[datensicherheit.de, 07.12.2025] Roland Stritt, CRO beim deutschen Hard- und Softwarehersteller FAST LTA, kommentiert den Umstand, dass Bundestag und Bundesrat das NIS-2-Umsetzungsgesetz verabschiedet haben: „Damit startet für rund 30.000 Unternehmen in Deutschland eine verpflichtende Umsetzungsphase, die keine Verzögerungen zulässt!“ Die Vorgaben gelten demnach für viele Organisationen in „wichtigen“ und „kritischen“ Sektoren und reichten deutlich weiter als bisherige KRITIS-Regelungen. „Ob ein Unternehmen betroffen ist, hängt von seiner Rolle und Tätigkeit im jeweiligen Bereich ab“, betont Stritt und erläutert, welche Aufgaben nun auf rund 30.000 Unternehmen warten:

Foto: FAST LTA

Roland Stritt: Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!

NIS-2-Anforderungen sollen Resilienz der Unternehmen erhöhen und Sicherheit zentraler Dienstleistungen stärken

Unternehmen müssten sich innerhalb von drei Monaten nach den gesetzlichen Vorgaben registrieren. „Die Umsetzungspflichten gelten sofort, es gibt keinen Aufschub und keine Schonfrist!“

• Diese umfassten eine klare „Scope“-Definition, ein wirksames Risikomanagement, feste Meldewege und umfassende Cybersecurity-Maßnahmen.

„Die Anforderungen sollen die Resilienz der Unternehmen erhöhen und die Sicherheit zentraler Dienstleistungen stärken“, so Stritt.

Nach NIS-2 stehen noch weitere Regulierungen an

Parallel liefen weitere regulatorische Prozesse an. Das „KRITIS-Dachgesetz“ befinde sich in Vorbereitung und sehe verschärfte physische und digitale Schutzmaßnahmen vor. Es bringe neue Meldepflichten und eine zusätzliche Aufsicht durch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

• „Im Energiesektor werden neue IT-Sicherheitskataloge der Bundesnetzagentur erwartet. Sie sollen NIS-2 und das KRITIS-Dachgesetz zusammenführen und Nachweispflichten aus dem Energiewirtschaftsgesetz einbinden.“

„Cloud“- und IT-Dienstleister müssten zudem den „EU Implementing Act“ erfüllen. „Die Vorgaben aus § 30 BSIG-E decken diese Anforderungen nicht ab.“ Auch die „KRITIS-Verordnung“ werde überarbeitet. Welche Sektoren und Schwellenwerte künftig gelten, sei aktuell noch offen.

Wegen verspäteter NIS-2-Umsetzung EU-Vertragsverletzungsverfahren gegen Deutschland

„Die EU beobachtet die Entwicklung genau. Wegen der verspäteten Umsetzung läuft ein Vertragsverletzungsverfahren gegen Deutschland“, erläutert Stritt. Andere EU-Mitgliedstaaten warteten auf ein deutsches Gesetz, welches als Orientierung dienen könnte.

• „Die regulatorische Welle nimmt Tempo auf: Für Unternehmen zählt jetzt nicht mehr, ob sie handeln, sondern wie schnell und wie wirksam!“ Cybersecurity und Resilienz seien indes keine reine „Compliance“-Aufgabe. Sie würden zum festen Bestandteil der Geschäftsstrategie und zum Wettbewerbsfaktor.

Stritt gibt abschließend zu bedenken: „Wir empfehlen, die neuen Vorgaben frühzeitig in eine übergreifende Sicherheits- und Datenstrategie einzubetten! Unternehmen, die früh planen, sichern sich klare Vorteile.“

Weitere Informationen zum Thema:

FAST LTA
Hallo. Unsere Produkte und Services helfen unseren mittelständischen Kunden, Datensicherung und Datenmigration zu vereinfachen, rechtliche und regulatorische Risiken zu minimieren, und das langfristige Risiko, Daten zu verlieren, zu verringern.

CRN.DE, Folker Lück, 10.06.2025
Neuer Vertriebschef für Fast LTA / Der On-Premises Enterprise-Storage-Lösungsanbieter Fast LTA GmbH hat Roland Stritt mit Wirkung zum 1. Mai 2025 zum Chief Revenue Officer (CRO) ernannt. Damit verantwortet Roland Stritt künftig die Bereiche Vertrieb und Marketing. Er soll die strategische Ausrichtung im europäischen Markt voranbringen.

datensicherheit.de, 06.12.2025
Cybersicherheitsrecht verschärft: NIS-2-Umsetzungsgesetz ab 6. Dezember 2025 wirksam / Mit Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut BSI „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 13.11.2025
NIS-2 in Deutschland: Später Start erfordert nun Vertrauen und Klarheit zu schaffen / Die Umsetzung der NIS-2-Richtlinie steht unmittelbar auf der Agenda – die neuen Vorgaben sollen ohne Übergangsfrist gelten

[datensicherheit.de, 06.12.2025] Mit der Verkündung des „Gesetzes zur Umsetzung der NIS-2-Richtlinie“ und Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt laut einer Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ab dem 6. Dezember 2025 „eine umfassende Modernisierung des Cybersicherheitsrechts“ in Kraft. Dieses Gesetz erhöhe die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Foto: BMI, Hennig Schacht

BSI-Präsidentin Claudia Plattner warnt: Die Cybersicherheitslage Deutschlands ist angespannt – insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar!

Inkrafttreten des NIS-2-Umsetzungsgesetzes erweitert BSIG Anwendungsbereich deutlich

Die nationale Umsetzung der EU-Richtlinie erfolgt demnach insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen müssten selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch das BSI beaufsichtigten Einrichtungen gehören, „für welche neue gesetzliche Pflichten in der IT-Sicherheit gelten“.

• Bislang seien etwa 4.500 Organisationen durch das BSI-Gesetz reguliert worden – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und „Unternehmen im besonderen öffentlichen Interesse“ (UBI).

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes werde der Anwendungsbereich des BSIG deutlich erweitert: „Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Schwellenwerte mit Blick auf Mitarbeiter, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien ,wichtige Einrichtungen’ und ,besonders wichtige Einrichtungen’.“

Auch Einrichtungen der Bundesverwaltung fallen unter das NIS-2-Umsetzungsgesetz

Diese Unternehmen müssten fortan auch drei zentralen Pflichten nachkommen: Sie seien gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren, dem BSI erhebliche Sicherheitsvorfälle zu melden und Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren! KRITIS-Betriebe gälten automatisch als „besonders wichtige Einrichtungen“.

• Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind laut BSI Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts.

Von den Einrichtungen der Bundesverwaltung verlange das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf „IT-Grundschutz“-Basis. Zusätzlich müsse die Bundesverwaltung die BSI-Mindeststandards einhalten. Weitere Informationen zu den Pflichten, welche das NIS-2-Umsetzungsgesetz der Bundesverwaltung auferlegt, sind auf der BSI-Website abrufbar.

BSI-Präsidentin erwartet von NIS-2-Umsetzung deutliche Stärkung der Resilienz unseres Landes

Die BSI-Präsidentin, Claudia Plattner, kommentiert: „Die Cybersicherheitslage Deutschlands ist angespannt: Insbesondere durch schlecht geschützte Angriffsflächen ist die Bundesrepublik im Digitalen Raum verwundbar! Das novellierte BSI-Gesetz ist eine starke Antwort auf diese Entwicklung: Es wird dazu führen, dass sich die Resilienz unseres Landes spürbar und messbar verbessert.“

• Das BSI sieht für Einrichtungen in Deutschland, die von der NIS-2-Richtlinie betroffen sind, einen zweistufigen Registrierungsprozess vor: Zunächst müsse eine Anmeldung beim digitalen Dienst „Mein Unternehmenskonto“ (MUK) erfolgen. Dabei handele es sich um ein Nutzerkonto im Sinne des Onlinezugangsgesetzes (OZG). Es diene juristischen Personen als Zugang zu digitalen Dienstleistungen der Verwaltung und stelle das geschäftliche Pendant zur personenbezogenen BundID dar. MUK basiere auf der „ELSTER“-Technologie und nutze „ELSTER“-Organisationszertifikate, welche üblicherweise bereits in Steuerverfahren genutzt werden. Weitere Informationen zur Registrierung bei MUK stellt das BSI online bereit.

Das BSI empfiehlt, ein eigenes Konto unter der Rubrik „Mein Unternehmenskonto“ bis spätestens zum Jahresende 2025 anzulegen, um sich im zweiten Schritt ab Anfang 2026 mit dem MUK-Nutzerkonto beim u.a. für NIS-2 neu entwickelten BSI-Portal zu registrieren. Dieses BSI-Portal sollam 6. Januar 2026 freigeschaltet werden und u.a. als Meldestelle für erhebliche Sicherheitsvorfälle dienen. „Meldepflichtige Einrichtungen, die von NIS-2 betroffen sind und vor Registrierung im BSI-Portal einen erheblichen Sicherheitsvorfall erleiden, melden diesen dem BSI über ein Online-Formular; KRITIS und Bundesbehörden nutzen vorübergehend ihre bisherigen Meldewege.“

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Auftrag: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland

Bundesamt für Sicherheit in der Informationstechnik
NIS-2-Betroffenheitsprüfung

Bundesamt für Sicherheit in der Informationstechnik
#nis2know für Unternehmen: Viele Unternehmen und Einrichtungen, die mit NIS-2 erstmals durch das BSI reguliert werden, stehen vor der Frage, was sie jetzt tun müssen. / Lesen Sie hier, auf welche neuen Pflichten Sie sich einstellen müssen.

Bundesamt für Sicherheit in der Informationstechnik
#nis2know: NIS-2-Meldepflicht / NIS-2-betroffene Unternehmen müssen dem BSI erhebliche Sicherheitsvorfälle melden

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Informationssicherheit mit System

Bundesamt für Sicherheit in der Informationstechnik
Mindeststandards des BSI nach § 8 Abs. 1 Satz 1 BSIG

Bundesamt für Sicherheit in der Informationstechnik
Das NI2-Umsetzungsgesetz in der Bundesverwaltung

Bundesamt für Sicherheit in der Informationstechnik
Mein Unternehmenskonto (MUK) / Erster Schritt der NIS-2-Registrierung

Bundesamt für Sicherheit in der Informationstechnik, Melde- und Informationsportal
Meldung ohne Registrierung abgeben/ Bitte wählen Sie zunächst die Meldestelle, bei der Sie eine Meldung abgeben möchten. Anschließend werden Ihnen die verfügbaren Formulare angezeigt.

Bundesgesetzblatt, BGBl. 2025 I Nr. 301, 05.12.2025
Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung

MEIN UNTERNEHMENS-KONTO
Das Unternehmenskonto auf Basis von ELSTER / Die digitale Identität für Unternehmen in Deutschland

datensicherheit.de, 15.11.2025
NIS-2-Herausforderung: Deutscher Mittelstand im Spannungsfeld zwischen Eigenwahrnehmung und Bedrohungslage / Einerseits bewerten Unternehmen ihren eigenen IT-Sicherheits-Reifegrad als „hoch“, sind jedoch einer hohen Zahl schwerwiegender Vorfälle ausgesetzt

datensicherheit.de, 15.11.2025
NIS-2-Umsetzung überfällig, uneinheitlich und mit begrenzter Wirkungsmächtigkeit / Der Beschluss des Deutschen Bundestages vom 13. November 2025 zur Umsetzung der EU-NIS-2-Richtlinie wird von vielen Kommentatoren begrüßt – aber kritische Anmerkungen bleiben dennoch nicht aus

datensicherheit.de, 13.11.2025
NIS-2-Umsetzung im Bundestag beschlossen / Ambivalente Einschätzung des Digitalverbands Bitkom zur NIS-2-Umsetzung – Rechtssicherheit für Unternehmen erhofft, Neuregelungen für den Einsatz sogenannter Kritischer Komponenten könnten aber Investitionsentscheidungen negativ beeinflussen

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 04.12.2025] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. befürworten weite Teile der deutschen Wirtschaft eine Reform der europäischen Datenschutz-Grundverordnung (DSGVO): „79 Prozent der Unternehmen fordern von der deutschen Politik, dass sie eine DSGVO-Reform auf europäischer Ebene vorantreibt, 71 Prozent sind der Meinung, die DSGVO müsse gelockert werden.“ Die EU-Kommission habe mit dem „digitalen Omnibus“ zuletzt Reformen der inzwischen seit sieben Jahren angewendeten europäischen Datenschutz-Regeln vorgeschlagen.

Foto: Bitkom e.V.

Susanne Dehmel: Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen!

77 Prozent sehen Datenschutz als Hemmnis für die Digitalisierung in Deutschland

Zugleich wachse die Belastung der Unternehmen durch den Datenschutz weiter: Bei rund zwei Dritteln (69%) habe der Aufwand im vergangenen Jahr weiter zugenommen, inzwischen bezeichneten ihn 97 Prozent als „sehr hoch“ oder „eher hoch“. Dies sind demnach Ergebnisse einer Befragung von 603 Unternehmen ab 20 Beschäftigten im Bitkom-Auftrag.

• 72 Prozent beklagten, dass man es mit dem Datenschutz in Deutschland übertreibe – vor einem Jahr seien es noch 64 Prozent gewesen – und sogar 77 Prozent sagten, der Datenschutz hemme die Digitalisierung in Deutschland (2024: 70%).

„Diese Bewertung der Unternehmen sollten wir ernst nehmen und einen sowohl effektiven als auch praxistauglichen Datenschutz für die digitale Gesellschaft ermöglichen. Mit dem ,digitalen Omnibus’ hat die EU-Kommission wichtige Schritte angestoßen, um Alltagsprobleme im Umgang mit dem Datenschutz zu verringern. Doch die strukturellen Hürden bleiben“, kommentiert Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung.

Datenschutz wird als belastende Dauerbaustelle empfunden

Dehmel führt weiter aus: „In vielen Branchen herrscht Rechtsunsicherheit, etwa bei Einwilligungen, die nicht nur dokumentiert, sondern auch rechtssicher formuliert und geprüft werden müssen. Die Vielzahl komplexer Datenschutzvorschriften schafft aufwändige und teils bürokratische Prozesse in Unternehmen. Hier braucht es dringend Klarheit und Entlastung!“

• Für die Unternehmen seien die größten Herausforderungen bei der Umsetzung von Datenschutzvorgaben, dass dieser Prozess nie abgeschlossen sei (86%) sowie die Unsicherheit zu genauen Vorgaben der DSGVO (82%). Dazu kämen immer wiederkehrende Prüfungen beim Ausrollen neuer „Tools“ (77%).

Dahinter folgten mit etwas Abstand aus Sicht der Unternehmen allgemein zu hohe Anforderungen (69%), die uneinheitliche Auslegung innerhalb der EU (54%), mangelnde Beratung durch Aufsichtsbehörden (54%), sich widersprechende rechtliche Vorgaben (53%) und eine uneinheitliche Auslegung innerhalb Deutschlands (37%). „Die Unternehmen erleben eine Dauerbelastung durch den Datenschutz, der knappe Ressourcen bindet, die an anderer Stelle fehlen“, warnt Dehmel.

DSGVO beschert Unternehmen auch interne Herausforderungen

Aber auch innerhalb der Unternehmen gebe es Herausforderungen, vor allem die notwendige Zeit für erforderliche IT- und Systemumstellungen (50%) und den Aufwand, Beschäftigten die komplexen Anforderungen verständlich zu machen (46%). Dazu kämen ein Mangel an qualifizierten Beschäftigten für die Datenschutz-Umsetzung (38%), fehlende finanzielle Mittel (31%) und die unzureichende Einbindung der Datenschutzbeauftragten (25%). Am Ende rangiere mit nur zwölf Prozent die fehlende Unterstützung im Unternehmen für Datenschutz.

• An diesen Stellen wünschten sich die Unternehmen auch Nachbesserungen der DSGVO: Jeweils rund drei Viertel möchten, dass die Dokumentationspflicht von Verarbeitungstätigkeiten reduziert (76%) und das Verbot mit Erlaubnisvorbehalt abgeschafft (73%) würden. Je sechs von zehn Unternehmen plädierten für eine vereinfachte Nutzung pseudonymisierter Daten (63%), eine verpflichtende praxisnähere Beratung durch die Aufsichtsbehörden (62%), mehr Rechtssicherheit bei der Interessenabwägung (61%) und weniger Informationspflichten (60%).

Für 54 Prozent sollte mehr Datenverarbeitung ohne Einwilligung ermöglicht, für 53 Prozent der Prüfaufwand für Datenschutzfolgeabschätzungen verringert werden. Ein Drittel (33%) möchte die Pflicht zur Benennung eines Datenschutzbeauftragten abschaffen. „Es geht den Unternehmen darum, die DSGVO nach sieben Jahren praxistauglich zu machen“, erläutert Dehmel und fordert: „Datenschutz muss verständlich und anwendbar sein!“

Kein Unternehmen frei von Problemen aufgrund des Datenschutzes

Die Wünsche spiegelten wider, wo aktuell der größte Aufwand bei der Umsetzung des Datenschutzes in den Unternehmen entstehe. Bei 73 Prozent seien dies die Dokumentationspflicht von Verarbeitungstätigkeiten sowie die technische Implementierung (69%).

• Dahinter folgen fast gleichauf die Klärung rechtlicher Anforderungen (57%), die Abstimmung mit externen Dienstleistern (54%) sowie die Erfüllung von Informationspflichten (53%).

43 Prozent würden die Sicherstellung der Betroffenenrechte, je 36 Prozent die Schulung der Beschäftigten und die Bewertung von Datenschutzverstößen, 33 Prozent den Aufbau interner Datenschutzkompetenzen und 25 Prozent die Benennung eines Datenschutzbeauftragten nennen. Kein Unternehmen gebe an, frei von Problemen aufgrund des Datenschutzes zu sein.

Unternehmen überziehen beim Datenschutz eher – aus Angst, gegen die DSGVO zu verstoßen

Aber nicht nur bei den Datenschutzregeln werde Reformbedarf gesehen – es gebe auch Kritik an den Aufsichtsbehörden: Rund zwei Drittel (69%) der Unternehmen beklagten, dass die deutschen Datenschutzbehörden die DSGVO zu streng anwendeten.

• Eine Folge: „Die Unternehmen überziehen beim Datenschutz aus Angst, gegen die DSGVO zu verstoßen (62%).“ Die Unternehmen plädierten mit knapper Mehrheit dafür, die Datenschutzaufsicht auf Bundesebene zu zentralisieren. 53 Prozent befürworteten den Vorschlag, 42 Prozent seien dagegen.

„Die Diskussion über eine Reform der Datenschutzaufsicht in Deutschland ist wichtig. Angesichts der Vielzahl von Herausforderungen, vor denen die Unternehmen stehen, müssen wir die Ressourcen der Behörden bestmöglich einsetzen und insbesondere für eine gute Beratung sowie für eine einheitliche Auslegung und Durchsetzung sorgen“, unterstreicht Dehmel.

Ein Viertel der befragten Unternehmen hatte Datenschutzverstöße

Datenschutzverstöße hätten in den Unternehmen zumeist Konsequenzen. Ein Viertel der Unternehmen räume sie für die vergangenen zwölf Monate ein: Bei 19 Prozent habe es einen Verstoß gegeben – bei sechs Prozent sogar mehrere. 59 Prozent hätten keine Datenschutzverstöße gehabt, 16 Prozent wollten oder könnten keine Angaben machen. 57 Prozent der Unternehmen, bei denen es zu Datenschutzverstößen kam, hätten diese an die Aufsicht gemeldet, 29 Prozent hätten keine Meldungen gemacht und 14 Prozent wollten oder könnten dazu keine Angabe machen.

• Rund jedes zweite Unternehmen mit Datenschutzverstößen nenne diese „sehr schwerwiegend“ (16%) oder „eher schwerwiegend“ (32%). Bei 23 Prozent seien sie eher „nicht schwerwiegend“, bei 19 Prozent „überhaupt nicht schwerwiegend“ gewesen – und jedes Zehnte (10%) könne oder wolle dazu keine Angaben machen.

Fragt man nach den Folgen des größten Datenschutzverstoßes der vergangenen zwölf Monate, dann würden 93 Prozent den organisatorischen Aufwand nennen. Mit deutlichem Abstand folge dahinter ein Bußgeld (51%). 18 Prozent hätten Kunden verloren, sieben Prozent Schadenersatz zahlen und ebenfalls sieben Prozent Reputationsschäden verzeichnen müssen. Bei gerade einmal fünf Prozent habe es gar keine Folgen gegeben. Dehmel: „Verstöße gegen den Datenschutz sind nicht folgenlos, sondern haben Konsequenzen!“

Datenschutz als KI-Hindernis empfunden

Mit Blick auf Künstliche Intelligenz (KI) werde die Rolle des Datenschutzes von den Unternehmen zunehmend kritisch gesehen. Sieben von zehn Unternehmen (71%) forderten, den Datenschutz an das KI-Zeitalter anzupassen. Denn für mehr als zwei Drittel (69%) der Unternehmen erschwere der Datenschutz das Training von KI-Modellen. Vor einem Jahr habe dieser Anteil erst bei 50 Prozent gelegen.

• Zudem meinten 63 Prozent, dass der Datenschutz Unternehmen, die KI entwickeln, aus der EU vertreibe (2024: 52%). 57 Prozent sagten, dass der Datenschutz generell dafür sorge, dass die Anwendung von KI in der EU eingeschränkt werde (2024: 57%) und in 54 Prozent der Unternehmen behindere der Datenschutz den Einsatz von KI (2024: 52%).

Umgekehrt meinten aber auch 58 Prozent, dass der Datenschutz Rechtssicherheit bei der Entwicklung von KI-Anwendungen schaffe (2024: 53%). „Künstliche Intelligenz ist die entscheidende Zukunftstechnologie und KI braucht Daten. Die Regelungen zum Datenschutz sollten auch mit Blick auf Deutschlands Position in der künftigen KI-Welt überprüft werden“, gibt Dehmel zu bedenken.

Breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben

An Politik und Verwaltung hätten die Unternehmen einige Wünsche: Eine breite Mehrheit von 85 Prozent möchte verständlichere Datenschutzvorgaben, ebenso viele eine Reduzierung des bürokratischen Aufwands bei Datenschutzvorfällen. Dahinter folgten das Vorantreiben einer DSGVO-Reform auf europäischer Ebene (79%), eine bessere Abstimmung von Datenschutz und anderen Regulierungen wie Gesetzen und Verordnungen (69%) sowie eine bessere Hilfestellung durch Datenschutzbehörden (62%).

• 53 Prozent wollten differenziertere Datenschutzanforderungen nach Unternehmensgrößen – aktuell sagten 62 Prozent der Unternehmen, für kleinere Unternehmen sei der Datenschutz oft kaum umsetzbar.

Grundlage obiger Angaben ist laut dem Digitalverband eine von Bitkom Research im Auftrag durchgeführte Umfrage bei 603 Unternehmen ab 20 Beschäftigten in Deutschland. Die Befragung habe im Zeitraum der Kalenderwochen 30 bis KW 35 2025 stattgefunden und sei repräsentativ.

Weitere Informationen zum Thema:

bikom
Über uns

bitkom
Susanne Dehmel: Mitglied der Geschäftsleitung KI & Daten Bitkom e.V.

bitkom, Susanne Dehmel, 03.12.2025
Mitglied der Bitkom-Geschäftsleitung

bitkom, dataverse
Sicherheit & Datenschutz / Datenschutz – Unternehmen zu DS-GVO, Herausforderungen, Umsetzung & Co.

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 22.05.2025
7. DSGVO-Jahrestag: KI-Agenten als neue Herausforderung / Wie sensible Daten geschützt werden können, wenn nicht mehr allein Menschen, sondern auch KI-Agenten auf Informationen zugreifen, reflektiert Steve Bradford in seinem Kommentar

datensicherheit.de, 19.05.2025
DSGVO: Verlässlicher Datenschutz schafft Vertrauen und stärkt die Wirtschaft / Stellungnahme vom Verbraucherzentrale Bundesverband zum Vorschlag der EU-Kommission zu DSGVO-Ausnahmen für KMU

datensicherheit.de, 24.01.2025
Laut Studie von DLA Piper wurden 2024 europaweit 1,2 Milliarden Euro DSGVO-Bußgelder verhängt / Erstmals seit Inkrafttreten der DSGVO im Mai 2018 ist der Trend kontinuierlich steigender Bußgelder unterbrochen worden

[datensicherheit.de, 27.11.2025] Der Deutsche Anwaltverein e.V. (DAV) hat am 26. November 2025 gemeldet, dass –  nachdem die Pläne der dänischen EU-Ratspräsidentschaft für die Einführung einer verpflichtenden Chat-Kontrolle gescheitert sind – das bereits bestehende zeitlich begrenzte, für Unternehmen freiwillige Modell nun in eine permanente Form gegossen werden soll. Der Rat der Europäischen Union (EU) habe diesen Kompromiss mit der Zustimmung Deutschlands an diesem Tag beschlossen. Der DAV betont in seiner Stellungnahme, auch diese abgeschwächte Form der Chat-Kontrolle abzulehnen.

DAV-Klarstellung: Grundrechtsverstöße auch bei „freiwilliger“ Begehung Grundrechtsverstöße

„Grundrechtsverstöße bleiben auch dann Grundrechtsverstöße, wenn man Unternehmen freistellt, sie zu begehen“, kommentiert Rechtsanwalt Dr. David Albrecht, Mitglied im DAV-Ausschuss „Recht der Inneren Sicherheit“.

Der große Kritikpunkt an den Plänen der EU-Ratspräsidentschaft sei eben die anlasslose Massenüberwachung von Millionen Bürgern gewesen. Dieser rechtsstaatliche Mangel werde nun nicht dadurch geheilt, dass „die Entscheidung darüber, wie viele Menschen von den Maßnahmen betroffen sind, an private Unternehmen ausgelagert wird“.

Überwachungspflicht durch die „Hintertür“ – DAV sieht auch Berufsgeheimnisträgerschutz bedroht

Zwar besage der Entwurf, dass eine Verpflichtung mit der Verordnung nicht einhergehen solle. „Die geplante Verordnung würde Diensteanbieter allerdings zu ‚Risikominderungsmaßnahmen‘ verpflichten und könnte so letztlich doch zum Scannen von Kommunikationsinhalten zwingen“, so Albrechts Warnung.

Auch der Berufsgeheimnisträgerschutz werde nach wie vor nicht gewährleistet – vertrauliche Kommunikation zwischen Anwälten und ihrer Mandantschaft wäre somit auch von dieser Überwachung betroffen.

Chat-Kontrolle droht laut DAV zur „Blaupause“ für weitere Überwachungsmaßnahmen zu werden

„Uns besorgt auch“, erläutert Albrecht, „dass schon jetzt Forderungen danach aufkommen, die Überwachungsmaßnahmen nicht nur zur Verfolgung von Missbrauchsdarstellungen, sondern auch in anderen Kriminalitätsbereichen zur Anwendung zur bringen.“

Die Chat-Kontrolle drohe so zur „Blaupause“ für weitere Maßnahmen zu werden , „die tief in die Grundrechte aller Bürger eingreifen“.

Hohe Fehlerquote bei Chat-Kontrolle – DAV fordert Stopp auch des „Minimalkompromisses“

Das Instrument sei ja nicht neu – und deshalb seien auch dessen Mängel längst bekannt: „Rund die Hälfte der Meldungen, die durch die Chat-Kontrolle abgegeben werden, sind laut Bundeskriminalamt strafrechtlich irrelevant“, betont Albrecht. Eine solche Menge unbedenklicher Nachrichten, welche an die Strafverfolgungsbehörden weitergeleitet werden, sei „hochproblematisch“.

„Wir sollten uns nicht von dem als ‚Minimalkompromiss‘ angepriesenen Vorschlag blenden lassen“, fordert Albrecht. Wie schon die vorherigen Vorstöße auf europäischer Ebene müsse auch dieser Plan gestoppt werden.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Über uns: Der DAV stellt sich vor

DeutscherAnwaltVerein
Ausschuss Recht der Inneren Sicherheit

FS-PP Berlin
Dr. iur. David Albrecht: Rechtsanwalt • Fachanwalt für Strafrecht • Compliance Officer (TÜV) • Datenschutzbeauftragter (TÜV)

datensicherheit.de, 01.11.2025
Verpflichtende Chat-Kontrolle in der EU vorerst abgewehrt / Der Deutsche Anwaltverein spricht sich seit Jahren gegen die anlasslose Überwachung privater Kommunikation aus – und warnt vor weiteren Anläufen für eine Chat-Kontrolle

datensicherheit.de, 09.10.2025
Datenschutzkonferenz-Entschließung: Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chat-Kontrolle / Die dänische Regierung hat als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chat-Kontrolle auf die Tagesordnung des EU-Rats am 14. Oktober 2025 gesetzt

datensicherheit.de, 08.10.2025
Vereint gegen die Chat-Kontrolle: Offener Brief der europäischen Tech-Branche / Die Chat-Kontrolle würde den Datenschutz zerstören, die Verschlüsselung schwächen und die Wettbewerbsfähigkeit europäischer Unternehmen erheblich beeinträchtigen

datensicherheit.de, 07.10.2025
Chat-Kontrolle in der EU: DAV-Warnung vor dem Ende vertraulicher Kommunikation / DAV-Appell an die Bundesregierung, auf EU-Ebene standhaft zu bleiben

datensicherheit.de, 05.10.2025
Chat-Kontrolle droht: Privatsphäre im Internet für Peer Heinlein nicht verhandelbar / Während Befürworter wie Dänemark, Frankreich und Spanien Druck machen, warnt die Wirtschaft vor einer Chat-Kontrolle im Internet

[datensicherheit.de, 22.11.2025] Am 18. November 2025 fand in Berlin „Gipfel zur Europäischen Digitalen Souveränität“ statt, auf dem Politik und Wirtschaft erklärten, sich von US-Anbietern abwenden zu wollen. Jörn Bittner, „Senior Consultant“ von Consultix, erörtert, wieso dieser Schritt „richtig und wichtig“ ist und wie die Abkehr von den US-Riesen gelingen kann. Er führt aus, dass diese Frage für alle Unternehmen und Kommunen Relevanz besitzt und dass z.B. für Anwendungen wie „Teams“ u.a. durchaus validen Ersatz auf EU-Ebene gibt.

Abbildung: Consultix GmbH (erstellt mit „Canva AI“)

Jörn Bittner unterstreicht: Ob Videocall oder „Cloud“-Speicher – für alle US-Tools gibt es inzwischen europäische Alternativen

Consultix-Experte für digitale Kommunikation sieht die aktuelle Entwicklung positiv

Schleswig-Holstein tue es, der Internationale Strafgerichtshof ebenfalls: Microsoft-Produkte abschaffen. Dieser US-Konzern gelte als das Softwarehaus, von dem die größte Abhängigkeit im Büro- und Verwaltungsbereich ausgehe: Ob „Teams“, „Word“, „Excel“ oder „Outlook“ – nahezu jedes Unternehmen nutze mindestens eine dieser Anwendungen.

• Doch nachdem in den letzten Jahren immer mehr Kommunen und Länder zugestimmt hätten, die Abhängigkeit vom US-amerikanischen „Riesen“ nicht überzubewerten und DSGVO-Bedenken über Bord zu werfen, ruderten jetzt viele zurück. Am 18. November 2025 kamen Politik und Entscheider auf dem „Gipfel zur Europäischen Digitalen Souveränität“ jedenfalls zu demselben Schluss.

„Gut so!“, kommentiert Bittner. Als Experte für digitale Kommunikation sieht er diese Entwicklung positiv: „Experten aus Deutschland und Europa sind sich einig: Die Abhängigkeit von US-,Tools’ zu reduzieren, ist die einzig richtige Richtung. Die DSGVO-Konformität ist über US-Konzerne, die Datenströme immer über das EU-Ausland lenken können, nicht gegeben. Genauso wenig wie Sicherheit in Bezug auf politische Manöver.“

Digitale Politik: EuGH-Beschluss zu „Privacy Shield“ entfaltet Wirkung

Im Juli 2020 hatte der Europäische Gerichtshof (EuGH) die EU-US-Datenschutzvereinbarung „Privacy Shield“ für ungültig erklärt. Damit untersagt der EuGH die Übermittlung personenbezogener Daten europäischer Bürger in Länder wie etwa die USA, da sie nicht den Datenschutzstandard der DSGVO garantierten.

• Gleichzeitig verpflichte ein US-amerikanisches Gesetz seine Unternehmen dazu, Sicherheitsbehörden bei Bedarf Daten ausländischer Nutzer preiszugeben. Zu diesen Daten gehörten auch aufgezeichnete Gespräche und Videokonferenzen. Dementsprechend treffe diese Verordnung den größten Teil aller Unternehmen. „Wer Gewinnspiele abhält, Werbung schaltet, Newsletter versendet, Dokumente bereitstellt oder digitale Kommunikation ermöglicht, unterliegt der DSGVO“, betont indes Bittner.

„Tech-Giganten“ aus Übersee hätten immer wieder beteuert, dass die Daten ihrer europäischen Kunden auf europäischen Servern abgelegt würden. Auf Basis dieser „EU-Boundary“ habe beispielsweise das Land Niedersachsen erst im vergangenen Jahr, 2024, die Nutzung von „Microsoft Teams“ beschlossen. Eine ständige Kontrolle der rechtmäßigen Datennutzung sei jedoch schwierig bis unmöglich.

Selbst Digitalmarktführer müssen umdenken

Die Einhaltung der DSGVO durch internationale Konzerne habe vielen Unternehmen und Kommunen bisher noch möglich erschienen, doch eine von der US-Politik diktierte Handlungsweise mit Restriktionen und Bestrafungen zwinge nun selbst Digitalmarktführer in die Knie und mache sie zum „Spielball“.

• „Keine Branche kann mehr von Planungssicherheit sprechen. Das gilt auch für den Tech-Bereich“, resümiert Bittner.

Er legt dringend nahe: „Unternehmensführung und Datenverwaltung müssen sich jetzt mit der Sicherheit ihrer Daten und mit ihrem Kommunikationssystem auseinandersetzen. Sonst könnte es teuer und aufwändig werden.“

Schwieriges Problem der Digitalen Souveränität findet durchaus einfache Lösungen

Antwort auf die steigende Nachfrage nach geschütztem und DSGVO-konformem Online-Austausch bieten laut Bittner Open-Source-Lösungen wie z.B. „Jitsi Meet“ oder „Matrix Messenger Element“, welche Videokonferenzen verschlüsselten.

• „Nextcloud“ gewähre sicheren Austausch von Dokumenten. Anbieter solcher „Tools“ gingen zudem auf individuelle Anforderungen von Verwaltungen und Firmen ein und stellten persönliche Berater zur Seite, um die Implementierung zu begleiten.

Betrieben auf eigenen Servern in Deutschland, garantierten sie sichere digitale Meetings per Web-Browser oder Client auf allen Endgeräten – „mit Lizenzverträgen von lokalen Dienstleistern sogar günstiger“.

Weitere Informationen zum Thema:

tagesschau, 18.11.2025
Digital-Gipfel in Berlin berät über Maßnahmen zur europäischen Souveränität

consultix
Moin, wir sind Consultix. Wir sind Digital Strategen. Wir sind Macher. Wir sind für Dich da.

Linkedin
Jörn Bittner

datensicherheit.de, 19.11.2025
Digitale Souveränität: Bitkom und Numeum fordern Europas Ablösung von einseitiger Abhängigkeit / Der deutsche und der französische Digitalverband – Bitkom & Numeum – nahmen den „SUMMIT ON EUROPEAN DIGITAL SOVEREIGNTY“ vom 18. November 2025 zum Anlass für ihre gemeinsame Forderung

datensicherheit.de, 22.10.2025
AWS-Störungen mahnen zur Wahrung der Digitalen Souveränität / Aktuelle Serviceprobleme bei AWS und daraus resultierende weltweite Ausfälle führen uns wieder deutlich vor Augen, wie verletzlich digitale Wertschöpfungsketten derzeit sind

datensicherheit.de, 21.08.2025
IT-Sicherheit „Made in EU“: Deutsche Unternehmen streben digitale Souveränität an / Laut neuer ESET-Studie beabsichtigen drei Viertel der wechselbereiten Unternehmen künftig europäische IT-Sicherheitslösungen einzusetzen

datensicherheit.de, 16.08.2025
Mehr digitale Souveränität und Resilienz – Cybersicherheit neu gedacht / Die Cybersicherheitslandschaft in Europa verändert sich deutlich: Unternehmen stehen vor einer von zunehmenden Bedrohungen, KI-Durchdringung und wachsendem Bewusstsein für Digitale Souveränität geprägten Zeitenwende

[datensicherheit.de, 20.11.2025] Am 19. November 2025 hat die EU-Kommission ihren Vorschlag für den „Digitalen Omnibus“ vorgestellt. Dessen Ziel ist demnach unter anderem, Regelungen in unterschiedlichen Digitalgesetzen zu harmonisieren, Bürokratie abzubauen und die Wettbewerbsfähigkeit der europäischen Wirtschaft zu erhöhen. Der Bitkom–Präsident, Dr. Ralf Wintergerst, zweifelt an den Erfolgsaussichten, warnt vor purer Kosmetik und verweist in seiner aktuellen Stellungnahme auf das Bitkom-Positionspapier zum „Digitalen Omnibus“.

Foto: Bitkom

Dr. Ralf Wintergerst: „Digitaler Omnibus“ bislang nicht ausreichend, um Regulierungsdschungel zu lichten!

Der Bitkom warnt vor bloßen „kosmetischen Korrekturen“

Wintergerst moniert: „Dieses ,Digitale Omnibus’-Paket ist nicht ausreichend, um Europas Regulierungsdschungel zu lichten. Die angekündigten Änderungen bringen zwar einige Erleichterungen für die Unternehmen, damit Europa digital wettbewerbsfähig und souverän wird, reicht der jetzige Vorschlag aber nicht aus!“

• Man dürfe es nicht bei vielfach „kosmetischen Korrekturen“ belassen. Die EU brauche viel mehr Mut, Bürokratie und Überregulierung drastisch zu reduzieren und vor allem widersprüchliche Regeln konsequent zu streichen.

So sei beispielsweise eine grundsätzliche Überarbeitung der Datenschutz-Grundverordnung (DSGVO) geboten. Mit den Vorschlägen der EU-Kommission würden zwar eine Reihe von Alltagsproblemen der Unternehmen angegangen, etwa beim KI-Training oder bei Informations- und Meldepflichten. Doch die Reformvorschläge griffen an den entscheidenden Stellen noch zu kurz.

Bitkom-Forderung nach konsequenter Adressierung struktureller Probleme

Grundlegende strukturelle Probleme würden nicht konsequent adressiert, wie etwa der hohe Aufwand bei Auskunftsrechten und Auftragsverarbeitung. Auch beim „AI Act“ bleibe umfangreicher Verbesserungsbedarf.

• Es sei derzeit noch offen, „wie eine sektorgerechte Umsetzung der umfangreichen Vorgaben gelingen kann, also so, dass die Regeln zu den jeweiligen Besonderheiten einzelner Branchen wie Industrie, Gesundheitswesen oder Finanzsektor passen“.

Zudem sei mit Blick auf die Cybersicherheit eine zentrale Anlaufstelle für Sicherheitsvorfälle als „Single Entry Point“ zwar grundsätzlich begrüßenswert, erfordere jedoch eine Harmonisierung der Meldepflichten und -fristen zwischen den einzelnen Gesetzgebungen, um Unternehmen tatsächlich zu entlasten. Wintergersts derzeitiges Fazit: „Diese Beispiele zeigen: Der ,Digitale Omnibus’ fährt zwar in die richtige Richtung, bleibt aber nach kurzer Strecke stehen.“

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst – Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom, 2025
Digital Omnibus – Call for Evidence / Position Paper on the Call for Evidence on the Digital Omnibus

bitkom
Digitaler Omnibus / Spannungsfelder in der europäischen Digitalgesetzgebung und Wege zur Kohärenz

STIFTUNG DATENSCHUTZ, 13.11.2025
Digitaler Omnibus – Schutzstandard darf nicht sinken

NETZPOLITIK.ORG, Daniel Leisegang & Ingo Dachwitz, 07.11.2025
„Digitaler Omnibus“: EU-Kommission will Datenschutzgrundverordnung und KI-Regulierung schleifen

datensicherheit.de, 20.11.2025
Digitaler Omnibus: eco setzt auf mehr Klarheit bei Europas Digitalregeln / Laut dem eco-Vorstandsvorsitzenden,Oliver Süme, braucht Europa ein digitalpolitisches Gesamtbild – klar, konsistent und anwendbar

datensicherheit.de, 10.09.2025
Bitkom-Studie: Überbordende Belastung der Unternehmen durch Datenschutz / Bitkom Research hat im Auftrag eine repräsentative Umfrage durchgeführt – hierfür wurden 603 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch befragt

datensicherheit.de, 14.04.2025
eco kommentiert AI Continent Action Plan der EU-Kommission / Europa sollte die KI-Innovationswende jetzt mutig umsetzen

[datensicherheit.de, 01.11.2025] „Der Vorschlag zur verpflichtenden Chat-Kontrolle der dänischen EU-Ratspräsidentschaft ist – jedenfalls vorerst – vom Tisch“, berichtet Rechtsanwalt Stefan von Raumer, Präsident des Deutschen Anwaltvereins e.V. (DAV), in seiner Stellungnahme vom 31. Oktober 2025. Zu verdanken sei dies auch dem weiterhin stabilen „Nein!“ der Bundesregierung. Der DAV spricht sich seit Jahren gegen die anlasslose Überwachung privater Kommunikation aus – und warnt vor weiteren Anläufen.

Foto: DAV e.V.

RA Stefan von Raumer: Verpflichtende EU-Chatkontrolle ist vom Tisch – diesmal bitte endgültig!

Ablehnung der Chat-Kontrolle im Sinne anlassloser Massenüberwachung elektronischer Kommunikation

Von Raumer betont: „Bei aller Erleichterung über die heutige Nachricht: Es war nicht der erste Aufschlag für eine anlasslose Massenüberwachung elektronischer Kommunikation – aber hoffentlich der letzte!“

• Auch so wichtige und legitime Ziele wie den Kinderschutz könne man nicht mit Maßnahmen verfolgen, „die gegen rechtsstaatliche Grundprinzipien verstoßen“.

Er unterstreicht, dass man von einem „verdachtsunabhängigen, standardmäßigen Massenscan“ reden müsse – und damit dem Ende privater Kommunikation.

Auch Berufsgeheimnisträger wären von einer Chat-Kontrolle betroffen

Durch die Umgehung der Ende-zu-Ende-Verschlüsselungstechnologien entstünden „gefährliche Lücken in der IT-Sicherheit“.

• Dies betreffe nicht nur die Kommunikation zwischen Bürgern, sondern sei auch ein immenses Risiko für Berufsgeheimnisträger – wie eben z.B. Rechtsanwälte.

„Wegen der Grundrechtsbedenken verwahren wir uns gegen die von den Dänen zeitgleich ins Gespräch gebrachte – abermalige – Verlängerung der aktuellen freiwilligen Chat-Kontrolle„, stellt von Raumer abschließend klar.

Weitere Informationen zum Thema:

DeutscherAnwaltVerein
Gemeinsam für einen starken Anwaltsberuf / Engagement für die Zukunft der Anwaltschaft und einen starken Rechtsstaat…

DeutscherAnwaltVerein, 12.02.2025
Stefan von Raumer ist neuer DAV-Präsident / Erfahrener Verfassungsrechtler übernimmt von Dr. h.c. Edith Kindermann

Chatkontrolle STOPPEN!
Was ist das Problem und was wollen wir?

ntv, 31.10.2025
Kampf gegen Kinderpornographie / EU-Ratspräsidentschaft beerdigt umstrittene Chatkontrolle

mdr, 09.10.2025
Umstrittene Überwachung EU-Pläne zur Chatkontrolle vorerst an Deutschland gescheitert

datensicherheit.de, 09.10.2025
Datenschutzkonferenz-Entschließung: Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chat-Kontrolle / Die dänische Regierung hat als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chat-Kontrolle auf die Tagesordnung des EU-Rats am 14. Oktober 2025 gesetzt

datensicherheit.de, 08.10.2025
Vereint gegen die Chat-Kontrolle: Offener Brief der europäischen Tech-Branche / Die Chat-Kontrolle würde den Datenschutz zerstören, die Verschlüsselung schwächen und die Wettbewerbsfähigkeit europäischer Unternehmen erheblich beeinträchtigen

datensicherheit.de, 07.10.2025
Chat-Kontrolle in der EU: DAV-Warnung vor dem Ende vertraulicher Kommunikation / DAV-Appell an die Bundesregierung, auf EU-Ebene standhaft zu bleiben

datensicherheit.de, 05.10.2025
Chat-Kontrolle droht: Privatsphäre im Internet für Peer Heinlein nicht verhandelbar / Während Befürworter wie Dänemark, Frankreich und Spanien Druck machen, warnt die Wirtschaft vor einer Chat-Kontrolle im Internet

[datensicherheit.de, 28.10.2025] Die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) lädt zur Online-Diskussion am 4. November 2025 über „Pfizergate“ und die Folgen ein – demnach geht um den Zugang zur Textkommunikation von Amtsträgern. Diese Veranstaltung ist Teil des neuen EAID-Diskussionsformats „Perspektivwechsel“. Ministerialrat Dr. Kai Engelbrecht, Referatsleiter beim Bayerischen Landesbeauftragten für den Datenschutz, wird hierüber sprechen damit verbundene Fragen des Unionsrechts wie auch des nationalen Rechts erörtern.

„,Pfizergate’ und die Folgen – Zugang zur Textkommunikation von AmtsträgerInnen“

Online-Diskussion mit Ministerialrat Dr. Kai Engelbrecht am Dienstag, dem 04.11.2025, von 16.00 bis 17.00 Uhr

• Die Teilnahme ist kostenlos – eine Anmeldung per E-Mail wird erbeten an: anmeldung-25-11-04 [at] eaid-berlin [dot] de

Die Diskussion wird moderiert von Dr. Alexander Dix, stellv. Vorstandsvorsitzender der EAID.

„Pfizergate“ nur ein prominentes Beispiel – Zugänglichkeit zu Textnachrichten von Amtsträgern schon länger diskutiert

Die Textkommunikation zwischen der Präsidentin der EU-Kommission, Ursula von der Leyen, und dem Chef des Pharmakonzerns Pfizer über die Beschaffung von Impfstoffen während der „Corona-Pandemie“ war Gegenstand der medialen Berichterstattung und zuletzt auch einer Entscheidung des Europäischen Gerichts in der Rechtssache „Stevi and The New York Times ./. Kommission“.

• Inzwischen habe die EU-Kommission Medienberichten zufolge eingeräumt, dass sie Textnachrichten der Präsidentin schon deshalb nicht hätte herausgeben können, weil auf deren Mobiltelefon im Messengerdienst „Signal“ die automatische Lösch-Funktion aktiviert gewesen sei.

Die Diskussion über die Zugänglichkeit von Textnachrichten von Amtsträgern sei aber älter. „So nutzte schon Angela Merkel als Bundeskanzlerin ihr Handy zum Austausch von SMS mit Kabinettsmitgliedern.“ Die Amtliche Kommunikation im Digitalen Raum werfe also neue Fragen der Dokumentation der Transparenz, auch der Kontrolle von Verwaltungshandeln auf, welche vom Informationszugangsrecht über das Datenschutzrecht bis zum Archivrecht reichten.

Weitere Informationen zum Thema:

EAID
Der Verein

PUBLICUS
Dr. Kai Engelbrecht – ­Regierungsdirektor, Referent in der Geschäftsstelle des Bayerischen Landesbeauftragten für den Datenschutz

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)
Geschäftsstelle

WIKIPEDIA
Alexander Dix

Deutsche Sozialversicherung Europavertretung | DSV
„Pfizergate“ / EU-Gericht fordert mehr Trans­pa­renz von der Euro­päi­schen Kommis­sion

heise online, Stefan Krempl, 04.08.2025
„Pfizergate“: Wichtige SMS von Ursula von der Leyen wurden gelöscht / Die EU-Kommission hat zentrale SMS zwischen von der Leyen und Pfizer-Chef Bourla aus den Impfstoffverhandlungen gelöscht. Der Kabinettschef soll schuld sein.

NETZPOLITIK.ORG, Christoph Bock, 14.05.2025
Gerichtsurteil zu Pfizergate: Von der Leyen hat bei der Transparenz geschummelt / Während der Covid-Pandemie verhandelte EU-Kommissionspräsidentin Ursula von der Leyen per SMS mit Pfizer-Chef Albert Bourla. Journalisten forderten Transparenz, doch die EU-Kommission weigerte sich, die Nachrichten offenzulegen. Die Begründung dafür findet das EU-Gericht unglaubwürdig.

[datensicherheit.de, 18.10.2025] Am 17. Oktober 2024 hat die EU mit der NIS-2-Direktive eine neue Ära der Cybersicherheit eingeläutet. Heute – zwölf Monate später – sei von diesem Anspruch indes wenig zu sehen: Nur 15 von 27 Mitgliedsstaaten haben die Richtlinie bisher in nationales Recht überführt. Besonders alarmierend erscheint in diesem Zusammenhang, dass sich unter den Nachzüglern ausgerechnet die Schwergewichte Deutschland, Frankreich und Spanien befinden – immerhin Länder, welche zusammen 68 Prozent der EU-Bevölkerung und 71 Prozent der -Wirtschaftsleistung stellen. „Dieses Jubiläum sollte ein Weckruf für Europa sein!“, kommentiert Erhan Oezmen, Deutschlandchef bei SentinelOne. Er moniert: „Die EU war lange Vorreiter bei Cybersicherheitsgesetzen. Doch weil NIS-2 als Richtlinie und nicht als direkt geltende Verordnung umgesetzt wird, entsteht ein ,Flickenteppich’ aus nationalen Lösungen. Und der bremst Europa aus.“

NIS-2 verschärft Anforderungen an das Risikomanagement deutlich, verunsichert aber Unternehmen

Die zögerliche Umsetzung sorge auch bei Betrieben für Stillstand. Vor allem sogenannte Kleine und Mittlere Unternehmen (KMU) wüssten nicht, wie sie mit NIS-2 umgehen sollen. „Viele Sicherheitsteams warten auf klare Vorgaben von Verbänden oder Behörden“, so Oezmen.

• Gleichzeitig verschärfe NIS-2 die Anforderungen an das Risikomanagement deutlich – liefere aber kaum praktische Hilfestellung.

Die EU-Agentur ENISA habe zwar einen technischen Leitfaden veröffentlicht. „Der kam aber zu spät und beantwortet zu wenig. Besonders die Vorgaben zur Lieferkettensicherheit oder zur Meldepflicht bleiben vage und schwer umsetzbar“, erläutert Oezmen.

NIS-2-Bußgelder könnten Regelwerk zur Waffe Cyberkrimineller machen

Die Folgen dieser Verzögerung seien fatal: Schwache Durchsetzung und unklare Regeln öffneten Cyberkriminellen „Tür und Tor“. Schon heute verwiesen Ransomware-Gruppen in erbeuteten Daten gezielt auf branchenspezifische Vorschriften – und nutzten die Unsicherheit für ihre Zwecke.

• Oezmen warnt: „Wenn NIS-2 erst einmal mit Bußgeldern durchgesetzt wird, könnte das Regelwerk selbst zur Waffe werden!“

Er fordert: „Europa muss jetzt handeln: Lücken schließen, Vorgaben konkretisieren und für eine konsequente Umsetzung sorgen – bevor Angreifer das für uns übernehmen!“

NIS-2 bürdet betroffenen Unternehmen mehr Pflichten und Verantwortung auf

Die NIS-2-Richtlinie wurde am 18. Oktober 2024 verabschiedet. Sie ersetze die ursprüngliche NIS-Richtlinie von 2016 und weite deren Geltungsbereich deutlich aus.

• Unternehmen in „kritischen Sektoren“ – darunter Energie, Gesundheit, Verkehr, digitale Infrastruktur und öffentliche Verwaltung – müssen nun strengere Sicherheitsmaßnahmen umsetzen, Risiken besser managen und Sicherheitsvorfälle schneller melden.

Erklärtes Ziel ist es, eine gemeinsame Cybersicherheitsbasis in der gesamten EU zu schaffen und so Kritische Infrastrukturen (KRITIS) sowie Lieferketten widerstandsfähiger zu machen. Wer dann gegen die Vorgaben verstößt, muss mit empfindlichen Bußen rechnen.

Damit NIS-2 Europas Cybersicherheit stärkt, muss die Richtlinie endlich umgesetzt werden

Ein Jahr nach Inkrafttreten von NIS-2 sei Europas Cybersicherheitsarchitektur aber noch immer „Flickwerk“.

• Die größten Volkswirtschaften hinkten hinterher, Unternehmen warteten auf Orientierung, und Angreifer nutzten die Lücken schamlos aus.

„NIS-2 kann Europas Cybersicherheit stärken – aber nur, wenn wir es auch umsetzen“, betont Oezmen. Er gibt abschließend zu bedenken: „Die Zeit drängt. Es ist 5 vor 12!“

Weitere Informationen zum Thema:

SentinelOne
Our Mission: Empowering the World to Run Securely

Linkedin
Erhan Oezmen

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY, 26.06.2025
NIS2 Technical Implementation Guidance

datensicherheit.de, 16.10.2025
NIS-2: Genug Vorlauf – eco fordert nun Präzision / Der eco begrüßt sehr wohl die intensive politische Diskussion um die NIS-2-Richtlinie, betont aber, dass es nun an der Zeit ist, Rechtssicherheit zu schaffen

datensicherheit.de, 14.10.2025
Chancen und Herausforderungen für KMU: DsiN-Talk zu NIS-2 am 27. Oktober 2025 / Mit der Umsetzung der NIS-2-Richtlinie soll ein neuer Rahmen für Cybersicherheit in der EU geschaffen werden

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

[datensicherheit.de, 14.10.2025] Der Deutschland sicher im Netz e.V. (DsiN) lädt zu seinem nächsten „DsiN-Talk“ ein: Am 27. Oktober 2025 stehen Chancen und Herausforderungen für die sogenannten Kleinen und Mittleren Unternehmen (KMU) im Kontext der NIS-2-Richtlinie auf dem Programm – der Oktober, der „European Cyber Security Month“, soll ganz im Zeichen der Stärkung der digitalen Sicherheit stehen.

Abbildung: DsiN

Einladung zum nächsten „DsiN-Talk“ am 27. Oktober 2025:

DsiN-Talk zu NIS-2 – Chancen und Herausforderungen für KMU

Montag 27.10.2025 von 11.00 bis 12.00 Uhr
Online via „zoom“ (Zusendung der Zugangsdaten nach Anmeldung)

Mit der Umsetzung der NIS-2-Richtlinie werde ein neuer Rahmen für Cybersicherheit in der EU geschaffen. Ziel sei es, Unternehmen und Organisationen besser gegen digitale Bedrohungen zu schützen. Gleichzeitig bringe NIS-2 neue Anforderungen mit sich, „die sowohl Chancen eröffnen als auch Herausforderungen bergen“.

Akteure aus Politik, Wissenschaft und Wirtschaft beleuchten NIS-2-Auswirkungen

DsiN diskutiert mit Akteuren aus Politik, Wissenschaft und Wirtschaft:

• Gesa Förster (Leiterin der Initiative IT-Sicherheit in der Wirtschaft, Bundesministerium für Wirtschaft und Energie (BMWE))
• Prof. Dr. Dennis-Kenji Kipker (Forschungsleiter und Gründer des Cyberintelligence.institute)
• Marc Dönges (Projektleiter „Transferstelle Cybersicherheit im Mittelstand“)
• Merle Maurer-Rautenberg (Projektleitung „FitNIS2“, Deutschland sicher im Netz e.V.)

Moderation: Isabelle Rosière (DsiN-Geschäftsführerin)

NIS-2 als Basis für mehr digitale Resilienz

Gemeinsam mit den Gästen soll folgenden Themen nachgegangen werden:

• „Welche Chancen entstehen durch NIS-2 für mehr Resilienz in der digitalen Welt?“
• „Welche Herausforderungen stehen insbesondere Kleinen und Mittleren Unternehmen bevor?“
• „Welche Unterstützungsangebote und ,Best Practices’ gibt es bereits?“
• „Welche nächsten Schritte sind jetzt entscheidend?“

Der DsiN-Talk soll Raum für Information, Diskussion und Fragen bieten: „Nutzen Sie die Gelegenheit, sich einzubringen und von den Erfahrungen unserer Gäste zu profitieren!“

Weitere Informationen zum Thema und Anmeldung:

DsiN Deutschland sicher im Netz
Wir sind__

DsiN Deutschland sicher im Netz
„NIS2 – Chancen und Herausforderungen für KMU“ – der DsiN_Talk am 17. Oktober 2025 / Jetzt anmelden zum DsiN_Talk „NIS2 – Chancen und Herausforderungen für KMU“

datensicherheit.de, 01.08.2025
DSGVO und NIS-2 können und sollten Hand in Hand gehen / Wer sich bereits datenschutzkonform gemäß DSGVO aufgestellt hat, dem fällt auch die Cyberresilienz im NIS-2-Kontext leichter

datensicherheit.de, 01.08.2025
NIS-2-Regierungsentwurf: Claudia Plattner würdigt großen Schritt auf dem Weg zur Cybernation / Mit dem am 30. Juli 2025 vorgelegten Regierungsentwurf des Gesetzes zur Umsetzung der NIS-2-Richtlinie soll das deutsche IT-Sicherheitsrecht umfassend modernisiert werden

datensicherheit.de, 30.07.2025
NIS-2: Nationales Umsetzungsgesetz soll Cybersicherheit der deutschen Wirtschaft stärken / Der TÜV-Verband begrüßt NIS-2-Umsetzung und fordert Nachbesserungen: Ausnahmeregelungen seien zu schärfen oder zu streichen, damit Unternehmen klare Vorgaben erhalten, wie Nachweise für die Umsetzung zu erbringen sind