[datensicherheit.de, 15.08.2025] Das Datenschutzrecht sei die Grundlage ihrer Arbeit: „Seit 2018 bietet die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) daher eine Broschüre an, in der die wichtigsten Gesetzestexte kompakt zusammengestellt sind: die europäische Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).“ Aufgrund der anhaltend hohen Nachfrage hat die BfDI das Nachschlagewerk jetzt neu aufgelegt – die Broschüre ist ab sofort wieder online und gedruckt verfügbar.

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider betont: Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!

BfDI der Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze verpflichtet

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, erläutert: „Ich freue mich und bin stolz darauf, gemeinsam mit meiner Behörde für die Durchsetzung der DSGVO und vieler weiterer Datenschutzgesetze in Deutschland zu sorgen. Die Selbstbestimmung der Menschen bleibt – auch und gerade in der digitalen Welt – unser gemeinsames Ziel!“

Abbildung: BfDI

Neue Auflage der BfDi-Broschüre „Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen“

BfDI-Informationsbroschüre soll Überblick über die Regelungen der DSGVO und des BDSG bieten

Diese Informationsbroschüre soll demnach dazu beitragen, einen Überblick über die Regelungen der DSGVO und des BDSG zu erhalten. Sie enthält neben den Gesetzestexten und den Erwägungsgründen zur DSGVO Erläuterungen zu einzelnen Themenkomplexen und zu unbestimmten Rechtsbegriffen.

Weitere Informationen zum Thema:

BfDI, 13.08.2025
Datenschutz-Grundverordnung – Bundesdatenschutzgesetz – Texte und Erläuterungen

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 03.09.2024
BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens / BfDI möchte vor allen Dingen lösungsorientierten Umgang beim Thema Datenschutz erreichen

[datensicherheit.de, 01.08.2025] Mittels der Datenschutz-Grundverordnung (DSGVO) hat die Europäische Union (EU) offensichtlich den regulatorischen Druck auf IT- und Sicherheitsprozesse bereits spürbar erhöht. Die neuen NIS-2-Richtlinien verschärften nun diese Tendenz zu mehr „Compliance“ Kritischer Infrastrukturen (KRITIS) und digitaler Prozesse. Organisationen, welche bereits DSGVO-konforme Strukturen etabliert haben, scheinen nun klar im Vorteil zu sein. Ihre Anstrengungen rund um Datenschutz werden nämlich zu De-Facto-Vorarbeiten, um die neuen Anforderungen und Maßnahmen zur Risikoprävention schneller erfüllen zu können. Ricardo José Garrido Reichelt, „Principal Security Technologist EMEA, Office of the CTO“ bei Commvault, erläutert in seiner aktuellen Stellungnahme, welche bestehenden Prozesse sich fortführen lassen, welche neuen Pflichten auf Unternehmen zukommen und wie sich die beiden „Compliance“-Projekte sinnvoll miteinander verzahnen lassen.

Foto: Commvault

Ricardo José Garrido Reichelt: Haben Unternehmen bei DSGVO-Verstößen 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des BSI über gravierende Cybersicherheitsvorfälle innerhalb eines Tages

Mit NIS-2 führt die EU den Kurs IT-Prozesse strenger zu regulieren resolut weiter

Reichelt ruft in Erinnerung: „Sieben Jahre ist es her, dass die DSGVO in Kraft getreten ist. Damit startete 2018 der Trend, IT-Prozesse strenger zu regulieren.“ Mit NIS-2 führe die EU diesen Kurs resolut weiter; die Bundesregierung arbeite an der Umsetzung und habe erst jüngst einen Referentenentwurf des Bundesministeriums des Innern (BMI) von Ende Juni 2025 bekanntgegeben.

• „Auch wenn offen ist, wie NIS-2 hierzulande ein Gesetz wird, das Ziel ist bereits klar: Die Infrastrukturen und digitalen Prozesse in Unternehmen sollen widerstandsfähiger sein. Ein langer Weg und Vorarbeit lohnen sich.“ Wer die Maßgaben der DSGVO schon jetzt entschlossen und zielstrebig verfolgt hat, um Datensicherheit und Datenschutz zu berücksichtigen, habe es leichter, wenn NIS-2 auf die Agenda rückt.

Um die Konsequenzen erfolgreicher Angriffe souveräner abzufedern und effektiver zu beseitigen, müsse Cybersicherheit eine größere Rolle spielen. Der Nachholbedarf sei enorm angesichts der kontinuierlichen Cyberattacken der jüngsten Zeit, welche Datenverluste, große Schäden und sogar Totalausfälle verursachten, auch große Unternehmen träfen und in Einzelfällen sogar in ein Insolvenzverfahren trieben.

Um NIS-2 zum Durchbruch zu verhelfen, ist ebenfalls ein Bußgeldkonzept geplant

Immerhin, so Reichelt: „Dank DSGVO verwenden Datenschutzverantwortliche in der Wirtschaft personenbezogene Daten inzwischen mit mehr Bedacht – nicht zuletzt, da Verstöße zu einer kostspieligen Angelegenheit geworden sind.“ Seit die DSGVO in Kraft getreten ist, verhängten Richter laut der „GDPR Fines and Data Breach Survey“ der Wirtschaftskanzlei DLA Piper Sanktionen in einer Höhe von insgesamt 5,88 Milliarden Euro – in Deutschland seien es allein 2024 über 89,1 Millionen Euro gewesen.

• Um nun NIS-2 zum Durchbruch zu verhelfen, planten die Verantwortlichen ein entsprechendes Bußgeldkonzept. Darüber hinaus sollten Unternehmensinhaber und Geschäftsführer mit ihrem privaten Vermögen bürgen. „Deshalb arbeiten manche Organisationen bereits seit einiger Zeit an der NIS-,Compliance’ und haben sich externe Hilfe ins Boot geholt.“

Experten von KPMG wüssten, dass Unternehmen mit verschiedensten Schwierigkeiten zu kämpfen hätten, da die Vorschrift viel Raum für Interpretation lasse und nur für ein individuelles Unternehmensumfeld zu realisieren sei. „Zu sehr kommt es auf Details an: Welche Organe sind verantwortlich? Wie geht man mit Meldepflichten bei Angriffen um? Wer stellt im Ernstfall die für den Betrieb notwendigen Technologien, Werkzeuge und Ressourcen bereit?“

NIS-2 setzt strengere Maßstäbe zur Meldung von Vorfällen

NIS-2 lege strengere Maßstäbe an, Vorfälle zu melden. Reichelt erläutert: „Haben Unternehmen bei Verstößen gegen die DSGVO 72 Stunden Zeit, fordern die NIS-2-Vorgaben die Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI) über gravierende Cybersicherheitsvorfälle innerhalb eines Tages.“ Notwendige Abläufe sollten also seit dem Inkrafttreten der DSGVO vorhanden sein. „Wer aber die einschlägigen Nachrichtenwege schon vordefiniert hat, tut sich jetzt leichter, diese noch weiter zu beschleunigen.“

• Gleichermaßen wichtig sei es aber zu wissen, welche Informationen über einen Schaden bereitzustellen sind. „Dafür sind automatisierte Prozesse nötig, mit denen IT-Verantwortliche nachvollziehen können, welche Daten im Unternehmen überhaupt vorhanden sind.“ Die zweite Frage, die es zu beantworten gelte, lautet: „Welche Informationen sind für die NIS-2-Compliance zu kategorisieren?“

Reichelt unterstreicht: „Nur wer unverzüglich in die Analyse des Schadens übergehen kann, kann die knappe Meldepflicht einhalten und relevante sowie notwendige Informationen wahrheitsgetreu liefern.“

NIS-2 setzt auch kontinuierliches Testen der Wiederherstellung von Systemen und Daten auf die Agenda

Während die DSGVO eine Datenschutz-Folgenabschätzung (DSFA) für Hochrisikoverarbeitungen beanspruche, erwarte NIS-2 ein Risikomanagement für die IT-Infrastruktur, „wie etwa Risikoanalysen und Strategien für die Beständigkeit der Arbeitsabläufe“. Dafür könnten Unternehmen für die DSGVO implementierte Analyseprozesse verwenden und gleichermaßen ausbauen.

• „Verantwortliche für die IT-Sicherheit sollten etwa ihren Datenbestand auf Gefahren überprüfen. Damit sie ihre produktive IT dabei möglichst wenig beeinträchtigen, rentiert es sich, Sicherungskopien zu überprüfen.“ Auch hierbei ließen sich Auffälligkeiten als Alarmzeichen eines beginnenden Angriffs bereits frühzeitig erkennen und unterbinden.

NIS-2 rufe aber auch das kontinuierliche Testen der „Recovery“ von Systemen und Daten auf die Agenda. „Das Training der Interaktion aller Mitwirkenden kann hierfür in einem digitalen ,Cleanroom’ als einer wirklichkeitsgetreuen Teststruktur anhand der relevanten Assets erfolgen“, erläutert Reichelt. Ergebnis sei dann ein realistisches Zeugnis der „Recovery“-Strategie und ihrer Abläufe.

NIS-2 erfordert, unentbehrliche Prozesse, Anwendungen und Umgebungen für den Notbetrieb zu identifizieren

Essenziell sei es zudem, auch während eines erfolgreichen Angriffs arbeitsfähig zu bleiben – oder es so schnell wie möglich wieder zu werden. „Ein ,Minimum-Viabel-Company’-Ansatz hilft, im Vorfeld genau zu bestimmen, welche Prozesse, Anwendungen und Umgebungen für den Notbetrieb unentbehrlich sind.“

• Im Idealfall träfen die Verantwortlichen in jeder Abteilung eine für ihre spezifischen IT- und Geschäftsprozesse relevante Entscheidung. Ein daraus resultierendes, an einem separaten Ort manipulationsgeschützt gesichertes Notfallpaket sei dann die Basis, um Daten, Applikationen und Systeme in einem digitalen Reinraum sauber wiederherzustellen.

„Gemeinsam arbeiten IT-Ops und Sec-Ops daran, die Produktions-IT gehärtet neu aufzuspielen – und parallel den Angriff, betroffene Informationen sowie die ausgenutzten und existierenden Hintertüren zu untersuchen und zu schließen“, führt Reichelt aus.

DSGVO-Konformität als Vorarbeit für NIS-2 verstehen

Viele Prozesse, die IT-Verantwortliche aus Anlass der DSGVO etabliert haben, ließen sich auch für die NIS-2-„Compliance“ weiterführen:

• Weiterentwicklung der „Governance“-Organisation
  Die DSGVO habe den Datenschutzbeauftragten und andere „Governance“-Strukturen eingeführt. Nun verlange NIS-2 eindeutige Zuständigkeiten für Cybersicherheit – so verpflichtend die Position eines „Chief Information Security Officers“ (CISO) oder vergleichbarer Funktionsträger. Unternehmen könnten die im Rahmen der DSGVO etablierten „Governance“-Strukturen adaptieren oder ausbauen.
• Weiterführung der Sichereitsmaßnahmen
  Die DSGVO fordere unter anderem Standards zu Pseudonymisierung, Verschlüsselung, Authentifikation und Zugangskontrolle. NIS-2 erwarte vergleichbare, aber eher operativ eingestellte Cybersicherheitschecks. Viele der DSGVO-Sicherheitskontrollen realisierten die NIS-2-Vorgaben vollständig oder zumindest zum Teil. So genüge es häufig bereits, vorhandene IT-Sicherheitsmaßnahmen auszubauen.
• Umfassende Dokumentation der Arbeit mit personenbezogenen Daten
  DSGVO-Meldungen müssten dokumentieren, wie Unternehmen Daten verarbeiten und Datenschutz-Folgebewertungen liefern. NIS-2 verlange Belege über Vorfallreaktionen, Sicherheitsrichtlinien und Auditergebnisse. Verantwortliche für die Datensicherheit könnten die für eine DSGVO-„Compliance“ aufgebauten zentralisierten Dokumentationssysteme zum Zweck der NIS-2-Konformität weiterbenutzen und ausbauen.

NIS-2 bietet große Chance, Sicherheitslevel insgesamt zu steigern

Verantwortliche hätten mit NIS-2 viel zu tun. „Doch wer sich bereits für die DSGVO gut aufgestellt hat, kann sich jetzt die erbrachten Vorarbeiten zunutze machen!“

• NIS-2 biete eine große Chance, dass der Sicherheitslevel insgesamt ansteige. „Wer seine Cyberresilienz dadurch stärkt, erarbeitet sich zudem einen klaren Wettbewerbsvorteil!“

Bisher seien Cyberangriffe Alltag. „NIS-2-Compliance mit geprüften und getesteten Strukturen und Prozessen kann es erreichen, echte Cyberresilienz zur Gewohnheit zu machen“, gibt Reichelt abschließend zu bedenken.

Weitere Informationen zum Thema:

Commvault
What Commvault Does for Our Customers / Commvault gives you an unfair advantage to enable resilience in the face of ransomware and other advanced threats in today’s hybrid world – and tomorrow’s

Industrie.de, 27.01.2025
Datenschutzgrundverordnung: Europaweit 1,2 Milliarden Euro DSGVO-Bußgelder in 2024 verhängt

KPMG
Network and Information Systems Directive (NIS2) / What NIS2 means for business: Practical insights from KPMG’s global work

datensicherheit.de, 15.07.2025
Erfahrungsbericht WienIT: Reduzierung des Backup-Datenspeichers um 50 Prozent und NIS-2-Konformität / WienIT sorgt im Hintergrund dafür, dass die IT-Infrastruktur der Wiener Stadtwerke-Gruppe nebst wichtiger Back-Office-Prozesse und Services möglichst reibungslos zur Verfügung steht

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 06.07.2025
NIS-2: Vereinheitlichung der Meldewege für IT-Sicherheitsvorfälle und Datenpannen gefordert / Die unabhängigen Datenschutzaufsichtsbehörden der Länder sprechen sich für deutliche Entlastung der Verantwortlichen bei Erfüllung der NIS-2-Meldepflichten aus

datensicherheit.de, 06.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

[datensicherheit.de, 06.07.2025] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat am 4. Juli 2025 eine Meldung der unabhängigen Datenschutzaufsichtsbehörden der Länder veröffentlicht: Diese sprechen sich demnach für eine deutliche Entlastung der Verantwortlichen bei der Erfüllung der Meldepflichten der neuen NIS-2-Richtlinie in Deutschland aus.

Vereinheitlichung der Meldungen nach neuer NIS-2-Richtlinie und DSGVO

So soll es Betreibern Kritischer Infrastrukturen (KRITIS) ermöglicht werden, mit demselben Prozess sowohl Meldungen nach der neuen NIS-2-Richtlinie als auch nach der Datenschutz-Grundverordnung (DSGVO) einzureichen: Einen Vorschlag für eine entsprechende Gesetzesänderung haben die unabhängigen Datenschutzaufsichtsbehörden der Länder im Rahmen der Länder- und Verbändebeteiligung an das Bundesministerium des Innern (BMI) gesandt.

Meike Kamp, die BlnBDI, kommentiert: „Wenn von einem IT-Sicherheitsvorfall auch personenbezogene Daten betroffen sind, muss dies in der Regel auch den Datenschutzaufsichtsbehörden gemeldet werden. Statt Meldungen doppelt einreichen zu müssen, sollten Unternehmen alle Meldungen in einem Schritt erledigen können.“ Diese Vereinheitlichung würde Bürokratie abbauen, Unternehmen spürbar entlasten und die behördlichen Verfahren beschleunigen.

BSI soll zentrale Meldestelle für Sicherheitsvorfälle nach NIS-2-Richtlinie werden

Zentrale Meldestelle für Sicherheitsvorfälle nach der NIS-2-Richtlinie soll in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden. Die Datenschutzaufsichtsbehörden der Länder schlagen daher vor, dass sie gemeinsam mit dem BSI ein einheitliches digitales Verfahren für Meldungen von Vorfällen entwickeln.

Dieses Verfahren soll sowohl Meldungen nach der NIS-2-Richtlinie als auch nach der DSGVO ermöglichen, soweit ein Sicherheitsvorfall zugleich eine Datenpanne begründet. Dieses würde dann zudem den von den deutschen und europäischen Datenschutzaufsichtsbehörden bereits eingeschlagenen Weg zur Vereinheitlichung des Meldeprozesses nach Art. 33 DSGVO unterstützen.

Hintergrund zu den Meldepflichten nach NIS-2 und DSGVO

Nach der NIS-2-Richtlinie (Richtlinie (EU) 2022/2555) müssen bestimmte KRITIS-Unternehmen Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Bereitstellung ihrer Dienste haben, unverzüglich melden.

Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Die DSGVO verpflichtet verantwortliche Stellen grundsätzlich dazu, eine Datenpanne innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Weitere Informationen zum Thema:

Di Berliner Beauftragte für Datenschutz und Informationsfreiheit, 04.07.2025
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

Bundesministerium des Innern, 24.07.2024
Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung / IT-Sicherheitsvorgaben und Meldepflichten für IT-Sicherheitsvorfälle werden auf mehr Unternehmen in mehr Sektoren ausgeweitet. Die IT-Sicherheit der Bundesverwaltung wird gestärkt.

OpenKRITIS
Meldepflichten

datensicherheit.de, 11.07.2025
NIS-2: DAV-Forderung nach Einbindung der Cloud-Anbieter / Mit der NIS-2-Richtlinie soll ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union EU geschaffen werden

datensicherheit.de, 08.02.2025
NIS-2-Umsetzung: Gesetzgebungsverfahren offenbar vorerst gescheitert / 5 Schritte zur Vorbereitung auf deutsche NIS-2-Umsetzung jetzt für Unternehmen entscheidend – Entscheider sollten ihre neue Verantwortung ernst nehmen

datensicherheit.de, 07.02.2025
Dennis Weyel erinnert im NIS-2-Kontext daran: Firmenleitung haftet bei Cyber-Attacken! / Laut aktueller Manager-Umfrage ist sich nur knapp die Hälfte ihrer Verantwortung für Cyber-Sicherheit bewusst

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber / Nur 37 Prozent der Befragten tatsächlich konform zur NIS-2-Richtlinie

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Meldung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben zahlreiche Datenschutzaufsichtsbehörden haben vom 11. bis zum 13. Juni 2025 einen Workshop zum Thema DSGVO-Zertifizierung veranstaltet: „Aus der ganzen EU sind Experten zusammengekommen und diskutierten, wie DSGVO-Zertifizierung genutzt werden kann, um das Datenschutzniveau europaweit zu verbessern.“

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider rät, DSGVO-Zertifizierung zu fördern und zu leben

DSGVO sieht Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor

Die DSGVO sieht demnach die Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor, welche nachweisen sollen, dass bei Verarbeitungsvorgängen die DSGVO eingehalten wird. Das Genehmigungsverfahren von Zertifizierungskriterien läuft laut BfDI im Rahmen einer Expertengruppe, welche zu diesem Workshop zusammenkam.

Gemeinsam mit Zertifizierungs- und Akkreditierungsstellen sowie Programmeignern sei evaluiert worden, wie Prozesse rund um die Zertifizierung verbessert werden könnten und welche Erfahrungen bereits gemacht wurden.

Datenschutz profitiert, wenn DSGVO-Zertifizierung gefördert und gelebt wird

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, betonte dabei die Bedeutsamkeit von DSGVO-Zertifizierung für alle beteiligten Akteure:

„Betroffene Personen, Unternehmen, Zertifizierungsstellen und auch Datenschutzaufsichtsbehörden profitieren, wenn Zertifizierung gefördert und gelebt wird.“

Weitere Informationen zum Thema:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zertifizierung

datenschutz cert
Zertifizierungen gem. DSGVO – information privacy standard / Was ist ein DSGVO-Zertifikat?

Bayerisches Landesamt für Datenschutzaufsicht
Zertifizierung

datensicherheit.de, 24.03.2025
AUDITOR: Erste DSGVO-Zertifizierung speziell für Cloud-Dienste / Der EDSA und der LDI NRW hatten bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt

[datensicherheit.de, 26.05.2025] Die seit dem 25. Mai 2018 geltende europäische Datenschutz-Grundverordnung (DSGVO) unterliegt offensichtlich einer ambivalenten Wahrnehmung: So fühlen sich laut einer aktuellen Umfrage des Branchenverbands Bitkom e.V. mehr als zwei Drittel der Unternehmen in Deutschland „vom Datenschutz ausgebremst“. 70 Prozent haben demnach bereits mindestens einmal Pläne für Innovationen aufgrund von Datenschutz-Vorgaben oder Unsicherheiten bei der Anwendung des geltenden Rechts gestoppt. Die Umfrage wurde im Bitkom-Auftrag von Bitkom Research durchgeführt: Hierzu seien 605 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch im Zeitraum der Kalenderwochen 10 bis 16 2025 repräsentativ befragt worden.

Abbildung: Bitkom

Bitkom Research: Umfrage zum Thema Datenschutz als Innovationshemmnis

Datenschutz in Deutschland als Digitalisierungs-Bremse Nummer 1

„Vor einem Jahr lag der Anteil noch bei 61 Prozent. Aktuell sagen wie im Vorjahr 17 Prozent, dass sie einmal auf Innovationspläne verzichtet haben.“ Bei 35 Prozent sei dies dagegen bereits „mehrfach“ der Fall (2024: 27%) und bei 18 Prozent sogar „häufig“ (2024: 17%). Diese Zahlen wurden von Bitkom anlässlich des siebten DSGVO-Jahrestages veröffentlicht: Diese gilt seit dem 25. Mai 2018.

„Der Datenschutz hat sich in Deutschland zur Digitalisierungs-Bremse Nummer 1 entwickelt. Durch die hohe Komplexität sowie die Vielzahl von Aufsichtsbehörden und deren unterschiedliche Auslegung des Datenschutzes sind Unternehmen verunsichert und verzichten zu häufig auf datengetriebene digitale Innovationen“, kommentiert der Bitkom-Präsident, Dr. Ralf Wintergerst.

Hohes Datenschutzniveau für wirklich schützenswerte Daten und pragmatische, innovationsfreundliche Regeln für alle sonstigen

Er führt weiter aus: „Damit Deutschland und Europa bei Zukunftstechnologien wie Künstliche Intelligenz oder digitalen Plattformen international in der Spitze dabei sein können, brauchen wir einen neuen Ansatz im Datenschutz: ein hohes Datenschutzniveau für wirklich schützenswerte Daten und pragmatische, innovationsfreundliche Regeln für alle anderen Daten.“

Aktuelle Pläne der EU-Kommission, bei der DSGVO die Freistellung von der Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten auf größere Unternehmen auszuweiten, reichen nach Bitkom-Ansicht nicht aus. „Notwendig wären umfassendere Entlastungen bei Dokumentations- und Berichtspflichten sowie eine stärkere Berücksichtigung technologischer Entwicklungen, etwa bei Künstlicher Intelligenz“, fordert Wintergerst.

Bündelung der Datenschutzaufsicht bei der BfDI – einheitliche DSGVO-Auslegung erhofft

Aktuell führten vielfach redundante Berichtspflichten – etwa durch DSGVO, den „AI Act“ oder den „Data Act“ – zu erheblichem bürokratischem Aufwand, insbesondere bei kleinen und mittleren Unternehmen (KMU). Der hohe Dokumentationsaufwand, unter anderem durch das Verzeichnis von Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen binde Ressourcen, welche für die Innovationen dringend gebraucht würden.

Die im Koalitionsvertrag vorgesehene Bündelung der Datenschutzaufsicht bei der Bundesdatenschutzbeauftragten (BfDI) biete nun die Chance für die dringend notwendige, bundesweit einheitliche Auslegung der DSGVO. „Damit kann es uns gelingen, den Datenschutz stärker an realen Gefahren als an theoretischen Risiken zu orientieren und bei Abwägungen nicht allein den Datenschutz, sondern auch den Verlust von individuellen und gesellschaftlichen Mehrwerten durch Datennutzung zu berücksichtigen“, so Wintergerst abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 18.05.2025
BfDI erläutert ihre Position zum Datenschutz in der Digitalen Ära / Prof. Dr. Louisa Specht-Riemenschneider hat am 13. Mai 2025 beim „26. Datenschutzkongress“ in Berlin eine Keynote gehalten

datensicherheit.de, 10.04.2025
BfDI-Stellungnahme zum Koalitionsvertrag: Bereitschaft zur Bündelung der datenschutzrechtlichen Aufsicht / CDU/CSU und SPD streben laut Entwurf ihres Koalitionsvertrages an, die datenschutzrechtliche Aufsicht über die private Wirtschaft bei der BfDI zu bündeln

[datensicherheit.de, 22.05.2025] Die Datenschutz-Grundverordnung (DSGVO) hat am 25. Mai 2025 ihren siebten Jahrestag. Während die DSGVO nun weiterhin den einheitlichen Rahmen für den Datenschutz in Europa setzt, bringt die zunehmende Nutzung agentenbasierter Künstlicher Intelligenz (KI) neue Herausforderungen für Unternehmen mit sich: Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, erörtert Steve Bradford, „Senior Vice President EMEA“ bei SailPoint, in seiner aktuellen Stellungnahme zum diesjährigen DSGVO-Jahrestag.

Foto: SailPoint

Steve Bradford formuliert Grundsatz: Nur diejenigen Menschen oder KI-Bots dürfen Zugang erhalten, welche ihn unbedingt benötigen!

Agentenbasierte KI verändert Art und Weise, wie Daten verarbeitet und zugänglich gemacht werden

Bradford kommentiert: „Vor sieben Jahren markierte die DSGVO einen Wendepunkt im Datenschutz. Heute, im Zeitalter agentenbasierter KI stehen Unternehmen erneut vor Herausforderungen.“

Die Art und Weise, wie Daten verarbeitet und zugänglich gemacht werden, habe sich grundlegend verändert. Unternehmen müssten daher ihre „Compliance“-Strategien neu überdenken.

Neubewertung der „Governance“-Richtlinien hinsichtlich digitaler Identitäten der KI-Agenten

In der Vergangenheit habe es noch ausgereicht, „wenn ein Unternehmen die Interaktion zwischen Nutzer und Anwendung im Griff hatte – die Identitätssicherheit war damit gewährleistet“. Heute sei es für grundlegende KI-Modelle – und Menschen – ein Leichtes, auf Daten zuzugreifen, ohne zuerst eine Anwendung durchlaufen zu müssen.

Dieser Wandel erfordere eine grundlegende Neubewertung der „Governance“-Richtlinien, um sowohl menschliche Nutzer als auch KI-Agenten als digitale Identitäten zu verwalten.

Kopplung der Berechtigungen für KI-Agenten an menschliche Pendants

„Indem Unternehmen die Berechtigungen von KI-Agenten an die ihrer menschlichen Pendants koppeln, können sie konsistente und sichere Zugriffskontrollen gewährleisten“, so Bradford. Dies trage dazu bei, sensible Daten zu schützen und sicherzustellen, „dass nur diejenigen Menschen (oder Bots) Zugang erhalten, die ihn unbedingt benötigen“.

Schutzmaßnahmen wie diese seien entscheidend, um das Risiko von Sicherheitsverletzungen zu verringern, und sollten eine zentrale Rolle in der Cybersecurity-Risiko-Managementstrategie jedes Unternehmens spielen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

datensicherheit.de, 25.05.2023
5 Jahre DSGVO: Professor Kelber zieht positives Fazit / Datenschutz-Grundverordnung (DSGVO) ein europäisches Erfolgsmodell

datensicherheit.de, 20.05.2022
4. DSGVO-Jahrestag: Für Unternehmen wurde Datenschutz zu einer der Top-Prioritäten / Geld-Bußen für Unternehmen, welche bei der Verarbeitung von Daten und der Kommunikation von Entscheidungen zweideutig oder intransparent agierten

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 25.05.2021
Kleines DSGVO-Jubiläum: Cloud-Nutzung als Herausforderung für Unternehmen / Datenspeicherung au0erhalb der EU bereitet DSGVO-Probleme

[datensicherheit.de, 19.05.2025] Der Verbraucherzentrale Bundesverband (vzbv) moniert in seiner Stellungnahme vom 19. Mai 2025, dass die Europäische Kommission für einen Großteil von Unternehmen die Pflicht zur Datenschutzdokumentation aufzuweichen plant. Dies gehe aus einem bislang unveröffentlichten Entwurf zur Änderung der Datenschutzgrundverordnung (DSGVO) hervor. Der vzbv kritisiert diese Pläne: „Jede Aufweichung – so klein sie auch erscheinen mag – würde die Tür für weitere Aushöhlungen des Datenschutzes öffnen.“

Abbildung: verbraucherzentrale Bundesverband

vzbv-Kurzstellungnahme zu Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen

DSGVO stellt Europas digitale Wirtschaft auf ein verlässliches Fundament

Laut Michaela Schröder, vzbv-Geschäftsleiterin „Verbraucherpolitik“, sind Verbraucher täglich davon betroffen, dass ihre persönlichen Daten verarbeitet werden – auch von kleinen Unternehmen. Die warnt daher: „Wenn diese Unternehmen nicht mehr systematisch dokumentieren müssen, wie sie Daten verarbeiten, fehlt eine wichtige Grundlage, um mögliche Risiken für die Rechte der Betroffenen frühzeitig zu erkennen!“

Das Vorhaben der Europäischen Kommission könnte in der Folge zu weiterführenden Änderungsvorschlägen führen, was wiederum ein weltweit beachtetes Erfolgsmodell gefährden würde: Die DSGVO schaffe Vertrauen – und schütze nicht nur Verbraucher: „Vielmehr stellt sie Europas digitale Wirtschaft auf ein verlässliches Fundament.“

Geplante Lockerung der DSGVO-Dokumentationspflicht ein Irrweg

Die geplante Lockerung der DSGVO-Dokumentationspflicht sei der falsche Weg, daher fordert der vzbv gemeinsam mit zahlreichen europäischen Organisationen in einem Offenen Brief:

• Keine pauschalen Ausnahmen von der Dokumentationspflicht!
• Stattdessen: Gezielte Unterstützung von kleineren und mittelständischen Unternehmen bei der Erstellung datenschutzrechtlicher Dokumente mithilfe von praxistauglichen Tools – etwa Online-Generatoren für die Dokumentation risikoarmer Verarbeitungen!
• Die DSGVO stärken und eben nicht schwächen – als globales Vorbild für fairen, innovationsfreundlichen Datenschutz!

Europäische Kommission plant Änderung von Artikel 30 Absatz 5 DSGVO

Die Europäische Kommission plant demnach eine Änderung von Artikel 30 Absatz 5 der DSGVO. Der vzbv wurde von der Europäischen Kommission im Rahmen seiner Mitgliedschaft in der von ihr berufenen Expertengruppe zur Anwendung der DSGVO zum Entwurf konsultiert.

• Künftig würden Unternehmen kein Verzeichnis ihrer Verarbeitungstätigkeiten mehr führen müssen, wenn ihre Datenverarbeitungen voraussichtlich kein hohes Risiko für die Rechte der Betroffenen mit sich bringen – bislang spricht die DSGVO von einem wahrscheinlichen Risiko.
• Außerdem solle die Ausnahme nicht mehr wie bisher nur für KMU mit bis zu 250 Mitarbeitern gelten, sondern auch für „small mid-caps“ mit bis zu 500 Beschäftigten und nicht mehr als 100 Millionen Euro Jahresumsatz sowie einer Bilanzsumme von maximal 86 Millionen Euro.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 07.05.2025
DOKUMENTATION ALS PFEILER DER RISIKOBEWERTUNG UND DER RECHENSCHAFTSPFLICHT / Kurzstellungnahme des Verbraucherzentrale Bundesverbands (vzbv) zu den Vorschlägen der Europäischen Kommission für eine Vereinfachung der Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten entsprechend Artikel 30 Absatz 5 der DSGVO zu führen.

EDRi European Digital Rights, 19.05.2025
Reopening the GDPR is a threat to rights, accountability, and the future of EU digital policy

datensicherheit.de, 14.03.2025
Untersuchung von Cyberattacken und DSGVO-Bußgeldern

[datensicherheit.de, 27.03.2025] Der Bundesgerichtshof (BGH) hat am 27. März 2025 abschließend festgestellt, dass Meta in seinem App-Center für kostenlose Spiele gegen Datenschutzrecht verstoßen hat. Hintergrund dieses Urteils ist eine Klage des Verbraucherzentrale Bundesverbands (vzbv), „bei der es aus auch um die Klagebefugnis von Verbraucherverbänden bei Datenschutzverstößen ging“. Jutta Gurkmann, Geschäftsbereichsleiterin „Verbraucherpolitik“ des vzbv, kommentiert das Urteil in ihrer aktuellen Stellungnahme.

Im „facebook“-App-Center laut BGH Verbraucher-Datenschutzrechte missachtet

Nun stehe fest, dass Meta in seinem „facebook“-App-Center Datenschutzrechte von Verbrauchern missachtet habe. „Das BGH-Urteil stärkt den Verbraucherschutz im digitalen Verbraucheralltag“, betont Gurkmann. Viel zu oft stünden Verbraucher „datenhungrigen Anbietern im Internet“ hilflos gegenüber.

Immer wieder ignorierten Anbieter Datenschutzpflichten und damit -rechte der Verbraucher. Hier würden neben den Datenschutzbehörden „starke klagebefugte Verbraucherschutzverbände“ an der Seite der Verbraucher benötigt.

Vom BGH eingebundener EuGH bestätigte vzbv-Klagebefugnis

Der hatte Facebook Ireland (jetzt Meta Platforms Ireland) bereits im Jahr 2012 verklagt – dabei ging es um Datenschutzverstöße im Spiele-Center dieses Sozialen Netzwerks. Meta (Facebook) habe sich beispielsweise das Recht herausgenommen, Nutzerdaten wie die E-Mail-Adresse und weitere private Account-Informationen an Spieleanbieter weiterzugeben.

„Die Vorinstanzen bejahten den Verstoß. Jedoch wurde vom BGH hinterfragt, ob der vzbv in solchen Fällen klagebefugt ist.“ Dies habe der vom BGH eingebundene EuGH dann im Juli 2024 auch für Fälle bestätigt, in denen es um die Verletzung von Informationspflichten aus der Datenschutzgrundverordnung (DSGVO) geht. „Bereits 2022 bestätigte der EuGH die Klagebefugnis bei Verstößen gegen die DSGVO.“ Mit dem aktuellen Urteil habe der BGH nun die vorangegangenen Urteile des EuGH auf den konkreten Fall angewendet.

Weitere Informationen zum Thema:

Bundesgerichtshof, 27.03.2025
Verbraucherschutzverbände und Mitbewerber sind befugt, Verstöße gegen das Datenschutzrecht im Wege einer wettbewerbsrechtlichen Klage vor den Zivilgerichten zu verfolgen / Nr. 059/2025 / Urteil vom 27. März 2025 – I ZR 186/17

datensicherheit.de, 09.12.2024
Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein / Mit der vzbv-Sammelklage gegen „facebook-“Betreiber können Ansprüche teilnehmender Betroffener vor Verjährung bewahrt werden

datensicherheit.de, 10.12.2018
Datenschutz: Verbraucherverbände brauchen laut vzbv starkes Verbandsklagerecht / verbraucherzentrale Bundesverband publiziert Stellungnahme „ZU EINEM FAIREN WETTBEWERB GEHÖRT AUCH DER DATENSCHUTZ“

[datensicherheit.de, 24.03.2025] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. wurde – nachdem der Europäische Datenschutzausschuss (EDSA) und die Datenschutz-Aufsichtsbehörde LDI NRW bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt haben – jetzt der letzte Schritt zum Einsatz am Markt vollzogen: Die Deutsche Akkreditierungsstelle (DAkkS) hat demnach die datenschutz cert GmbH als erste Zertifizierungsstelle akkreditiert. Diese Akkreditierung soll bestätigen, dass die datenschutz cert GmbH die Anforderungen für die Konformitätsbewertung von „Cloud“-Diensten erfüllt und somit berechtigt ist, die Datenschutz-Zertifizierung „AUDITOR“ zu vergeben.

Andreas Weiss, eco, Foto: eco – Verband der Internetwirtschaft e.V.

Andreas Weiss sieht in „AUDITOR“ Stärkung der europäischen Datenhoheit und mehr Rechtssicherheit

„AUDITOR“-Zertifizierung im Rahmen eines BMWK-Projektes gefördert

Diese „AUDITOR“-Zertifizierung wurde laut eco im Rahmen eines vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes von einem Expertenkonsortium unter der Führung des Karlsruher Instituts für Technologie (KIT) und der Universität Kassel entwickelt und stellt die erste speziell auf „Cloud“-Dienste zugeschnittene Zertifizierung gemäß Art. 42 der Datenschutzgrundverordnung (DSGVO) dar.

Das Verfahren sei bereits in der Praxis anhand mehrerer „Use-Cases“ erprobt und validiert und von der DAkkS, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und dem Europäischen Datenschutzausschuss (EDSA) geprüft worden. „Cloud“-Dienst-Anbieter können jetzt das „AUDITOR“-Zertifikat nutzen, um die Einhaltung der Vorgaben der DSGVO am Markt nachzuweisen.

Zertifizierung „AUDITOR“ nach DSGVO-Maßgabe im Interesse aller Beteiligten

• „Cloud“-Anbieter können mit einer Zertifizierung Sicherheit und Transparenz bieten.
• „Cloud“-Kunden dürfen nur mit solchen „Cloud“-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können.
• Der Schutz personenbezogener Daten von Endverbrauchern steht im Mittelpunkt der „AUDITOR“-Zertifizierung von „Cloud“-Diensten.

Unabhängige Prüfungen und Zertifizierungen lassen „Cloud“-Kunden gezielt mit Anbietern nachweislich hoher Datenschutzstandards zusammenarbeiten

Unabhängige Prüfungen und Zertifizierungen hätten sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, „dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind“. Andreas Weiss, Geschäftsführer des eco – Verband der Internetwirtschaft e.V. kommentiert abschließend:

„Mit ,AUDITOR’ haben wir endlich eine speziell für ,Cloud’-Dienste entwickelte Zertifizierung nach DSGVO-Standards. Das stärkt die europäische Datenhoheit und bietet Anwendern, Unternehmen und öffentlichen Institutionen mehr Rechtssicherheit. ,Cloud’-Kunden können so gezielt mit Anbietern zusammenarbeiten, die nachweislich hohe Datenschutzstandards erfüllen.“

Weitere Informationen zum Thema:

Trusted Cloud
Die Datenschutzzertifizierung des Kompetenznetzwerks Trusted Cloud e.V.

DAkkS, 25.02.2025
datenschutz cert GmbH

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

[datensicherheit.de, 07.03.2025] Laut einer aktuellen Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dr. Dieter Kugelmann, hat der Europäische Datenschutzausschuss (EDSA) am 5. März 2025 seine europaweite Prüfaktion „Coordinated Enforcement Framework“ (CEF) für das Jahr 2025 gestartet. Der LfDI RLP beteiligt sich demnach mit weiteren deutschen Datenschutzaufsichtsbehörden an dieser Initiative, „die in diesem Jahr die Umsetzung des Rechts auf Löschung in den Blick nimmt“. Insgesamt nähmen 32 Datenschutzaufsichtsbehörden aus Europa teil.

Recht auf Löschung nach Art. 17 DSGVO eines der am häufigsten ausgeübten Datenschutzrechte

Das Recht auf Löschung (Art. 17 DSGVO) sei eines der am häufigsten ausgeübten Datenschutzrechte und eines, zu dem bei den Datenschutzaufsichtsbehörden viele Beschwerden eingingen. Ziel dieser koordinierten Aktion sei es unter anderem, die Umsetzung dieses Rechts in der Praxis zu bewerten.

Dies werde anhand eines gemeinsam erarbeiteten Fragebogens – beispielsweise durch die Analyse und den Vergleich der von verschiedenen Verantwortlichen eingerichteten Verfahrensweisen – erfolgen. Dadurch sollten die wichtigsten Punkte bei der Einhaltung dieses Rechts ermittelt sowie ein Überblick über bewährte Verfahrensabläufe gewonnen werden.

Von Erkenntnissen und Empfehlungen der Aktion sollen Betroffene wie auch datenschutzrechtlich Verantwortliche profitieren

Professor Kugelmann gibt einen Ausblick auf die Aktion: „Gerade bei den Betroffenenrechten sind einheitliche Standards in ganz Europa wichtig, denn um deren Grundrechte geht es. Die letztjährige Aktion zum Auskunftsrecht hat gezeigt, dass das ,Coordinated Enforcement Framework’ für diese Kooperationsaufgabe ein hervorragendes Instrument ist.“

Deshalb beteilige sich der LfDI RLP gerne an diesen Aktionen. „Wir sind gespannt, wie die Verantwortlichen in Rheinland-Pfalz, die wir befragen werden, zum Recht auf Löschung aufgestellt sind.“ Von den Erkenntnissen und Empfehlungen aus der Aktion würden sowohl die Betroffenen als auch die datenschutzrechtlich Verantwortlichen in Rheinland-Pfalz profitieren.

Europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche

Kerninstrument der gemeinsamen Initiative sei ein europaweit abgestimmter Fragebogen zur Umsetzung des Rechts auf Löschung durch Verantwortliche. „In Deutschland nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg, Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz sowie die Bundesbeauftragte teil.“

Die Ergebnisse der gemeinsamen Initiative würden im Rahmen des EDSA analysiert und nach Abschluss in einem Bericht veröffentlicht. Die koordinierte Aktion zum Recht auf Löschung sei die vierte Initiative im Rahmen des CEF, welches darauf abziele, die Durchsetzung der Datenschutz-Grundverordnung und die Zusammenarbeit zwischen Datenschutzbehörden innerhalb der EU zu verbessern. Frühere koordinierte Aktionen hätten sich mit dem Recht auf Auskunft (2024), der Benennung und der Rolle von Datenschutzbeauftragten (2023) sowie der Nutzung von „Cloud“-Diensten durch den öffentlichen Sektor (2022) befasst.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 10.10.2024
CEF 2025: EDPB selects topic for next year’s Coordinated Action