[datensicherheit.de, 30.12.2025] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zu einer Veranstaltung anlässlich des „Europäischen Datenschutz‑Tages 2026“ ein. Im Mittelpunkt dieses Abends steht demnach der kürzlich von der Europäischen Kommission vorgestellte „Digital‑Omnibus“, mit dem zahlreiche europäische Rechtsakte im Digitalbereich aktualisiert und angepasst werden sollen.

Notwendige Harmonisierung bzw. Vereinfachung oder Bedrohung des Datenschutzes

Der besondere EADI-Fokus soll dabei auf den vorgesehenen Änderungen der Datenschutz‑Grundverordnung (DSGVO) liegen: „Handelt es sich um eine notwendige Harmonisierung und Vereinfachung oder kommt der Datenschutz dabei ,unter die Räder, wie Kritikerinnen und Kritiker meinen?“

Folgende Experten haben laut EADI ihre Teilnahme bereits zugesagt:

• Renate Nikolay, Europäische Kommission (DG CONNECT)
• Prof. Dr. Alexander Roßnagel, Hessischer Beauftragter für Datenschutz und Informationsfreiheit

Angefragt sind außerdem

• Axel Voss (MEP, Europäische Volkspartei) und
• Max Schrems (NOYB – Europäisches Zentrum für digitale Rechte).

Die Moderation übernimmt Prof. Dr. Dennis-Kenji Kipker, Mitglied des EAID‑Vorstands.

„Europas digitaler Omnibus: Wohin steuert der Datenschutz?“

Mittwoch, 28. Januar 2026 um 19.00 Uhr
– Präsenzveranstaltung –
Europäische Akademie Berlin (EADI)
Bismarckallee 46/48 in 14193 Berlin (Grunewald)
Präsenzveranstaltung – Teilnahme kostenlos, Anmeldung erforderlich per E-Mail an anmeldung-26-01-28 [at] eaid-berlin [dot] de

Im Anschluss an den offiziellen Teil lädt die EADI zu einem informellen „Get Together“ ein – als Gelegenheit, die Themen dieses Abends in persönlicher Atmosphäre weiter zu vertiefen.

Weitere Informationen zum Thema:

EADI
Europäische Akademie für Informationsfreiheit und Datenschutz e.V.

Die Bundesregierung, 06.05.2025
FAQ zum Europäischen Datenschutztag Bewusstsein für Datenschutz schärfen

datensicherheit.de, 12.12.2025
Digitaler Omnibus im Kontext Künstlicher Intelligenz gefährdet Verbraucherrechte / Verbraucherzentrale Bundesverband fordert, die Registrierungspflicht für „Hochrisiko-KI“ beizubehalten

datensicherheit.de, 20.11.2025
Bitkom publiziert Positionspapier zum „Digitalen Omnibus“ der EU / Laut Bitkom ist das vorliegende „Digitale Omnibus“-Paket nicht ausreichend, um Europas Regulierungsdschungel zu lichten – Europa müsse aber digital wettbewerbsfähig und souverän werden

datensicherheit.de, 20.11.2025
Digitaler Omnibus: eco setzt auf mehr Klarheit bei Europas Digitalregeln / Laut dem eco-Vorstandsvorsitzenden,Oliver Süme, braucht Europa ein digitalpolitisches Gesamtbild – klar, konsistent und anwendbar

[datensicherheit.de, 21.12.2025] Laut einer Meldung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 18. Dezember 2025 übermittelt „TikTok“ vorerst weiterhin Daten unter anderem nach China. „Zuvor hatte die irische Datenschutzbehörde diese Übermittlung als rechtswidrig beschieden.“ Eine gerichtliche Klärung dazu stehe aus – aber in jedem Fall müsse „TikTok“ seine Nutzer über diese Datenübermittlung jetzt benachrichtigen. Gemäß der Datenschutz-Grundverordnung (DSGVO) ist die irische Datenschutzbehörde (Data Protection Commission / DPC) aufgrund der dortigen europäischen Hauptniederlassung des „TikTok“-Betreibers die federführende Aufsichtsbehörde in Europa. Die DPC stimmt sich mit den anderen europäischen Datenschutzbehörden eng ab. Innerhalb Deutschlands koordiniert die BlnBDI die Zusammenarbeit mit der irischen DPC, da der „TikTok“-Betreiber seine deutsche Niederlassung in Berlin hat.

© Annette Koroll

Meike Kamp: In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen!

„TikTok“-Nutzer müssen über das laufende Aufsichtsverfahren Kenntnis erlangen

Die DPC hatte im April 2025 ein Bußgeld von 530 Millionen Euro gegen den Betreiber, die TikTok Technology Ltd., aufgrund der rechtswidrigen Übermittlung von Daten in die Volksrepublik China verhängt.

• „Zudem hatte die DPC die rechtswidrigen Übermittlungen nach China untersagt. Am 13. November 2025 hat der Irish High Court in einer Eilentscheidung beschlossen, dass die DPC ihre erlassenen Maßnahmen gegen ,TikTok’ vorläufig nicht durchsetzen darf.“

„TikTok“ müsse bis zu einer Entscheidung über die Zulässigkeit der Übermittlungen an China keine Änderungen an der Verarbeitung vornehmen. Der gewährte zeitliche Aufschub sei indes an eine besondere Transparenzauflage geknüpft: „TikTok“ müsse alle Nutzer über das laufende Aufsichtsverfahren informieren.

Bedeutung der Benachrichtigung der „TikTok“-Nutzer in der EU

Alle europäischen Nutzer müssten eine Benachrichtigung darüber erhalten, wie „TikTok“ mit ihren personenbezogenen Daten umgeht, aus der hervorgeht:

• „TikTok“ übermittelt weiterhin personenbezogene Daten europäischer Nutzer an Länder außerhalb der EU, darunter China.
• Die DPC hat zuvor – in Kooperation mit den europäischen Datenschutzbehörden – entschieden, dass diese Übermittlung gegen die Datenschutz-Grundverordnung (DSGVO) verstößt.
• Das irische Gericht hat die verhängten Maßnahmen vorübergehend ausgesetzt, aber die Entscheidung der Aufsichtsbehörden bleibt bestehen und die Zulässigkeit der Übermittlungen nach China wird noch gerichtlich geprüft.

Die BlnBDI, Meike Kamp, kommentiert: „Es ist zu begrüßen, dass das irische Gericht ,TikTok’ verpflichtet, die Nutzer besser zu informieren. ,TikTok’ sammelt und verwendet viele personenbezogene Daten, wie z.B. Klickverhalten, Standortdaten, Kontaktinformationen und manchmal auch Finanzdaten.“ Vor allem junge Menschen seien sich dieser Datenerfassung oft nicht ausreichend bewusst.

BlnBDI warnt vor gravierendem Missbrauchsrisiko und Gefährdung der „TikTok“-Nutzer

Kamp stellt klar: „In Europa gelten klare Regeln, die den Menschen die Kontrolle über ihre Daten geben sollen und die sicherstellen, dass staatliche Stellen nicht uneingeschränkt Einblick in das Privatleben der Bürger:innen haben. Außerhalb der EU, beispielsweise in China, gelten diese Regeln nicht immer in gleicher Weise.“

• Die Offenlegung gegenüber Stellen in Staaten wie China, die keinerlei angemessene Datenschutzmaßnahmen vorweisen könnten, stellr ein besonders gravierendes Missbrauchsrisiko und eine Gefahr für die Nutzer von „TikTok“ dar.

Für Apps und Soziale Medien sollten „TikTok“-Nutzer laut Kamp Folgendes beachten:

• Lesen Sie die Mitteilung und die Datenschutzerklärung des Dienstes sorgfältig durch!
• Überprüfen Sie die Datenschutzeinstellungen: Welchen Zugriff hat die App auf Ihre Kamera, Ihr Mikrofon, Ihre Kontakte oder Ihren Standort?
• Entscheiden Sie, ob Sie den Dienst unter diesen Umständen weiterhin nutzen möchten! Wenn nicht, können Sie die App (vorübergehend) löschen oder Ihr Konto deaktivieren. Berücksichtigen Sie dabei etwaige Prüfungen oder Entscheidungen der Datenschutzaufsichtsbehörden in Bezug auf diesen Dienst!
• Seien Sie zurückhaltend mit dem, was Sie über Apps teilen: Geben Sie keine sensiblen Informationen weiter!

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Aufgaben

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns: Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

An Coimisiún um Chosaint Sonraí Data Protection Commissioner, 02.10.2025
Inquiry into TikTok Technology Limited – April 2025

THE HIGH COURT COMMERCIAL, 13.11.2025
Record No.: 2025/248 MCA / IN THE MATTER OF SECTION 142 AND SECTION 150 OF THE DATA PROTECTION ACT 2018 …

datensicherheit.de, 11.06.2024
Malware-Gefahr auf TikTok: Abwehr der Konten-Übernahme / Auf „TikTok“ kursierenden Malware wird über Privatnachrichten verbreitet

datensicherheit.de, 22.03.2024
TikTok im Spannungsfeld zwischen Datenschutz und Geopolitik / Grundsätzliche Unterschiede in der Darstellung und Nutzung der TikTok-App in China einerseits und den USA andererseits

datensicherheit.de, 15.03.2024
TikTok: Drohendes Verbot in den USA / TikTok-Fall als Balanceakt zwischen Nationaler Sicherheit und Aufrechterhaltung der globalen Internetwirtschaft

datensicherheit.de, 05.04.2023
Dienstgeräte: TikTok-Verbot auch in Australien / Datenerhebungen bei TikTok deutlich umfangreicher als bei anderen Social-Media-Plattformen

datensicherheit.de, 24.02.2023
EU-Kommision: Mitarbeiter haben TikTok-Verbot / Jüngste TikTok-Verbot Teil der Frage, wie viel chinesischer Einfluss auf die nationale Infrastruktur und das tägliche Leben als akzeptabel angesehen wird

[datensicherheit.de, 04.12.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. befürworten weite Teile der deutschen Wirtschaft eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden.“ Die EU-Kommission habe mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen.

Foto: Bitkom e.V.

Susanne Dehmel: Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen!

77 Prozent sehen Datenschutz als Hemmnis für die Digitalisierung in Deutschland

Zugleich wachse die Belastung der Unternehmen durch den Datenschutz weiter: Bei rund zwei Dritteln (69%) habe der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichneten ihn 97 Prozent als „sehr hoch“ oder „eher hoch“. Dies sind demnach Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Bitkom-Auftrag.

• 72 Prozent beklagten, dass man es mit dem Datenschutz in Deutschland übertreibe – vor einem Jahr seien es noch 64 Prozent gewesen – und sogar 77 Prozent sagten, der Datenschutz hemme die Digitalisierung in Deutschland (2024: 70%).

„Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem ,digitalen Omnibus’ hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Datenschutz wird als belastende Dauerbaustelle empfunden

Dehmel führt weiter aus: „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung!“

• Für die Unternehmen seien die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen sei (86%) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82%). Dazu kämen immer wiederkehrende Prüfungen beim Ausrollen neuer „Tools“ (77%).

Dahinter folgten mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69%), die uneinheitliche Auslegung innerhalb der EU (54%), mangelnde Beratung durch Aufsichtsbehörden (54%), sich widersprechende rechtliche Vorgaben (53%) und eine uneinheitliche Auslegung innerhalb Deutschlands (37%). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, warnt Dehmel.

DSGVO beschert Unternehmen auch interne Herausforderungen

Aber auch innerhalb der Unternehmen gebe es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50%) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46%). Dazu kämen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38%), fehlende finanzielle Mittel (31%) und die unzureichende Einbindung der Datenschutzbeauftragten (25%). Am Ende rangiere mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

• An diesen Stellen wünschten sich die Unternehmen auch Nachbesserungen der DSGVO: Jeweils rund drei Viertel möchten, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76%) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73%) würden. Je sechs von zehn Unternehmen plädierten für eine vereinfachte Nutzung pseudonymisierter Daten (63%), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62%), mehr Rechtssicherheit bei der Interessenabwägung (61%) und weniger Informationspflichten (60%).

Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33%) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DSGVO nach sieben Jahren praxistauglich zu machen“, erläutert Dehmel und fordert: „Datenschutz muss verständlich und anwendbar sein!“

Kein Unternehmen frei von Problemen aufgrund des Datenschutzes

Die Wünsche spiegelten wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entstehe. Bei 73 Prozent seien dies die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69%).

• Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57%), die Abstimmung mit externen Dienstleistern (54%) sowie die Erfüllung von Informationspflichten (53%).

43 Prozent würden die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten nennen. Kein Unternehmen gebe an, frei von Problemen aufgrund des Datenschutzes zu sein.

Unternehmen überziehen beim Datenschutz eher – aus Angst, gegen die DSGVO zu verstoßen

Aber nicht nur bei den Datenschutzregeln werde Reformbedarf gesehen – es gebe auch Kritik an den Aufsichtsbehörden: Rund zwei Drittel (69%) der Unternehmen beklagten, dass die deutschen Datenschutzbehörden die DSGVO zu streng anwendeten.

• Eine Folge: „Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DSGVO zu verstoßen (62%).“ Die Unternehmen plädierten mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworteten den Vorschlag, 42 Prozent seien dagegen.

„Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, unterstreicht Dehmel.

Ein Viertel der befragten Unternehmen hatte Datenschutzverstöße

Datenschutzverstöße hätten in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räume sie für die vergangenen zwölf Monate ein: Bei 19 Prozent habe es einen Verstoß gegeben – bei sechs Prozent sogar mehrere. 59 Prozent hätten keine Datenschutzverstöße gehabt, 16 Prozent wollten oder könnten keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, hätten diese an die Aufsicht gemeldet, 29 Prozent hätten keine Meldungen gemacht und 14 Prozent wollten oder könnten dazu keine Angabe machen.

• Rund jedes zweite Unternehmen mit Datenschutzverstößen nenne diese „sehr schwerwiegend“ (16%) oder „eher schwerwiegend“ (32%). Bei 23 Prozent seien sie eher „nicht schwerwiegend“, bei 19 Prozent „überhaupt nicht schwerwiegend“ gewesen – und jedes Zehnte (10%) könne oder wolle dazu keine Angaben machen.

Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann würden 93 Prozent den organisatorischen Aufwand nennen. Mit deutlichem Abstand folge dahinter ein Bußgeld (51%). 18 Prozent hätten Kunden verloren, sieben Prozent Schadenersatz zahlen und ebenfalls sieben Prozent Reputationsschäden verzeichnen müssen. Bei gerade einmal fünf Prozent habe es gar keine Folgen gegeben. Dehmel: „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen!“

Datenschutz als KI-Hindernis empfunden

Mit Blick auf Künstliche Intelligenz (KI) werde die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. Sieben von zehn Unternehmen (71%) forderten, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69%) der Unternehmen erschwere der Datenschutz das Training von KI-Modellen. Vor einem Jahr habe dieser Anteil erst bei 50 Prozent gelegen.

• Zudem meinten 63 Prozent, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibe (2024: 52%). 57 Prozent sagten, dass der Datenschutz generell dafür sorge, dass die Anwendung von KI in der EU eingeschränkt werde (2024: 57%) und in 54 Prozent der Unternehmen behindere der Datenschutz den Einsatz von KI (2024: 52%).

Umgekehrt meinten aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe (2024: 53%). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, gibt Dehmel zu bedenken.

Breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben

An Politik und Verwaltung hätten die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgten das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79%), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69%) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62%).

• 53 Prozent wollten differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagten 62 Prozent der Unternehmen, für kleinere Unternehmen sei der Datenschutz oft kaum umsetzbar.

Grundlage obiger Angaben ist laut dem Digitalverband eine von Bitkom Research im Auftrag durchgeführte Umfrage bei 603 Unternehmen ab 20 Beschäftigten in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 30 bis KW 35 2025 stattgefunden und sei repräsentativ.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

bitkom, Susanne Dehmel, 03.12.2025
Mitglied der Bitkom-Geschäftsleitung

bitkom, dataverse
Sicherheit & Datenschutz / Datenschutz – Unternehmen zu DS-GVO, Herausforderungen, Umsetzung & Co.

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

[datensicherheit.de, 24.11.2025] Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat den diesjährigen „Internationalen Tag der Kinderrechte“ am 20. November 2025 zum Anlass genommen, zehn Reformvorschläge zur Verbesserung des Datenschutzes von Kindern zu unterbreiten. Kinder seien besonders schutzbedürftig – auch im Digitalen Raum. Vielen Kindern, aber auch Erziehungsberechtigten, sei eben nicht bewusst, dass aus ihren Angaben und ihrem Verhalten neue Daten entstünden, welche ihr Selbstbild, ihre sozialen Beziehungen und ihr Weltverständnis entscheidend prägen könnten.

© Annette Koroll

Meike Kamp: Mit zehn Vorschlägen will die DSK den Datenschutz junger Menschen gezielt stärken

Datenverarbeitung im Fokus, bei der besondere Schutzbedürftigkeit der Kinder noch nicht ausreichend beachtet wird

Die Datenschutz-Grundverordnung (DSGVO) trage der besonderen Schutz- und Fürsorgepflicht gegenüber Kindern bereits in vielen Punkten Rechnung – aber nicht in allen.

• Deshalb hat die DSK nun zehn Vorschläge erarbeitet, um die DSGVO gezielt um Regelungen zum Schutz von Kindern zu ergänzen.

Es gehe vor allem um Datenverarbeitungen, in denen die besondere Schutzbedürftigkeit von Kindern in der Praxis nicht immer ausreichend beachtet werde.

Die DSK schlägt folgende 10 konkreten Änderungen der DSGVO vor:

1. Vereinbarkeit eines neuen Verarbeitungszwecks
   Wenn die Daten eines Kindes für einen neuen Zweck verwendet werden sollen, soll bei der Prüfung der Schutz von Kinderrechten ebenso stark gewichtet werden wie bei der Ersterhebung der Daten.
2. Keine Einwilligung in Profiling und Werbezwecke
   Werbung auf der Grundlage von Persönlichkeits- oder Nutzerprofilen von Kindern sollte – wie schon im ,Digital Services Act’ und in der ,Verordnung über die Transparenz und das Targeting politischer Werbung’ – generell verboten sein.
3. Keine Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO
   Kinder sollen, anders als Erwachsene, grundsätzlich keine besonders schützenswerten Daten wie Angaben zu ihrer Gesundheit, Religion oder politischen Meinung freigeben können.
4. Datenverarbeitung für Präventions- und Beratungsdienste sowie ärztliche Untersuchungen und Heileingriffe
   Kinder sollen Beratungs- und Gesundheitsangebote ab einem bestimmten Alter vertraulich nutzen können, ohne dass ihre Eltern automatisch informiert werden.
5. Widerspruch zur Verarbeitung von Kindesdaten
   Beim Widerspruchsrecht soll der Verantwortliche im Sinne der Betroffenen berücksichtigen, dass Daten aus der Kindheit stammen.
6. Keine Einwilligung in automatisierte Entscheidungen
   Kinder sollen nicht Verfahren unterworfen werden, bei denen Entscheidungen vollständig automatisiert getroffen werden.
7. Datenschutzgerechte Systemgestaltung
   Gerade Soziale Netzwerke und andere datengetriebene Plattformen sollen den Schutz von Kindern bereits bei der technischen Gestaltung sicherstellen.
8. Datenschutzfreundliche Voreinstellung
   Voreinstellungen zum Datenschutz, etwa in Sozialen Netzwerken, sollen auch für Kinder verständlich sein und sie konsequent vor Risiken schützen.
9. Meldung von Datenschutzverletzungen
   Bei der Frage, ob eine Datenpanne der Aufsichtsbehörde zu melden ist, sollen auch die Risiken für Kinder berücksichtigt werden.
10. Datenschutzfolgenabschätzung
    Bei Datenschutzfolgenabschätzung sollen die besonderen Risiken und Schutzbedürfnisse von Kindern angemessen berücksichtigt werden.

DSK-Vorschläge sollen bestehenden Schutzrahmen der DSGVO sinnvoll ergänzen

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) und für 2025 die DSK-Vorsitzende, kommentiert:

• „Mit zehn Vorschlägen will die DSK den Datenschutz junger Menschen gezielt stärken, etwa durch Verbote von personalisierter Werbung oder kindgerechte Voreinstellungen in Sozialen Netzwerken.“

Diese Regelungen würden den bestehenden Schutzrahmen der DSGVO sinnvoll ergänzen und endlich systematisch auf die besonderen Bedürfnisse von Kindern ausrichten.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Die Beauftragte für Datenschutz und Informationsfreiheit / Am 6. Oktober 2022 wurde Meike Kamp zur Berliner Beauftragten für Datenschutz und Informationsfreiheit gewählt. Seit ihrer Ernennung am 15. November 2022 leitet sie die Behörde.

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit
DSK DATENSCHUTZKONFERENZ BERLIN ‘25

DSK DATENSCHUTZKONFERENZ
Entschließung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 20. November 2025 / Verbesserung des Datenschutzes von Kindern in der Datenschutz-Grundverordnung

datensicherheit.de, 09.07.2025
Urlaubsfotos in Sozialen Medien: Nur fünf Prozent machen Kindergesichter unkenntlich / Zwar ist das Bewusstsein für Risiken beim Posten von Kinderfotos gewachsen – doch sollten sich Eltern stets vorbildhaft um die eigene Privatsphäre und die ihrer Kinder bemühen

datensicherheit.de, 27.05.2025
Medienkompetenz und digitales Know-how für Kinder werden immer wichtiger / 2024 nutzten bereits über 50 Prozent der sechs- bis siebenjährigen Kinder ein Smartphone – bei den zehn- bis elfjährigen sogar 90 Prozent

datensicherheit.de, 30.07.2020
eco-Beschwerdestelle: Surfguide für Kinder und Jugendliche veröffentlicht / Plädoyer und Informationen für eine verantwortungsvolle Internetnutzung

[datensicherheit.de, 22.11.2025] Am 18. November 2025 fand in Berlin „Gipfel zur Europäischen Digitalen Souveränität“ statt, auf dem Politik und Wirtschaft erklärten, sich von US-Anbietern abwenden zu wollen. Jörn Bittner, „Senior Consultant“ von Consultix, erörtert, wieso dieser Schritt „richtig und wichtig“ ist und wie die Abkehr von den US-Riesen gelingen kann. Er führt aus, dass diese Frage für alle Unternehmen und Kommunen Relevanz besitzt und dass z.B. für Anwendungen wie „Teams“ u.a. durchaus validen Ersatz auf EU-Ebene gibt.

Abbildung: Consultix GmbH (erstellt mit „Canva AI“)

Jörn Bittner unterstreicht: Ob Videocall oder „Cloud“-Speicher – für alle US-Tools gibt es inzwischen europäische Alternativen

Consultix-Experte für digitale Kommunikation sieht die aktuelle Entwicklung positiv

Schleswig-Holstein tue es, der Internationale Strafgerichtshof ebenfalls: Microsoft-Produkte abschaffen. Dieser US-Konzern gelte als das Softwarehaus, von dem die größte Abhängigkeit im Büro- und Verwaltungsbereich ausgehe: Ob „Teams“, „Word“, „Excel“ oder „Outlook“ – nahezu jedes Unternehmen nutze mindestens eine dieser Anwendungen.

• Doch nachdem in den letzten Jahren immer mehr Kommunen und Länder zugestimmt hätten, die Abhängigkeit vom US-amerikanischen „Riesen“ nicht überzubewerten und DSGVO-Bedenken über Bord zu werfen, ruderten jetzt viele zurück. Am 18. November 2025 kamen Politik und Entscheider auf dem „Gipfel zur Europäischen Digitalen Souveränität“ jedenfalls zu demselben Schluss.

„Gut so!“, kommentiert Bittner. Als Experte für digitale Kommunikation sieht er diese Entwicklung positiv: „Experten aus Deutschland und Europa sind sich einig: Die Abhängigkeit von US-,Tools’ zu reduzieren, ist die einzig richtige Richtung. Die DSGVO-Konformität ist über US-Konzerne, die Datenströme immer über das EU-Ausland lenken können, nicht gegeben. Genauso wenig wie Sicherheit in Bezug auf politische Manöver.“

Digitale Politik: EuGH-Beschluss zu „Privacy Shield“ entfaltet Wirkung

Im Juli 2020 hatte der Europäische Gerichtshof (EuGH) die EU-US-Datenschutzvereinbarung „Privacy Shield“ für ungültig erklärt. Damit untersagt der EuGH die Übermittlung personenbezogener Daten europäischer Bürger in Länder wie etwa die USA, da sie nicht den Datenschutzstandard der DSGVO garantierten.

• Gleichzeitig verpflichte ein US-amerikanisches Gesetz seine Unternehmen dazu, Sicherheitsbehörden bei Bedarf Daten ausländischer Nutzer preiszugeben. Zu diesen Daten gehörten auch aufgezeichnete Gespräche und Videokonferenzen. Dementsprechend treffe diese Verordnung den größten Teil aller Unternehmen. „Wer Gewinnspiele abhält, Werbung schaltet, Newsletter versendet, Dokumente bereitstellt oder digitale Kommunikation ermöglicht, unterliegt der DSGVO“, betont indes Bittner.

„Tech-Giganten“ aus Übersee hätten immer wieder beteuert, dass die Daten ihrer europäischen Kunden auf europäischen Servern abgelegt würden. Auf Basis dieser „EU-Boundary“ habe beispielsweise das Land Niedersachsen erst im vergangenen Jahr, 2024, die Nutzung von „Microsoft Teams“ beschlossen. Eine ständige Kontrolle der rechtmäßigen Datennutzung sei jedoch schwierig bis unmöglich.

Selbst Digitalmarktführer müssen umdenken

Die Einhaltung der DSGVO durch internationale Konzerne habe vielen Unternehmen und Kommunen bisher noch möglich erschienen, doch eine von der US-Politik diktierte Handlungsweise mit Restriktionen und Bestrafungen zwinge nun selbst Digitalmarktführer in die Knie und mache sie zum „Spielball“.

• „Keine Branche kann mehr von Planungssicherheit sprechen. Das gilt auch für den Tech-Bereich“, resümiert Bittner.

Er legt dringend nahe: „Unternehmensführung und Datenverwaltung müssen sich jetzt mit der Sicherheit ihrer Daten und mit ihrem Kommunikationssystem auseinandersetzen. Sonst könnte es teuer und aufwändig werden.“

Schwieriges Problem der Digitalen Souveränität findet durchaus einfache Lösungen

Antwort auf die steigende Nachfrage nach geschütztem und DSGVO-konformem Online-Austausch bieten laut Bittner Open-Source-Lösungen wie z.B. „Jitsi Meet“ oder „Matrix Messenger Element“, welche Videokonferenzen verschlüsselten.

• „Nextcloud“ gewähre sicheren Austausch von Dokumenten. Anbieter solcher „Tools“ gingen zudem auf individuelle Anforderungen von Verwaltungen und Firmen ein und stellten persönliche Berater zur Seite, um die Implementierung zu begleiten.

Betrieben auf eigenen Servern in Deutschland, garantierten sie sichere digitale Meetings per Web-Browser oder Client auf allen Endgeräten – „mit Lizenzverträgen von lokalen Dienstleistern sogar günstiger“.

Weitere Informationen zum Thema:

tagesschau, 18.11.2025
Digital-Gipfel in Berlin berät über Maßnahmen zur europäischen Souveränität

consultix
Moin, wir sind Consultix. Wir sind Digital Strategen. Wir sind Macher. Wir sind für Dich da.

Linkedin
Jörn Bittner

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

datensicherheit.de, 22.10.2025
AWS-Störungen mahnen zur Wahrung der Digitalen Souveränität / Aktuelle Serviceprobleme bei AWS und daraus resultierende weltweite Ausfälle führen uns wieder deutlich vor Augen, wie verletzlich digitale Wertschöpfungsketten derzeit sind

datensicherheit.de, 21.08.2025
IT-Sicherheit „Made in EU“: Deutsche Unternehmen streben digitale Souveränität an / Laut neuer ESET-Studie beabsichtigen drei Viertel der wechselbereiten Unternehmen künftig europäische IT-Sicherheitslösungen einzusetzen

datensicherheit.de, 16.08.2025
Mehr digitale Souveränität und Resilienz – Cybersicherheit neu gedacht / Die Cybersicherheitslandschaft in Europa verändert sich deutlich: Unternehmen stehen vor einer von zunehmenden Bedrohungen, KI-Durchdringung und wachsendem Bewusstsein für Digitale Souveränität geprägten Zeitenwende

[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung

[datensicherheit.de, 11.09.2025] Ob sich Künstliche Intelligenz rechtssicher in der Praxis nutzen lässt, war Gegenstand einer Erörterung zwischen Experten des Deutschen Anwaltvereins (DAV) mit zahlreichen Landesdatenschutzbeauftragten am 9. September 2025. Der DAV setzt sich für einen „rechtssicheren Einsatz Künstlicher Intelligenz in den Anwaltskanzleien“ ein.

Abbildung: HmbBfDI

„Bridge-Blueprint“-Papier: Die „Notwendigkeit eines Brückenschlags“ wird betont – denn die europäische KI-Debatte scheine in einer Sackgasse festzustecken, weil sie die Thematik auf einen Zielkonflikt zwischen technologischem Fortschritt und dem Schutz von Grundrechten reduziere…

DAV-Forum „DSGVO und KI“ erörterte Zukunft der DSGVO im KI-Zeitalter

„Datenschutz hat keine Zukunft, wenn kein normaler Mensch ihn mehr versteht!“, warnte Rechtsanwalt Prof. Niko Härting, Vorstandsmitglied des Deutschen Anwaltvereins (DAV). Beim Forum „DSGVO und KI“ des DAV ging es demnach um die Zukunft der Datenschutzgrundverordnung (DSGVO) im Zeitalter Künstlicher Intelligenz (KI).

• Im Rahmen der Veranstaltung stellten die Landesdatenschutzbeauftragten ihr neues „Bridge-Blueprint“-Papier vor – enthalten sind ihre Vorschläge, um DSGVO und „AI Act“ einheitlich anzuwenden.

„Der ‚Bridge Blueprint‘ ist ein großer Schritt zu einem pragmatischen Datenschutz mit Augenmaß, der Datennutzung und KI nicht verhindert, sondern grundrechtsschonend unterstützt“, kommentierte Härting. Im Resultat entstehe ein „Brückenschlag mit einiger Sprengkraft“ und der Kernthese, dass eine sorgsame Beachtung der Regeln des „AI Acts“ ausreiche, um etliche Klippen der DSGVO zu umschiffen.

Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft: DAV begrüßt „Bridge-Blueprint“-Papier

Welche praktischen Herausforderungen diese Fragen bei der Beratung mit sich bringen, habe die von Dr. Nina Herbort moderierte Anwaltsrunde mit Isabell Conrad und Peter Huppertz verdeutlicht. Ein „Wake Up Call aus Brüssel“ von Leonardo Cervera Navas, Generalsekretär des Europäischen Datenschutzbeauftragten (EDSB), habe die Notwendigkeit eines harmonisierten Rechtsrahmens untermauert, um Wettbewerbsfähigkeit und europäische Werte im KI-Zeitalter zu wahren.

• In der anschließenden Podiumsdiskussion mit Vertretern aus Aufsichtsbehörden (Dr. h.c. Marit Hansen, Meike Kamp), der Anwaltschaft (Marieke Merkle, Sebastian Schulz) und der europäischen Politik (Kai Zenner, Büroleiter von Axel Voss, MdEP) sei der Vorschlag intensiv diskutiert worden.

Das Autorenteam des „Bridge Blueprint“ stamme aus der Mitte der Aufsicht – „es umfasst den Hamburgischen Beauftragte für Datenschutz, Thomas Fuchs, und seinen Persönlichen Referenten für ,Policy und Digitalstrategie‘, Dr. Markus Wünschelbaum, sowie Dr. h.c. Marit Hansen und Benjamin Walczak von der Schleswig-Holsteinischen Datenschutzbehörde“. Härting erläuterte: „Das Papier setzt bewusst auf einen breiten Dialog und die Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft.“ Dieser Ansatz erfahre auch aus Brüssel Zuspruch – der Digitalpolitiker Axel Voss und sein Büroleiter, KI-Experte Kai Zenner, unterstützten das Vorhaben.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Über uns / Der DAV stellt sich vor

DeutscherAnwaltVerein
DSGVO und KI: Wie kann das funktionieren? am 09. September 2025, 18:00 Uhr im DAV-Haus

DeutscherAnwaltVerein
Ausschuss Informationsrecht / Vorsitzender: Rechtsanwalt Prof. Niko Härting

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: Thesen zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung beim KI-Einsatz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: An Interpretive Guidance for AI Deployment / Aligning Data Protection and AI Regulation

datensicherheit.de, 05.09.2025
KI-Kontrolle: Scharfe Kritik der Landesdatenschutzbehörden am BMDS / Berliner Beauftragte für Datenschutz und Informationsfreiheit warnt vor Schwächung des Grundrechtsschutzes und verweist auf „KI-Verordnung“

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 25.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH geht in einer Stellungnahme vom 25. August 2025 auf ein offenbar massives Datenleck ein, welches demnach eine Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte: Im sogenannten Darknet sollen Zugangsdaten zu rund 15,8 Millionen „PayPal“-Konten aufgetaucht sein. „Die Datenbank enthält E-Mail-Adressen und Passwörter – und soll laut Experten aus einem koordinierten Malware-Angriff stammen. Die Daten könnten zur Übernahme von Konten und für gezielten Identitätsmissbrauch verwendet werden.“ Betroffen seien nach ersten Einschätzungen auch viele Nutzer aus Europa und Deutschland. Laut einem Bericht von „FOCUS Online“ wurden die Daten bereits am 6. Mai 2025 kompromittiert und nun zum Verkauf angeboten. Die Verbraucherkanzlei Dr. Stoll & Sauer prüft nach eigenen Angaben rechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO und bietet Betroffenen eine kostenlose Ersteinschätzung im „Datenschutz-Online-Check“ an.

„PayPal“-Datenleck mittels sogenannter Info-Stealern, welche auf den Geräten der Nutzer installiert dort gespeicherte Logins ausspähten

Erstmals sei das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ aufgetaucht. Ein Nutzer mit dem Alias „Chucky_BF“ biete dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, „die Klartext-Passwörter und E-Mail-Adressen enthalten“.

• Diese Datei enthalte sowohl Zugangsdaten zu Web- als auch mobilen „PayPal“-Accounts. Laut Analysen der Sicherheitsfirma Bitdefender basiere diese Sammlung auf sogenannten Info-Stealern – also Schadsoftware, welche auf den Geräten der Nutzer selbst installiert worden sei und dort gespeicherte Logins ausgespäht habe.

Es handele sich demnach nicht um ein Leck bei „PayPal“ selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, welche über Monate hinweg Daten gesammelt hätten.

Betreiber PayPal bereits mehrfach mit Sicherheitsvorfällen konfrontiert

PayPal sei in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert gewesen – zuletzt im Dezember 2022. „Damals wurden rund 35.000 Konten im Rahmen einer sogenannten ,Credential Stuffing’-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen.“

• Neben E-Mail-Adressen und Passwörtern seien dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht worden. PayPal habe damals die betroffenen Nutzer informiert und die Passwörter zurückgesetzt.

Laut aktuellen Recherchen scheine der derzeitige Vorfall im „Darknet“ in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. „Einen klassischen Hack der ,PayPal’-Systeme gab es laut Medienberichten bislang jedoch nicht.“ Die New Yorker Finanzaufsicht habe im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit verhängt.

Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte im „Darknet“-Angebot

Besorgniserregende Details zur aktuellen Datenbank:

• 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen Datenleck vom 6. Mai 2025, jedoch erst Mitte August 2025 entdeckt
• Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte
• Passwort-Hashes teilweise im Klartext
• Preis im sog. Darknet umgerechnet nur etwa 750 US-Dollar

Empfehlungen für Betroffene:

• Umgehender Wechsel des „PayPal“-Passworts – auch bei verbundenen E-Mail-Konten!
• Aktivierung der Zwei-Faktor-Authentifizierung (2FA)!
• Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden!
• Überwachung von Bankkonten und „PayPal“-Transaktionen!
• Nutzung von Passwortmanagern und Identitätsschutz-Tools!

Schadensersatzansprüche nach Art. 82 DSGVO möglich – auch wenn Sicherheitslücke beim Endnutzer und nicht bei PayPal liegt

„Auch wenn die Daten nicht direkt bei ,PayPal’ selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar!“ Die DSGVO schütze nicht nur vor dem Datenverlust durch Unternehmen, sondern gebe auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.

• Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – „auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand“. Entscheidend sei, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliege – und dies sei hier offensichtlich gegeben.

Besonders relevant sei in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs (BGH): „Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann.“ Es reiche also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist.

Sobald PayPal Kenntnis von dem Datenleck erlangte, bestand die Pflicht nach Art. 33 und 34 DSGVO unverzüglich zu informieren

Im entschiedenen Fall habe der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zugesprochen. „Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne.“ Dies hänge vom erlittenen Schaden ab. Dieses Urteil gelte als Leitentscheidung im Bereich DSGVO-Schadensersatz.

• Zudem gelte: „Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren.“ Auch dieser Aspekt werde derzeit kritisch beobachtet – denn bislang habe PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.

Betroffene „PayPal“-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im „Datenschutz-Online-Check“ eine kostenlose und unverbindliche Ersteinschätzung an: „Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: ,Datenschutz-Online-Check’ starten!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Ihre Kanzlei – kompetent und unkompliziert / Wir machen uns stark für Ihr Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenschutz-Online-Check

FOCUS online, 22.08.2025
Großer Hack? 15,8 Millionen Paypal-Passwörter angeblich geleakt: So prüfen Sie, ob Sie betroffen sind

Handelsblatt, 21.08.2025
Paypal: Daten im Darknet – So lässt sich das eigene Konto schützen / Ein Leak von 15,8 Millionen Nutzungsdaten verunsichert die Paypal-Kunden. Was hilft, um einen Missbrauch des eigenen Kontos wirksam zu verhindern.

NDR, 21.08.2025
Paypal-Daten im Darknet: Das sollten Nutzer jetzt beachten / Cyberkriminelle könnten in den Besitz von Millionen von Paypal-Daten gelangt sein. Falls diese aktuell und echt sind, droht dadurch immenser Schaden. Was sollten Nutzer des Bezahldienstes nun tun?

Verbraucherzentrale, 21.08.2025
PayPal-Datenleck – Was Sie jetzt tun sollten / Berichte über ein angebliches PayPal-Datenleck verbreiten sich. Wir erklären, was bisher bekannt ist und wie Sie Ihr Konto schützen können.

BR 24, Thomas Moßburger, 20.08.2025
Millionen Paypal-Logins im Netz? Was jetzt hilft – und was nicht / 15 Millionen Zugangsdaten zu Paypal-Konten werden derzeit im Netz angeboten. Gehen nun Kriminelle mit Ihrem Paypal-Account auf Shopping-Tour? Ausschließen kann man das nie, sich schützen dagegen sehr wohl.

datensicherheit.de, 17.12.2024
Verbraucherzentrale Nordrhein-Westfalen kommentiert Betrug mit PayPal-Gastzahlung / „PayPal“ beruft sich auf Maßnahmen zu Risikomanagement und Betrugsprävention bei der Abwicklung von Zahlungen

datensicherheit.de, 30.10.2023
PayPal gibt Hinweise zum Erkennen betrügerischer E-Mails / Auf keinen Fall verdächtige E-Mails beantworten und darin enthaltene Links anklicken oder Anhänge öffnen!

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 15.08.2025] Das Datenschutzrecht sei die Grundlage ihrer Arbeit: „Seit 2018 bietet die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) daher eine Broschüre an, in der die wichtigsten Gesetzestexte kompakt zusammengestellt sind: die europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).“ Aufgrund der anhaltend hohen Nachfrage hat die BfDI das Nachschlagewerk jetzt neu aufgelegt – die Broschüre ist ab sofort wieder online und gedruckt verfügbar.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider betont: Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!

BfDI der Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze verpflichtet

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, erläutert: „Ich freue mich und bin stolz darauf, gemeinsam mit meiner Behörde für die Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze in Deutschland zu sorgen. Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!“

Abbildung: BfDI

Neue Auflage der BfDi-Broschüre „Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen“

BfDI-Informationsbroschüre soll Überblick über die Regelungen der DSGVO und des BDSG bieten

Diese Informationsbroschüre soll demnach dazu beitragen, einen Überblick über die Regelungen der DSGVO und des BDSG zu erhalten. Sie enthält neben den Gesetzestexten und den Erwägungsgründen zur DSGVO Erläuterungen zu einzelnen Themenkomplexen und zu unbestimmten Rechtsbegriffen.

Weitere Informationen zum Thema:

BfDI, 13.08.2025
Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen