[datensicherheit.de, 01.10.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine Zwischenbilanz Ende September 2025 gezogen und meldet in diesem Zusammenhang, dass er gegen ein Unternehmen aus der Finanzwirtschaft ein Bußgeld in Höhe von 492.00 Euro wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen in Einzelfällen verhängt hat.

Foto: Bildwerkstatt Nienstedten

Thomas Fuchs: Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!

HmbBfDI monierte, dass das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllte

Trotz guter Bonität seien die Kreditkartenanträge mehrerer Kunden mittels automatisierter Entscheidungen abgelehnt worden – „dabei handelt es sich um Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden“.

• Als daraufhin die betroffenen Kunden eine Begründung für die abgelehnten Anträge verlangt hätten, habe das Unternehmen seine gesetzlich vorgegebenen Informations- und Auskunftspflichten nicht ausreichend erfüllt.

Automatisierte Entscheidungen, welche auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind offensichtlich mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Somit ist ein Einsatz solcher Verfahren nach den Vorschriften der Datenschutzgrundverordnung (DSGVO) demnach nur unter engen Voraussetzungen erlaubt.

Unternehmen hat HmbBfDI-Bußgeldbescheid akzeptiert

Neben diesen höheren Anforderungen an die Rechtmäßigkeit hätten die Verantwortlichen zusätzliche Informationspflichten, während betroffenen Personen weitergehende Auskunftsrechte zustünden.

• Stellten etwa betroffene Personen bei den Verantwortlichen einen Auskunftsantrag, so seien Verantwortliche verpflichtet, Antragstellern aussagekräftige Informationen über die involvierte Logik der automatisierten Entscheidung zu erteilen.

Sowohl im Verwaltungs- als auch im Bußgeldverfahren habe das betroffene Unternehmen erhebliche Anstrengungen unternommen, um seinen Prozess zur Erfüllung von Rechten der betroffenen Personen bei einer automatisierten Entscheidungsfindung zu verbessern und umfassend mit dem HmbBfDI zusammengearbeitet. Dieser Umstand sei bei der Bußgeldzumessung erheblich mildernd berücksichtigt worden – das Unternehmen habe den Bußgeldbescheid akzeptiert.

Auch gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden Bußgeld-Forderungen des HmbBfDI

Das oben genannte Bußgeld eingerechnet, habe der HmbBfDI im Jahr 2025 bisher Bußgelder von rund 775.000 Euro wegen Verstößen gegen die DSGVO verhängt. „Insgesamt 15 Ordnungswidrigkeitenverfahren wurden bis September 2025 rechtskräftig abgeschlossen. Ahndungsschwerpunkte waren rechtswidrige Werbemaßnahmen sowie individuelle Verstöße von Mitarbeitenden.“

• In drei Fällen hätten Unternehmen Kunden Werbung per E-Mail zugesandt, ohne dass die Empfänger darin eingewilligt hätten. Gegen diese Unternehmen seien Bußgelder im unteren fünfstelligen Bereich festgesetzt worden.

Gegen Beschäftigte der Polizei und anderer Hamburgischer Behörden seien insgesamt sechs Bußgelder verhängt worden, weil sie ohne dienstliche Veranlassung Abfragen über Privatpersonen in behördlichen Datenbanken durchgeführt hätten. „Ein Beschäftigter eines Krankenhauses musste ein Bußgeld entrichten, weil er die Patientenakte eines Kollegen eingesehen hatte, obwohl er nicht an der Behandlung beteiligt war.“

HmbBfDI unterstreicht Rolle der Auskunfts- und Informationsansprüche

Zudem habe der HmbBfDI gegen ein Handelsunternehmen ein Bußgeld in Höhe von 195.000 Euro verhängt. Dieses Unternehmen habe Dienstleister mit dem Versand postalischer Werbung beauftragt – die nach Erhalt des Werbeschreibens von den Empfängern geltend gemachten Betroffenenrechte habe es in mehreren Fällen und über einen längeren Zeitraum nicht fristgerecht erfüllt.

• Der HmbBfDI, Thomas Fuchs, kommentiert: „Wenn Unternehmen auf Auskunfts- und Informationsansprüche systematisch nicht oder nur unzureichend reagieren, ist eine spürbare Sanktion geboten!“

Dies gelte insbesondere bei für die Betroffenen undurchsichtigen Strukturen, wie z.B. Adresshandel oder komplexe Entscheidungsalgorithmen – und immer mehr auch für den Einsatz Künstlicher Intelligenz (KI). „Entscheidet eine Software über Menschen, muss die verarbeitende Stelle die tragenden Gründe verständlich erklären können!“, stellt Fuchs abschließend klar.

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Unsere Dienststelle

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Thomas Fuchs

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern / USA in beiden Analysen auf Platz 1, Deutschland folgt bei Attacken auf Rang 2

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

datensicherheit.de, 26.08.2024
HmbBfDI-Zwischenbilanz 2024: Bisher Bußgelder in Höhe von 130.000 Euro verhängt / HmbBfDI ahndete vielfältige Verstöße gegen die Datenschutzgrundverordnung (DSGVO)

datensicherheit.de, 08.06.2023
Bußgelder: Europäischer Datenschutzausschuss hat endgültige Leitlinien angenommen / Die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa soll nun nach einheitlichen Maßstäben erfolgen

datensicherheit.de, 31.05.2023
300.000 Euro Bußgeld gegen Bank: Computer sagte nein zu Kreditkartenantrag / Berliner Beauftragte für Datenschutz und Informationsfreiheit ahndet mangelnde Transparenz einer Bank bei automatisierter Ablehnung

[datensicherheit.de, 11.09.2025] Ob sich Künstliche Intelligenz rechtssicher in der Praxis nutzen lässt, war Gegenstand einer Erörterung zwischen Experten des Deutschen Anwaltvereins (DAV) mit zahlreichen Landesdatenschutzbeauftragten am 9. September 2025. Der DAV setzt sich für einen „rechtssicheren Einsatz Künstlicher Intelligenz in den Anwaltskanzleien“ ein.

Abbildung: HmbBfDI

„Bridge-Blueprint“-Papier: Die „Notwendigkeit eines Brückenschlags“ wird betont – denn die europäische KI-Debatte scheine in einer Sackgasse festzustecken, weil sie die Thematik auf einen Zielkonflikt zwischen technologischem Fortschritt und dem Schutz von Grundrechten reduziere…

DAV-Forum „DSGVO und KI“ erörterte Zukunft der DSGVO im KI-Zeitalter

„Datenschutz hat keine Zukunft, wenn kein normaler Mensch ihn mehr versteht!“, warnte Rechtsanwalt Prof. Niko Härting, Vorstandsmitglied des Deutschen Anwaltvereins (DAV). Beim Forum „DSGVO und KI“ des DAV ging es demnach um die Zukunft der Datenschutzgrundverordnung (DSGVO) im Zeitalter Künstlicher Intelligenz (KI).

• Im Rahmen der Veranstaltung stellten die Landesdatenschutzbeauftragten ihr neues „Bridge-Blueprint“-Papier vor – enthalten sind ihre Vorschläge, um DSGVO und „AI Act“ einheitlich anzuwenden.

„Der ‚Bridge Blueprint‘ ist ein großer Schritt zu einem pragmatischen Datenschutz mit Augenmaß, der Datennutzung und KI nicht verhindert, sondern grundrechtsschonend unterstützt“, kommentierte Härting. Im Resultat entstehe ein „Brückenschlag mit einiger Sprengkraft“ und der Kernthese, dass eine sorgsame Beachtung der Regeln des „AI Acts“ ausreiche, um etliche Klippen der DSGVO zu umschiffen.

Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft: DAV begrüßt „Bridge-Blueprint“-Papier

Welche praktischen Herausforderungen diese Fragen bei der Beratung mit sich bringen, habe die von Dr. Nina Herbort moderierte Anwaltsrunde mit Isabell Conrad und Peter Huppertz verdeutlicht. Ein „Wake Up Call aus Brüssel“ von Leonardo Cervera Navas, Generalsekretär des Europäischen Datenschutzbeauftragten (EDSB), habe die Notwendigkeit eines harmonisierten Rechtsrahmens untermauert, um Wettbewerbsfähigkeit und europäische Werte im KI-Zeitalter zu wahren.

• In der anschließenden Podiumsdiskussion mit Vertretern aus Aufsichtsbehörden (Dr. h.c. Marit Hansen, Meike Kamp), der Anwaltschaft (Marieke Merkle, Sebastian Schulz) und der europäischen Politik (Kai Zenner, Büroleiter von Axel Voss, MdEP) sei der Vorschlag intensiv diskutiert worden.

Das Autorenteam des „Bridge Blueprint“ stamme aus der Mitte der Aufsicht – „es umfasst den Hamburgischen Beauftragte für Datenschutz, Thomas Fuchs, und seinen Persönlichen Referenten für ,Policy und Digitalstrategie‘, Dr. Markus Wünschelbaum, sowie Dr. h.c. Marit Hansen und Benjamin Walczak von der Schleswig-Holsteinischen Datenschutzbehörde“. Härting erläuterte: „Das Papier setzt bewusst auf einen breiten Dialog und die Einbindung von Wirtschaft, Zivilgesellschaft und Anwaltschaft.“ Dieser Ansatz erfahre auch aus Brüssel Zuspruch – der Digitalpolitiker Axel Voss und sein Büroleiter, KI-Experte Kai Zenner, unterstützten das Vorhaben.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Über uns / Der DAV stellt sich vor

DeutscherAnwaltVerein
DSGVO und KI: Wie kann das funktionieren? am 09. September 2025, 18:00 Uhr im DAV-Haus

DeutscherAnwaltVerein
Ausschuss Informationsrecht / Vorsitzender: Rechtsanwalt Prof. Niko Härting

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: Thesen zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung beim KI-Einsatz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
The Bridge Blueprint: An Interpretive Guidance for AI Deployment / Aligning Data Protection and AI Regulation

datensicherheit.de, 05.09.2025
KI-Kontrolle: Scharfe Kritik der Landesdatenschutzbehörden am BMDS / Berliner Beauftragte für Datenschutz und Informationsfreiheit warnt vor Schwächung des Grundrechtsschutzes und verweist auf „KI-Verordnung“

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

[datensicherheit.de, 25.08.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH geht in einer Stellungnahme vom 25. August 2025 auf ein offenbar massives Datenleck ein, welches demnach eine Bedrohung für Millionen von „PayPal“-Nutzern weltweit sein könnte: Im sogenannten Darknet sollen Zugangsdaten zu rund 15,8 Millionen „PayPal“-Konten aufgetaucht sein. „Die Datenbank enthält E-Mail-Adressen und Passwörter – und soll laut Experten aus einem koordinierten Malware-Angriff stammen. Die Daten könnten zur Übernahme von Konten und für gezielten Identitätsmissbrauch verwendet werden.“ Betroffen seien nach ersten Einschätzungen auch viele Nutzer aus Europa und Deutschland. Laut einem Bericht von „FOCUS Online“ wurden die Daten bereits am 6. Mai 2025 kompromittiert und nun zum Verkauf angeboten. Die Verbraucherkanzlei Dr. Stoll & Sauer prüft nach eigenen Angaben rechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO und bietet Betroffenen eine kostenlose Ersteinschätzung im „Datenschutz-Online-Check“ an.

„PayPal“-Datenleck mittels sogenannter Info-Stealern, welche auf den Geräten der Nutzer installiert dort gespeicherte Logins ausspähten

Erstmals sei das Angebot in einschlägigen Foren auf der Plattform „BreachForums“ aufgetaucht. Ein Nutzer mit dem Alias „Chucky_BF“ biete dort eine Datenbank mit 1,1 Gigabyte Datenvolumen an – laut eigenen Angaben mit 15,8 Millionen Datensätzen, „die Klartext-Passwörter und E-Mail-Adressen enthalten“.

• Diese Datei enthalte sowohl Zugangsdaten zu Web- als auch mobilen „PayPal“-Accounts. Laut Analysen der Sicherheitsfirma Bitdefender basiere diese Sammlung auf sogenannten Info-Stealern – also Schadsoftware, welche auf den Geräten der Nutzer selbst installiert worden sei und dort gespeicherte Logins ausgespäht habe.

Es handele sich demnach nicht um ein Leck bei „PayPal“ selbst, sondern um einen umfassenden Diebstahl durch Schadsoftware-Kampagnen, welche über Monate hinweg Daten gesammelt hätten.

Betreiber PayPal bereits mehrfach mit Sicherheitsvorfällen konfrontiert

PayPal sei in der Vergangenheit bereits mit Sicherheitsvorfällen konfrontiert gewesen – zuletzt im Dezember 2022. „Damals wurden rund 35.000 Konten im Rahmen einer sogenannten ,Credential Stuffing’-Attacke kompromittiert. Dabei nutzten Angreifer zuvor gestohlene Login-Daten, um sich Zugriff auf Konten zu verschaffen.“

• Neben E-Mail-Adressen und Passwörtern seien dabei auch Namen, Geburtsdaten und in den USA sogar Sozialversicherungsnummern ausgespäht worden. PayPal habe damals die betroffenen Nutzer informiert und die Passwörter zurückgesetzt.

Laut aktuellen Recherchen scheine der derzeitige Vorfall im „Darknet“ in direktem Zusammenhang mit derartigen Angriffsmethoden zu stehen. „Einen klassischen Hack der ,PayPal’-Systeme gab es laut Medienberichten bislang jedoch nicht.“ Die New Yorker Finanzaufsicht habe im Januar 2025 dennoch ein Bußgeld über zwei Millionen US-Dollar wegen Versäumnissen bei der Cybersicherheit verhängt.

Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte im „Darknet“-Angebot

Besorgniserregende Details zur aktuellen Datenbank:

• 15,8 Millionen Datensätze, laut Anbieter mit gültigen E-Mail-Passwort-Kombinationen Datenleck vom 6. Mai 2025, jedoch erst Mitte August 2025 entdeckt
• Login-Daten für „PayPal“-Webzugänge und mobile Endpunkte
• Passwort-Hashes teilweise im Klartext
• Preis im sog. Darknet umgerechnet nur etwa 750 US-Dollar

Empfehlungen für Betroffene:

• Umgehender Wechsel des „PayPal“-Passworts – auch bei verbundenen E-Mail-Konten!
• Aktivierung der Zwei-Faktor-Authentifizierung (2FA)!
• Prüfung, ob dieselben Passwörter bei anderen Diensten verwendet wurden!
• Überwachung von Bankkonten und „PayPal“-Transaktionen!
• Nutzung von Passwortmanagern und Identitätsschutz-Tools!

Schadensersatzansprüche nach Art. 82 DSGVO möglich – auch wenn Sicherheitslücke beim Endnutzer und nicht bei PayPal liegt

„Auch wenn die Daten nicht direkt bei ,PayPal’ selbst entwendet wurden, stellt der massenhafte Verkauf personenbezogener Daten im Netz eine erhebliche DSGVO-relevante Gefährdungslage dar!“ Die DSGVO schütze nicht nur vor dem Datenverlust durch Unternehmen, sondern gebe auch Rechte bei der Weiterverbreitung und Nutzung persönlicher Informationen.

• Nach Einschätzung der Kanzlei Dr. Stoll & Sauer kommen Schadensersatzansprüche nach Art. 82 DSGVO in Betracht – „auch dann, wenn die eigentliche Sicherheitslücke beim Endnutzer entstand“. Entscheidend sei, ob ein Missbrauch oder Kontrollverlust über personenbezogene Daten vorliege – und dies sei hier offensichtlich gegeben.

Besonders relevant sei in diesem Zusammenhang eine Grundsatzentscheidung des Bundesgerichtshofs (BGH): „Am 18. November 2024 (Az. VI ZR 10/24) stellte der BGH klar, dass schon der bloße Verlust der Kontrolle über personenbezogene Daten einen immateriellen Schaden im Sinne von Art. 82 DSGVO darstellen kann.“ Es reiche also aus, dass Betroffene erfahren, dass ihre Daten in falsche Hände geraten sind – selbst wenn kein direkter Missbrauch erfolgt ist.

Sobald PayPal Kenntnis von dem Datenleck erlangte, bestand die Pflicht nach Art. 33 und 34 DSGVO unverzüglich zu informieren

Im entschiedenen Fall habe der BGH dem Kläger einen symbolischen Schadensersatz in Höhe von 100 Euro zugesprochen. „Das Gericht betonte in seiner Entscheidung auch, dass der Schadensersatz höher ausfallen könne.“ Dies hänge vom erlittenen Schaden ab. Dieses Urteil gelte als Leitentscheidung im Bereich DSGVO-Schadensersatz.

• Zudem gelte: „Sobald ein Unternehmen wie PayPal Kenntnis von einem möglichen Datenleck erlangt, ist es verpflichtet, nach Art. 33 und 34 DSGVO die zuständigen Behörden sowie Betroffene unverzüglich zu informieren.“ Auch dieser Aspekt werde derzeit kritisch beobachtet – denn bislang habe PayPal öffentlich keine umfassende Warnung an Nutzer in Deutschland ausgesprochen.

Betroffene „PayPal“-Nutzer sollten ihre Situation umgehend prüfen lassen. Die Kanzlei Dr. Stoll & Sauer bietet im „Datenschutz-Online-Check“ eine kostenlose und unverbindliche Ersteinschätzung an: „Wir helfen dabei, die rechtlichen Optionen einzuschätzen, Ansprüche zu sichern und etwaige Verstöße gegen die DSGVO aufzudecken. Jetzt unverbindlich prüfen lassen: ,Datenschutz-Online-Check’ starten!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Ihre Kanzlei – kompetent und unkompliziert / Wir machen uns stark für Ihr Recht

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Datenschutz-Online-Check

FOCUS online, 22.08.2025
Großer Hack? 15,8 Millionen Paypal-Passwörter angeblich geleakt: So prüfen Sie, ob Sie betroffen sind

Handelsblatt, 21.08.2025
Paypal: Daten im Darknet – So lässt sich das eigene Konto schützen / Ein Leak von 15,8 Millionen Nutzungsdaten verunsichert die Paypal-Kunden. Was hilft, um einen Missbrauch des eigenen Kontos wirksam zu verhindern.

NDR, 21.08.2025
Paypal-Daten im Darknet: Das sollten Nutzer jetzt beachten / Cyberkriminelle könnten in den Besitz von Millionen von Paypal-Daten gelangt sein. Falls diese aktuell und echt sind, droht dadurch immenser Schaden. Was sollten Nutzer des Bezahldienstes nun tun?

Verbraucherzentrale, 21.08.2025
PayPal-Datenleck – Was Sie jetzt tun sollten / Berichte über ein angebliches PayPal-Datenleck verbreiten sich. Wir erklären, was bisher bekannt ist und wie Sie Ihr Konto schützen können.

BR 24, Thomas Moßburger, 20.08.2025
Millionen Paypal-Logins im Netz? Was jetzt hilft – und was nicht / 15 Millionen Zugangsdaten zu Paypal-Konten werden derzeit im Netz angeboten. Gehen nun Kriminelle mit Ihrem Paypal-Account auf Shopping-Tour? Ausschließen kann man das nie, sich schützen dagegen sehr wohl.

datensicherheit.de, 17.12.2024
Verbraucherzentrale Nordrhein-Westfalen kommentiert Betrug mit PayPal-Gastzahlung / „PayPal“ beruft sich auf Maßnahmen zu Risikomanagement und Betrugsprävention bei der Abwicklung von Zahlungen

datensicherheit.de, 30.10.2023
PayPal gibt Hinweise zum Erkennen betrügerischer E-Mails / Auf keinen Fall verdächtige E-Mails beantworten und darin enthaltene Links anklicken oder Anhänge öffnen!

datensicherheit.de, 25.01.2023
PayPal-Vorfall als Warnung für die Cybersecurity-Welt / Nur wenige Sicherheits-Lösungen, die PayPal tatsächlich selbst umsetzen könnte

[datensicherheit.de, 15.08.2025] Das Datenschutzrecht sei die Grundlage ihrer Arbeit: „Seit 2018 bietet die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) daher eine Broschüre an, in der die wichtigsten Gesetzestexte kompakt zusammengestellt sind: die europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).“ Aufgrund der anhaltend hohen Nachfrage hat die BfDI das Nachschlagewerk jetzt neu aufgelegt – die Broschüre ist ab sofort wieder online und gedruckt verfügbar.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider betont: Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!

BfDI der Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze verpflichtet

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, erläutert: „Ich freue mich und bin stolz darauf, gemeinsam mit meiner Behörde für die Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze in Deutschland zu sorgen. Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!“

Abbildung: BfDI

Neue Auflage der BfDi-Broschüre „Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen“

BfDI-Informationsbroschüre soll Überblick über die Regelungen der DSGVO und des BDSG bieten

Diese Informationsbroschüre soll demnach dazu beitragen, einen Überblick über die Regelungen der DSGVO und des BDSG zu erhalten. Sie enthält neben den Gesetzestexten und den Erwägungsgründen zur DSGVO Erläuterungen zu einzelnen Themenkomplexen und zu unbestimmten Rechtsbegriffen.

Weitere Informationen zum Thema:

BfDI, 13.08.2025
Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 06.07.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 4. Juli 2025 eine Meldung der unabhängigen Datenschutzaufsichtsbehörden der Länder veröffentlicht: Diese sprechen sich demnach für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus.

Vereinheitlichung der Meldungen nach neuer NIS-2-Richtlinie und DSGVO

So soll es Betreibern Kritischer Infrastrukturen (KRITIS) ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DSGVO) einzureichen: Einen Vorschlag für eine entsprechende Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern (BMI) gesandt.

Meike Kamp, die BlnBDI, kommentiert: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Diese Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.

BSI soll zentrale Meldestelle für Sicherheitsvorfälle nach NIS-2-Richtlinie werden

Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen daher vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln.

Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Dieses würde dann zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO unterstützen.

Hintergrund zu den Meldepflichten nach NIS-2 und DSGVO

Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte KRITIS-Unternehmen Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden.

Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die DSGVO verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 04.07.2025
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Bundesministerium des Innern, 24.07.2024
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung / IT-Sicherheitsvorgaben und Meldepflichten für IT-Sicherheitsvorfälle werden auf mehr Unternehmen in mehr Sektoren ausgeweitet. Die IT-Sicherheit der Bundesverwaltung wird gestärkt.

OpenKRITIS
Meldepflichten

datensicherheit.de, 11.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Meldung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben zahlreiche Datenschutzaufsichtsbehörden haben vom 11. bis zum 13. Juni 2025 einen Workshop zum Thema DSGVO-Zertifizierung veranstaltet: „Aus der ganzen EU sind Experten zusammengekommen und diskutierten, wie DSGVO-Zertifizierung genutzt werden kann, um das Datenschutzniveau europaweit zu verbessern.“

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider rät, DSGVO-Zertifizierung zu fördern und zu leben

DSGVO sieht Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor

Die DSGVO sieht demnach die Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor, welche nachweisen sollen, dass bei Verarbeitungsvorgängen die DSGVO eingehalten wird. Das Genehmigungsverfahren von Zertifizierungskriterien läuft laut BfDI im Rahmen einer Expertengruppe, welche zu diesem Workshop zusammenkam.

Gemeinsam mit Zertifizierungs- und Akkreditierungsstellen sowie Programmeignern sei evaluiert worden, wie Prozesse rund um die Zertifizierung verbessert werden könnten und welche Erfahrungen bereits gemacht wurden.

Datenschutz profitiert, wenn DSGVO-Zertifizierung gefördert und gelebt wird

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, betonte dabei die Bedeutsamkeit von DSGVO-Zertifizierung für alle beteiligten Akteure:

„Betroffene Personen, Unternehmen, Zertifizierungsstellen und auch Datenschutzaufsichtsbehörden profitieren, wenn Zertifizierung gefördert und gelebt wird.“

Weitere Informationen zum Thema:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zertifizierung

datenschutz cert
Zertifizierungen gem. DSGVO – information privacy standard / Was ist ein DSGVO-Zertifikat?

Bayerisches Landesamt für Datenschutzaufsicht
Zertifizierung

datensicherheit.de, 24.03.2025
AUDITOR: Erste DSGVO-Zertifizierung speziell für Cloud-Dienste / Der EDSA und der LDI NRW hatten bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt

[datensicherheit.de, 26.05.2025] Die seit dem 25. Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) unterliegt offensichtlich einer ambivalenten Wahrnehmung: So fühlen sich laut einer aktuellen Umfrage des Branchenverbands Bitkom e.V. mehr als zwei Drittel der Unternehmen in Deutschland „vom Datenschutz ausgebremst“. 70 Prozent haben demnach bereits mindestens einmal Pläne für Innovationen aufgrund von Datenschutz-Vorgaben oder Unsicherheiten bei der Anwendung des geltenden Rechts gestoppt. Die Umfrage wurde im Bitkom-Auftrag von Bitkom Research durchgeführt: Hierzu seien 605 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch im Zeitraum der Kalenderwochen 10 bis 16 2025 repräsentativ befragt worden.

Abbildung: Bitkom

Bitkom Research: Umfrage zum Thema Datenschutz als Innovationshemmnis

Datenschutz in Deutschland als Digitalisierungs-Bremse Nummer 1

„Vor einem Jahr lag der Anteil noch bei 61 Prozent. Aktuell sagen wie im Vorjahr 17 Prozent, dass sie einmal auf Innovationspläne verzichtet haben.“ Bei 35 Prozent sei dies dagegen bereits „mehrfach“ der Fall (2024: 27%) und bei 18 Prozent sogar „häufig“ (2024: 17%). Diese Zahlen wurden von Bitkom anlässlich des siebten DSGVO-Jahrestages veröffentlicht: Diese gilt seit dem 25. Mai 2018.

„Der Datenschutz hat sich in Deutschland zur Digitalisierungs-Bremse Nummer 1 entwickelt. Durch die hohe Komplexität sowie die Vielzahl von Aufsichtsbehörden und deren unterschiedliche Auslegung des Datenschutzes sind Unternehmen verunsichert und verzichten zu häufig auf datengetriebene digitale Innovationen“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Hohes Datenschutzniveau für wirklich schützenswerte Daten und pragmatische, innovationsfreundliche Regeln für alle sonstigen

Er führt weiter aus: „Damit Deutschland und Europa bei Zukunftstechnologien wie Künstliche Intelligenz oder digitalen Plattformen international in der Spitze dabei sein können, brauchen wir einen neuen Ansatz im Datenschutz: ein hohes Datenschutzniveau für wirklich schützenswerte Daten und pragmatische, innovationsfreundliche Regeln für alle anderen Daten.“

Aktuelle Pläne der EU-Kommission, bei der DSGVO die Freistellung von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten auf größere Unternehmen auszuweiten, reichen nach Bitkom-Ansicht nicht aus. „Notwendig wären umfassendere Entlastungen bei Dokumentations- und Berichtspflichten sowie eine stärkere Berücksichtigung technologischer Entwicklungen, etwa bei Künstlicher Intelligenz“, fordert Wintergerst.

Bündelung der Datenschutzaufsicht bei der BfDI – einheitliche DSGVO-Auslegung erhofft

Aktuell führten vielfach redundante Berichtspflichten – etwa durch DSGVO, den „AI Act“ oder den „Data Act“ – zu erheblichem bürokratischem Aufwand, insbesondere bei kleinen und mittleren Unternehmen (KMU). Der hohe Dokumentationsaufwand, unter anderem durch das Verzeichnis von Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen binde Ressourcen, welche für die Innovationen dringend gebraucht würden.

Die im Koalitionsvertrag vorgesehene Bündelung der Datenschutzaufsicht bei der Bundesdatenschutzbeauftragten (BfDI) biete nun die Chance für die dringend notwendige, bundesweit einheitliche Auslegung der DSGVO. „Damit kann es uns gelingen, den Datenschutz stärker an realen Gefahren als an theoretischen Risiken zu orientieren und bei Abwägungen nicht allein den Datenschutz, sondern auch den Verlust von individuellen und gesellschaftlichen Mehrwerten durch Datennutzung zu berücksichtigen“, so Wintergerst abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

[datensicherheit.de, 22.05.2025] Die Datenschutz-Grundverordnung (DSGVO) hat am 25. Mai 2025 ihren siebten Jahrestag. Während die DSGVO nun weiterhin den einheitlichen Rahmen für den Datenschutz in Europa setzt, bringt die zunehmende Nutzung agentenbasierter Künstlicher Intelligenz (KI) neue Herausforderungen für Unternehmen mit sich: Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, erörtert Steve Bradford, „Senior Vice President EMEA“ bei SailPoint, in seiner aktuellen Stellungnahme zum diesjährigen DSGVO-Jahrestag.

Foto: SailPoint

Steve Bradford formuliert Grundsatz: Nur diejenigen Menschen oder KI-Bots dürfen Zugang erhalten, welche ihn unbedingt benötigen!

Agentenbasierte KI verändert Art und Weise, wie Daten verarbeitet und zugänglich gemacht werden

Bradford kommentiert: „Vor sieben Jahren markierte die DSGVO einen Wendepunkt im Datenschutz. Heute, im Zeitalter agentenbasierter KI stehen Unternehmen erneut vor Herausforderungen.“

Die Art und Weise, wie Daten verarbeitet und zugänglich gemacht werden, habe sich grundlegend verändert. Unternehmen müssten daher ihre „Compliance“-Strategien neu überdenken.

Neubewertung der „Governance“-Richtlinien hinsichtlich digitaler Identitäten der KI-Agenten

In der Vergangenheit habe es noch ausgereicht, „wenn ein Unternehmen die Interaktion zwischen Nutzer und Anwendung im Griff hatte – die Identitätssicherheit war damit gewährleistet“. Heute sei es für grundlegende KI-Modelle – und Menschen – ein Leichtes, auf Daten zuzugreifen, ohne zuerst eine Anwendung durchlaufen zu müssen.

Dieser Wandel erfordere eine grundlegende Neubewertung der „Governance“-Richtlinien, um sowohl menschliche Nutzer als auch KI-Agenten als digitale Identitäten zu verwalten.

Kopplung der Berechtigungen für KI-Agenten an menschliche Pendants

„Indem Unternehmen die Berechtigungen von KI-Agenten an die ihrer menschlichen Pendants koppeln, können sie konsistente und sichere Zugriffskontrollen gewährleisten“, so Bradford. Dies trage dazu bei, sensible Daten zu schützen und sicherzustellen, „dass nur diejenigen Menschen (oder Bots) Zugang erhalten, die ihn unbedingt benötigen“.

Schutzmaßnahmen wie diese seien entscheidend, um das Risiko von Sicherheitsverletzungen zu verringern, und sollten eine zentrale Rolle in der Cybersecurity-Risiko-Managementstrategie jedes Unternehmens spielen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 25.05.2023
5 Jahre DSGVO: Professor Kelber zieht positives Fazit / Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

datensicherheit.de, 20.05.2022
4. DSGVO-Jahrestag: Für Unternehmen wurde Datenschutz zu einer der Top-Prioritäten / Geld-Bußen für Unternehmen, welche bei der Verarbeitung von Daten und der Kommunikation von Entscheidungen zweideutig oder intransparent agierten

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 25.05.2021
Kleines DSGVO-Jubiläum: Cloud-Nutzung als Herausforderung für Unternehmen / Datenspeicherung au0erhalb der EU bereitet DSGVO-Probleme

[datensicherheit.de, 19.05.2025] Der Verbraucherzentrale Bundesverband (vzbv) moniert in seiner Stellungnahme vom 19. Mai 2025, dass die Europäische Kommission für einen Großteil von Unternehmen die Pflicht zur Datenschutzdokumentation aufzuweichen plant. Dies gehe aus einem bislang unveröffentlichten Entwurf zur Änderung der Datenschutzgrundverordnung (DSGVO) hervor. Der vzbv kritisiert diese Pläne: „Jede Aufweichung – so klein sie auch erscheinen mag – würde die Tür für weitere Aushöhlungen des Datenschutzes öffnen.“

Abbildung: verbraucherzentrale Bundesverband

vzbv-Kurzstellungnahme zu Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen

DSGVO stellt Europas digitale Wirtschaft auf ein verlässliches Fundament

Laut Michaela Schröder, vzbv-Geschäftsleiterin „Verbraucherpolitik“, sind Verbraucher täglich davon betroffen, dass ihre persönlichen Daten verarbeitet werden – auch von kleinen Unternehmen. Die warnt daher: „Wenn diese Unternehmen nicht mehr systematisch dokumentieren müssen, wie sie Daten verarbeiten, fehlt eine wichtige Grundlage, um mögliche Risiken für die Rechte der Betroffenen frühzeitig zu erkennen!“

Das Vorhaben der Europäischen Kommission könnte in der Folge zu weiterführenden Änderungsvorschlägen führen, was wiederum ein weltweit beachtetes Erfolgsmodell gefährden würde: Die DSGVO schaffe Vertrauen – und schütze nicht nur Verbraucher: „Vielmehr stellt sie Europas digitale Wirtschaft auf ein verlässliches Fundament.“

Geplante Lockerung der DSGVO-Dokumentationspflicht ein Irrweg

Die geplante Lockerung der DSGVO-Dokumentationspflicht sei der falsche Weg, daher fordert der vzbv gemeinsam mit zahlreichen europäischen Organisationen in einem Offenen Brief:

• Keine pauschalen Ausnahmen von der Dokumentationspflicht!
• Stattdessen: Gezielte Unterstützung von kleineren und mittelständischen Unternehmen bei der Erstellung datenschutzrechtlicher Dokumente mithilfe von praxistauglichen Tools – etwa Online-Generatoren für die Dokumentation risikoarmer Verarbeitungen!
• Die DSGVO stärken und eben nicht schwächen – als globales Vorbild für fairen, innovationsfreundlichen Datenschutz!

Europäische Kommission plant Änderung von Artikel 30 Absatz 5 DSGVO

Die Europäische Kommission plant demnach eine Änderung von Artikel 30 Absatz 5 der DSGVO. Der vzbv wurde von der Europäischen Kommission im Rahmen seiner Mitgliedschaft in der von ihr berufenen Expertengruppe zur Anwendung der DSGVO zum Entwurf konsultiert.

• Künftig würden Unternehmen kein Verzeichnis ihrer Verarbeitungstätigkeiten mehr führen müssen, wenn ihre Datenverarbeitungen voraussichtlich kein hohes Risiko für die Rechte der Betroffenen mit sich bringen – bislang spricht die DSGVO von einem wahrscheinlichen Risiko.
• Außerdem solle die Ausnahme nicht mehr wie bisher nur für KMU mit bis zu 250 Mitarbeitern gelten, sondern auch für „small mid-caps“ mit bis zu 500 Beschäftigten und nicht mehr als 100 Millionen Euro Jahresumsatz sowie einer Bilanzsumme von maximal 86 Millionen Euro.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 07.05.2025
DOKUMENTATION ALS PFEILER DER RISIKOBEWERTUNG UND DER RECHENSCHAFTSPFLICHT / Kurzstellungnahme des Verbraucherzentrale Bundesverbands (vzbv) zu den Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen.

EDRi European Digital Rights, 19.05.2025
Reopening the GDPR is a threat to rights, accountability, and the future of EU digital policy

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern