichen Anforderungen, Verfahren und Fristen. Das Ergebnis ist Rechtsunsicherheit und mehr statt weniger bürokratischer Aufwand für Unternehmen“, warnt Dr. Joachim Bühler, Geschäftsführer des TÜV-Verbands.

Auf Grundlage vom „AI Act“ sollen derzeit eigentlich industrielle KI-Standards für den Weltmarkt entwickelt werden

„Der KI-Omnibus hat dem Bürokratieabbau einen ,Bärendienst’ erwiesen. Jetzt kommt es darauf an, ein gleichwertig hohes Schutzniveau in der Maschinenverordnung sicherzustellen!“

• Dies betreffe unter anderem Vorgaben zu Risiko- und Qualitätsmanagement, menschlicher Aufsicht, der Robustheit von KI-Systemen oder der Meldung schwerwiegender Sicherheitsvorfälle.

Auch aus industriepolitischer Sicht sei dieser „Sektor-Exit“ nicht zielführend: „In Europa werden auf Grundlage des ,AI Acts’ derzeit industrielle KI-Standards für den Weltmarkt entwickelt“, merkt Bühler an.

Verschiebung in „Maschinenverordnung“ droht Entwicklung sektorspezifischer KI-Standards weiter zu verzögern

Er befürchtet: „Die Verschiebung in die ,Maschinenverordnung’ droht die Entwicklung sektorspezifischer KI-Standards weiter zu verzögern, weil die gesetzliche Grundlage derzeit fehlt. Europa verspielt gerade die Chance, bei KI-Standards eine globale Vorreiterrolle einzunehmen.“ Der TÜV-Verband warnt davor, bis zur Anwendung des „AI Act“ weitere Produktgruppen wie Medizinprodukte aus diesem herauszulösen. Andernfalls drohe ein „Flickenteppich an Einzelregelungen“ in zahlreichen sektorspezifischen Rechtsakten.

• Grundsätzliche Kritik übt der TÜV-Verband am „Omnibus“-Verfahren und den „Trilog“-Verhandlungen: „Der horizontal angelegte ,AI Act’ mit seinem risikobasierten Ansatz ist ein über Jahre entwickelter Rechtsakt, an dem sich verschiedenste Interessensgruppen intensiv beteiligt haben“, erläutert Bühler.

Er gibt abschließend zu bedenken: „Es kann nicht sein, dass die grundsätzliche Architektur des Gesetzes in einer ,Nacht-und-Nebel-Aktion’ aufgebrochen wird. Solche fundamentalen Änderungen brauchen Transparenz, Gründlichkeit und eine öffentliche Debatte!“ Damit untergrabe die Politik das Vertrauen in den europäischen Gesetzgebungsprozess.

Weitere Informationen zum Thema:

TÜV VERBAND
Über uns

mfm – future at work,
mfm – Interview: Drei Fragen an Joachim Bühler

WIKIPEDIA
Maschinenverordnung

datensicherheit.de, 08.05.2026
KI-Omnibus: Bitkom-Kommentar zu Kompromiss bei EU-Trilog-Verhandlungen über den AI Act der EU / Begrüßt wird die Vermeidung der KI-Doppelregulierung – aber eben noch nicht in allen notwendigen Bereichen

datensicherheit.de, 21.04.2026
EU AI ACT: TÜV-Verband fordert einheitliche Rahmenbedingungen für industrielle KI / Künstliche Intelligenz (KI) auf dem Sprung in die physische Welt der Maschinen, Robotik und Geräte

datensicherheit.de, 19.03.2026
Drohender Flickenteppich bei KI-Regeln nach Abstimmung im EU-Parlament / Der TÜV-Verband e.V. kritisiert den Vorschlag, wesentliche Hochrisiko-Anwendungen aus der „KI-Verordnung“ („AI Act“) herauszunehmen und warnt vor mehr Bürokratie für Start-Ups und den Mittelstand sowie vor weniger Sicherheit

[datensicherheit.de, 08.05.2026] In den sogenannten Trilog-Verhandlungen zwischen EU-Kommission, -Parlament und -Ministerrat haben sich diese laut einer Meldung des Digitalverbands Bitkom e.V. in der Nacht zum 7. Mai 2026 über den „KI-Omnibus“ zu Anpassungen am europäischen „AI Act“ geeinigt. Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung, kommentiert diese Einigung in ihrer aktuellen Stellungnahme – dieser Kompromiss wird begrüßt, aber auch auf dessen Schwachstellen hingewiesen:

Foto: Bitkom e.V.

Susanne Dehmel fordert: Der für den Maschinenbereich beschlossene Ansatz sollte auf weitere bereits hochregulierte Branchen wie Medizinprodukte und Funkanlagen ausgeweitet werden!

Einigung gutes Signal für die Entwicklung industrieller KI in Europa

Dehmel betont: „Die Einigung beim ,KI-Omnibus’ ist ein gutes Signal für die Entwicklung industrieller KI in Europa, also etwa von KI-Anwendungen in der Produktion oder dem Maschinenbau!“

• Der erzielte Kompromiss vermeide doppelte Prüf- und Dokumentationsprozesse und ermögliche es Unternehmen, ihre Ressourcen gezielter in Innovationen zu investieren.

Auch die dringend benötigte Fristverschiebung im „Hochrisikobereich“ schaffe mehr Rechtssicherheit für Unternehmen.

Trotzdem unnötige Unsicherheit für KI in Europa moniert

Sie moniert indes: „Gleichzeitig bleibt der nun erzielte Kompromiss hinter dem Möglichen und Notwendigen zurück: Der für den Maschinenbereich beschlossene Ansatz sollte auf weitere bereits hochregulierte Branchen wie Medizinprodukte und Funkanlagen ausgeweitet werden!“

• Zudem brauche es eine Verschiebung der Fristen für die Umsetzung der Transparenzanforderungen für Betreiber generativer KI-Systeme.

Dehmels abschließende Bedenken: „Denn die hierfür wichtigen Auslegungshilfen sollen erst kurz vor Geltung veröffentlicht werden. So entsteht unnötige Unsicherheit für KI in Europa.“

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

datensicherheit.de, 08.05.2026
Trilog-Verhandlungen: TÜV-Verband bewertet Einigung zum KI-Omnibus ambivalent / Positiv seien Anpassungen wie längere Umsetzungsfristen für den „AI Act“, Meldepflichten für KI-Sicherheitsvorfälle sowie ein Verbot sexualisierter Deepfakes und sogenannter Nudifier-Anwendungen 

datensicherheit.de, 21.04.2026
EU AI ACT: TÜV-Verband fordert einheitliche Rahmenbedingungen für industrielle KI / Künstliche Intelligenz (KI) auf dem Sprung in die physische Welt der Maschinen, Robotik und Geräte

datensicherheit.de, 19.03.2026
Drohender Flickenteppich bei KI-Regeln nach Abstimmung im EU-Parlament / Der TÜV-Verband e.V. kritisiert den Vorschlag, wesentliche Hochrisiko-Anwendungen aus der „KI-Verordnung“ („AI Act“) herauszunehmen und warnt vor mehr Bürokratie für Start-Ups und den Mittelstand sowie vor weniger Sicherheit

[datensicherheit.de, 07.05.2026] Digitale Zwillinge spielen für die Wettbewerbsfähigkeit der deutschen Industrie offensichtlich eine herausragende Rolle – davon ist die Mehrheit der Unternehmen in einer aktuellen Bitkom-Umfrage überzeugt. Unter einem Digitalen Zwillingen wird quasi der Computer-Klon eines Geräts, einer Maschine, Anlage oder sogar einer ganzen Fabrik verstanden. Mit diesem lassen sich dann Abläufe simulieren, überwachen, planen und steuern. Dazu brauche es große Mengen an Echtzeitdaten sowie eine leistungsfähige technische Infrastruktur, betont der Digitalverband Bitkom e.V. in einer aktuellen Meldung. Aus Sicht der Industrie gebe es hierbei indes noch Defizite.

Foto: Bitkom

Dr. Tanja Rückert appelliert an die Politik, Unternehmen gezielt zu unterstützen – etwa durch niedrigschwellige KI-Förderprogramme für den Mittelstand

Digitale Zwillinge von herausragender Bedeutung für die Zukunft der deutschen Industrie

Mehr als die Hälfte der deutschen Industrieunternehmen (57%) ist demnach der Auffassung, dass die notwendigen Daten zum Einsatz Digitaler Zwillinge fehlen. Auch bei der technischen Infrastruktur laufe nicht alles rund: Fast die Hälfte (48%) sehe Mängel in der IT-Infrastruktur als Grund dafür, dass der Einsatz Digitaler Zwillinge häufig scheitert.

• Dies zeigten Ergebnisse einer repräsentativen Befragung im Bitkom-Auftrag anlässlich der „Industriemesse Hannover“ unter 555 Unternehmen des verarbeitenden Gewerbes. Die Erhebung sei bei Industrieunternehmen ab 100 Beschäftigten in Deutschland im Zeitraum von der Kalenderwochen 6 bis KW 11 2026 telefonisch durchgeführt worden.

„Digitale Zwillinge haben herausragende Bedeutung für die Zukunft der deutschen Industrie!“, kommentiert Bitkom-Vizepräsidentin Dr. Tanja Rückert. Die Technologie brauche vor allem eines – Daten. Alle Industrieunternehmen sollten sich mit der Thematik und den Erkenntnissen von Initiativen in diesem Bereich intensiv beschäftigen und diese im eigenen Unternehmen und in Produkten anwenden. „Wichtig ist auch, die Daten nicht nur selbst zu nutzen, sondern die Offenheit, diese auch mit anderen sinnvoll zu teilen.“

Deutsche Industrie anerkennt Bedeutung Digitaler Zwillinge als Wettbewerbsfaktor

Die deutsche Industrie sehe bei Digitalen Zwillingen noch Aufholbedarf: Mehr als ein Fünftel (23%) sehe sich hier vorne (3% „an der Spitze“ und 20% als „Vorreiter“).

• 60 Prozent sähen ihr Unternehmen aber eher als „Nachzügler“ und 14 Prozent seien der Auffassung, sie hätten den „Anschluss verpasst“. Dabei habe die deutsche Industrie die Bedeutung Digitaler Zwillinge als Wettbewerbsfaktor erkannt.

Sechs von zehn Industrieunternehmen (62%) rechneten ihnen eine große Bedeutung für die Wettbewerbsfähigkeit zu (27% „sehr groß“ und 35% „eher groß“). Etwas mehr als ein Drittel (36%) messe dieser Technologie hingegen eine „geringe Bedeutung“ bei (21% „eher gering“ und 15% „sehr gering“).

Digitale Zwillinge können vorausschauende Wartung ermöglichen und so ungeplante Ausfälle vermeiden

Auch mit Blick auf die Abläufe und Prozesse innerhalb der Produktion stehe die deutsche Industrie Digitalen Zwillingen mehrheitlich positiv gegenüber. Fast acht von zehn Industrieunternehmen (79%) seien der Auffassung, Digitale Zwillinge ermöglichten eine vorausschauende Wartung und vermieden so ungeplante Ausfälle.

• Fast sechs von zehn (58%) sagten, Digitale Zwillinge machten Produktionsprozesse effizienter. Ebenso viele (58%) sähen darin eine Chance, völlig neue Geschäftsmodelle zu verwirklichen.

Auch der Nachhaltigkeitsfaktor sei für die Industrie relevant: Zwei Drittel (66%) sähen in der Technologie eine Möglichkeit, Emissionen zu reduzieren. Rückerts abschließender Aufruf: „Auch die Politik ist gefordert, Unternehmen gezielt zu unterstützen – etwa durch niedrigschwellige KI-Förderprogramme für den Mittelstand!“

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Tanja Rückert – Vizepräsidentin Bitkom Geschäftsführerin / Chief Digital Officer Robert Bosch GmbH

datensicherheit.de, 25.03.2026
Bitkoms Smart City Index 2026: Städte errichten Digitale Zwillinge / Am 13. März 2026 wurde ein neuer Studienbericht publiziert, welcher bislang unveröffentlichte Detailergebnisse des Digital-Rankings der 83 deutschen Städte ab 100.000 Einwohnern des Digitalverbands Bitkom enthält

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

datensicherheit.de, 25.02.2025
Neue Maßstäbe für dynamische Planungssicherheit: Digital Zwillinge und Daten-Streaming / Digitale Zwillinge bilden Objekte oder Prozesse in einer virtuellen Umgebung ab und nutzten umfangreiche Echtzeitdaten zur realistischen Simulation

[datensicherheit.de, 07.05.2026] „Vor Kurzem hat Reliaquest in einem Blog-Beitrag eine neue Tech-SupportScam-Kampagne vorgestellt, die es auf Mitglieder der Geschäftsführung von Unternehmen abgesehen hat. Haben sich die Angreifer ein Ziel ausgewählt, starten sie zunächst eine ,E-Mail-Bombing’-Attacke und dann – via ,Teams’ oder per Telefon – den eigentlichen ,Tech Support Scam’“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4. Das Besondere an diesem Vorgehen: Die Zeitspanne vom Erstkontakt bis zur Ausführung der eigentlichen bösartigen Skripte könne bei unter zwölf Minuten liegen. Bei solch einer hohen Geschwindigkeit werde rein reaktiv angelegte IT-Sicherheit ernsthaft auf die Probe gestellt.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen

Scam-Angriff beginnt mit „E-Mail-Bombing“-Attacke

Den Anfang des Angriffs mache eine „E-Mail-Bombing“-Attacke: „Innerhalb weniger Minuten findet eine wahre Flut von E-Mails – oftmals mehrere hundert – Eingang in das Postfach des Opfers.“ Deren Ziel sei es, beim Opfer Überforderung, Ablenkung und Panik auszulösen.

• Fast zeitgleich – in einem dokumentierten Fall sogar innerhalb von nur 29 Sekunden – trete der Angreifer dann – entweder via „Teams“ oder auch per Telefon – mit dem Opfer in Kontakt.

Krämer führt aus: „Hierbei gibt er sich dann als Mitarbeiter des unternehmenseigenen IT-Supports aus, der das vermeintliche ‚E-Mail-Problem‘ schon selbst bemerkt habe und es nun möglichst rasch lösen wolle. Dazu würde er aber die Hilfe des Opfers benötigen…“

IT-Sicherheitsteams haben zumeist weniger als 12 Minuten Zeit, Scam-Angriffe zu erkennen

„Fällt das Opfer auf die Anfrage herein, erlangt der Angreifer sein Vertrauen, fordert er es auf, eine ,Remote Monitoring and Management’-(RMM)-Sitzung zu starten. Meist kommt hierbei ‚Supremo Remote Desktop‘ zum Einsatz – ein legitimes ,Tool’, das häufig nicht standardmäßig von Sicherheitslösungen blockiert wird; oder auch das in ,Windows 11‘ nativ integrierte ‚Quick Assist‘“, berichtet Krämer.

• Ist die Verbindung zwischen Angreifer und Opfer dann hergestellt, startet der Angreifer demnach seine bösartigen, als harmlose „Tools“ getarnten Skripte. „Der eigentliche Angriff beginnt!“, so Krämer.

IT-Sicherheitsteams hätten in aller Regel weniger als zwölf Minuten Zeit, den Angriff zu erkennen, zu analysieren und geeignete Gegenmaßnahmen einzuleiten, um die Angriffskette zu unterbrechen.

Hohe Geschwindigkeit der Scam-Attacken erfordert proaktive Abwehrmaßnahmen

Rein technisch-reaktiven Verteidigungsansätzen mache die hohe Geschwindigkeit dieser Attacken stark zu schaffen. Weit besser eigneten sich proaktive Abwehrmaßnahmen, welche auch und gerade den „Faktor Mensch“ in den Blick nehmen, wie etwa:

• Für jede Remote-Sitzung sollte ein „Out-of-Band“-Verfahren, wie ein telefonischer Rückruf auf eine hinterlegte Nummer oder eine Authenticator-App-Freigabe, zwingend vorgeschrieben werden. Der IT-Support sollte sich niemals ausschließlich über „Teams“ oder E-Mail legitimieren können.
• Unternehmen sollten strenge „Application-Allow-Listing“-Richtlinien implementieren. Nicht zwingend benötigte RMM-Tools, wie „Supremo“, sollten sowohl am Endpunkt als auch am Netzwerkperimeter blockiert werden. Native „Tools“, wie „Quick Assist“, sollten für Endanwender – insbesondere für das Top-Management – via „AppLocker“ gesperrt und streng auf das IT-Personal beschränkt werden.
• Sicherheitssysteme sollten in die Lage versetzen werden, schwache Einzelsignale – wie massive E-Mail-Eingänge, „Teams“-Chats von externen Quellen und den Start eines RMM-„Tools“ – durch KI-gestützte Verhaltenserkennung zu korrelieren und sofortige automatisierte Isolierungsmaßnahmen einzuleiten.
• Standard-Awareness-Schulungen allein genügen nicht mehr aus: Der C-Level müsse in spezifischen Trainingssimulationen auf unterschiedlichste Angriffsszenarien – wie eben dieses – vorbereitet werden.

Unternehmen sollten Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen – wie Scam-Kampagnen – machen

Am effektivsten – da umfassendsten – lasse sich dieser Ausbau des Sicherheitsbewusstseins durch den Einsatz eines modernen „Digital Workforce Security“-Systems bewerkstelligen.

• Dessen Anti-Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI), mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter zu stärken. Seine modernen Anti-Phishing-E-Mail-Technologien kombinierten KI mit „Crowdsourcing“, um neueste Zero-Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.

„Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen zu machen!“, betont Krämer abschließend.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research, 14.04.2026
Are Former Black Basta Affiliates Automating Executive Targeting?

knowbe4
Security Awareness Training: Personalisiertes, relevantes und anpassungsfähiges Security Awareness Training für Human Risk Management

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 19.10.2025
Task Scam: Laut McAfee-Warnung 1.000 % Zunahme dieser Job-Betrugsmasche / Besonders alarmierend ist demnach, dass Job-Scamming zunehmend in Form von „Task Scam“ erfolgt – Interessierte werden mit leichten Arbeitsaufträgen und vermeintlich hohem Lohn auf gefälschte Stellenanzeigen und Webseiten bekannter Unternehmen gelockt

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

[datensicherheit.de, 06.05.2026] „In physischen Lieferketten haben Unternehmen über Jahrzehnte gelernt, was Abhängigkeit bedeutet. Wer nur einen Zulieferer hat, spart vielleicht Kosten – bis genau dieser ausfällt“, so Ari Albertini, CEO von FTAPI, einleitend in seiner aktuellen Stellungnahme. Deshalb sei Diversifikation heute kein Luxus mehr, sondern Standard: Deshalb gelte es, Zweitlieferanten, alternative Routen, strategische Redundanzen – mithin Resilienz – fest einzuplanen. Indes, so Albertini, sei Folgendes zu konstatieren: „Digital dagegen beobachten wir das Gegenteil. Unternehmen konsolidieren ihre IT-Landschaften, setzen auf integrierte Plattformen, auf ,Alles aus einer Hand’ – ein Anbieter, ein Ökosystem, eine Oberfläche…“ Dies sei bequem, effizient und auf den ersten Blick wirtschaftlich sinnvoll. Doch genau hiermit entstehe ein Risiko, welches viele unterschätzten.

Foto: FTAPI

Ari Albertini: Wer digital auf Resilienz verzichtet, spart heute und zahlt morgen den Preis!

Risiken gehen weit über reine IT-Systemausfälle hinaus

Denn der „Single Supplier“ werde im Digitalen schnell zum „Single Point of Failure“. Albertini warnt: „Und noch schlimmer: zum ,Single Point of Control’“ Die Risiken gehen dabei weit über reine Systemausfälle hinaus. Fällt der Anbieter aus, steht nicht nur ein Teil der Wertschöpfung still, sondern im Zweifel das gesamte Unternehmen.“

• Doch auch ohne Ausfall entstehen offensichtlich Abhängigkeiten – durch den Zugriff auf geschäftskritische Daten, durch Fragen der Datensouveränität oder durch einseitige Änderungen von Geschäftsbedingungen, Preisen oder Schnittstellen.

Cyberangriffe, Systemstörungen oder geopolitische Spannungen könnten solche zentralisierten Strukturen zusätzlich destabilisieren und massive Kettenreaktionen auslösen. „Was als Vereinfachung und Effizienzgewinn gedacht war, entwickelt sich so zu einer vielschichtigen, strategischen Verwundbarkeit.“

Abhängigkeiten der IT aktiv managen und nicht stillschweigend in Kauf nehmen

Während im Einkauf längst Szenarien durchgespielt, Risiken bewertet und Alternativen aufgebaut würden, fehle dieses Denken in der IT häufig noch. „Digitale Infrastrukturen werden primär unter Effizienzgesichtspunkten gestaltet und nicht unter dem Aspekt der Resilienz.“

• Dabei gelten laut Albertini die gleichen Prinzipien wie in jeder Lieferkette: „Transparenz über Abhängigkeiten. Bewusste Diversifikation. Gezielte Redundanzen.“

Natürlich bedeute dies nicht, jede Plattform infrage zu stellen oder Komplexität um ihrer selbst willen zu erhöhen. „Aber es bedeutet, Abhängigkeiten aktiv zu managen und nicht stillschweigend in Kauf zu nehmen!“

Bequemlichkeit niemals Basis für verlässliches IT-Risikomanagement

Albertini gibt abschließend zu bedenken: „Wer seine gesamte digitale Wertschöpfung an einen Anbieter bindet, trifft keine neutrale Entscheidung, sondern geht ein unternehmerisches Risiko ein. Und dieses Risiko gehört nicht in die IT-Abteilung delegiert!“

• Es sei eine Managementaufgabe: Eine Frage der Souveränität, der Steuerungsfähigkeit, letztlich der Wettbewerbsfähigkeit. „Denn in einer zunehmend digitalisierten Wirtschaft entscheidet nicht nur, wie effizient Systeme laufen, sondern wie robust sie sind, wenn sie unter Druck geraten.“

„Alles aus einer Hand“ sei bequem – aber Bequemlichkeit sei noch nie Basis für ein verlässliches Risikomanagement gewesen. „Wer digital auf Resilienz verzichtet, spart heute und zahlt morgen den Preis!“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

[datensicherheit.de, 06.05.2026] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat nach eigenen Angaben gegen die Berliner Verkehrsbetriebe (BVG) eine Verwarnung „wegen des mangelhaften Umgangs mit einem Datenschutzvorfall“ verhängt. Die BVG hatte demnach die Löschung von Daten bei einem Dienstleister nicht kontrolliert und einen anschließenden Datenschutzvorfall erst deutlich verspätet gemeldet.

© Annette Koroll

Meike Kamp kommentiert: Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen!

BVG hatte Kontrollpflichten gemäß DSGVO gegenüber Dienstleister nicht ausreichend ausgeübt

Am 17. April 2025 habe ein von der BVG beauftragter Dienstleister die BVG erstmals über einen erfolgreichen Angriff auf dessen IT-Systeme informiert. Der Dienstleister habe im Januar 2025 als sogenannter Auftragsverarbeiter der BVG Briefe und E-Mails verschickt und dafür rund 180.000 Datensätze von BVG-Kunden verarbeitet.

• Betroffen gewesen seien Namen, Anschriften, Vertrags- und Kundennummern sowie teilweise E-Mail-Adressen. Bankdaten und Passwörter indes seien laut BVG nicht betroffen gewesen. Am 30. April 2025 habe die BVG diesen Vorfall der BlnBDI gemeldet und anschließend alle betroffenen Kunden schriftlich per Brief benachrichtigt.

Die Prüfung der BlnBDI habe ergeben, dass die BVG ihre Kontrollpflichten gemäß der Datenschutz-Grundverordnung (DSGVO) gegenüber dem Dienstleister nicht ausreichend ausgeübt habe. Zum Zeitpunkt des Angriffs hätten die Daten der BVG-Kunden nicht mehr vom Dienstleister gespeichert werden dürfen, da der Auftrag abgeschlossen gewesen sei.

Nach dem ersten Hinweis des Dienstleisters hätte die BVG unverzüglich Untersuchungen einleiten müssen

Die BVG habe nicht kontrolliert, dass der Dienstleister die Daten tatsächlich gelöscht hat, sondern sich allein auf die vertraglich vereinbarte Löschung verlassen. „Damit hat die BVG gegen Artikel 5 Abs. 2 i. V. m. Abs. 1 lit. c, e und f i. V. m. Art. 32 Abs. 1 Hs. 1 (DSGVO) verstoßen.“

• Zudem habe die BVG aufgrund mangelnder organisatorischer Maßnahmen gegen ihre Pflicht zur unverzüglichen Meldung von Datenschutzvorfällen nach Artikel 33 DSGVO verstoßen.

Bereits nach dem ersten Hinweis des Dienstleisters am 17. April 2025 hätte die BVG unverzüglich Untersuchungen einleiten müssen. Diese seien aus mehreren Gründen nur verzögert erfolgt.

Formelle BVG-Meldung an die BlnBDI überschritt gesetzlich vorgeschriebene 72‑Stunden‑Frist

Spätestens am 25. April 2025 hätten ausreichende Anhaltspunkte für einen meldepflichtigen Vorfall bestanden; die formelle Meldung an die BlnBDI sei jedoch erst am 30. April 2025 erfolgt und habe damit die gesetzlich vorgeschriebene 72‑Stunden‑Frist überschritten. Die BVG habe außerdem gegen Artikel 28 Abs. 3 Satz 2 lit. f DSGVO verstoßen, indem sie kein konkretes Verfahren für den Umgang mit Datenschutzvorfällen im Auftragsverarbeitungsvertrag mit dem Dienstleister festgelegt habe.

• Die BlnBDI, Meike Kamp, kommentiert: „Schnelles Handeln ist bei Datenschutzvorfällen Pflicht und dient dem Schutz der Betroffenen! Wenn Unternehmen Datenverarbeitungen im Wege der Auftragsverarbeitung auslagern, darf dies nicht dazu führen, dass Untersuchungen oder Meldeprozesse verzögert werden.“

Dieser Fall mache auch deutlich, welches Risiko von unnötig lange gespeicherten Daten ausgehe: Hätte die BVG die Löschung der Daten konsequent kontrolliert, wären diese nicht von dem Datenschutzvorfall betroffen gewesen. „Mittlerweile hat die BVG Maßnahmen angekündigt, um ähnliche Vorfälle in der Zukunft zu verhindern“, so Kamp abschließend.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

WIKIPEDIA
Berliner Verkehrsbetriebe

BVG, 22.05.2025
Datenschutzvorfall bei einem Dienstleister der BVG: Information über eine mögliche Verletzung des Schutzes von personenbezogenen Daten nach Art. 34 DSGVO 

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU