BvD: Stellungnahme zur Aufhebung der DSB-Benennungspflicht

/in /von

Die Rolle der Datenschutzbeauftragten (DSB) stärken – nicht abschaffen

Der Beschluss des Bundeskanzlers und der Regierungschefs der Länder vom 4. Dezember 2025 sieht vor, die nationale Pflicht zur Benennung betrieblicher Datenschutzbeauftragter im nicht-öffentlichen Bereich aufzuheben und sich künftig allein auf Art. 37 DSGVO zu stützen. Damit würde Deutschland eine zentrale Errungenschaft praxistauglicher Datenschutz-Compliance zurückbauen. Jedoch sind keinerlei Vorteile für die Unternehmen und vor allem KMU damit verbunden – im Gegenteil: die Pflichten nach dem Datenschutzrecht bleiben unverändert, aber die Zuständigkeit geht allein auf die Geschäftsführung über. Im Zweifel benötigt die Geschäftsführung sodann Rechtsberatung, was ein erhebliches Mehr an Kosten bedeutet.

Die Abschaffung stärkt nicht den Mittelstand, sie entlastet ihn nicht einmal. Sie verlagert allein die Kosten als Aufwand auf die Geschäftsführung und schafft Arbeit für rechtsanwaltliche Beratung.

Das ist ein Schritt in die falsche Richtung.

Das behauptete Ziel der „Entbürokratisierung durch Abschaffung von DSB“ ist seit Jahren empirisch nicht belegt. Die Gleichsetzung von „weniger Datenschutzbeauftragter“ mit „weniger Pflichten“ ist eine Täuschung! Diese Betrachtung greift fachlich zu kurz und blendet die tatsächlichen Belastungstreiber aus. Die Belastungstreiber sind unklare Vorgaben und eine unklare Rechtslage, fehlende Standardisierungen und komplexe technische Anforderungen zählen – und vor allem: die in der DS-GVO verankerte Bürokratie der mehrfachen Dokumentation, Organisation und Hinweis- und Meldepflichten.

Diese Pflichten belasten die Unternehmen. Der BvD hat dies mehrfach kritisiert und Vorschläge aus der Praxis für eine Praktikabilität des Datenschutzes gemacht.

Diese Pflichten bleiben trotz Abschaffung der DSB-Pflichtbenennung bestehen! Die Quasi-Abschaffung des DSB löst also keine Herausforderung für die Wirtschaft! Die Politik verspricht damit etwas, was sie objektiv und von vornherein nicht halten kann!

Die Konsequenz einer Abschaffung ist klar: Unternehmen müssten sämtliche Aufgaben und gesetzliche Anforderungen selbst erfüllen. Das bedeutet in der Praxis, dass die Unternehmens- und Betriebsleitung alle Pflichten, Risiken und Haftung allein trägt – ohne unabhängige Expertise im Haus und ohne die Möglichkeit, qualifizierte Beratung durch interne oder externe Datenschutzbeauftragte strukturiert einzubinden.

Durch den immensen Kostendruck werden zukünftig viele KMU auf die Benennung verzichten. Die Erwartung, dadurch Bürokratie abzubauen, wird sich jedoch nicht erfüllen:

  • Alle Pflichten und Anforderungen bleiben bestehen, nur ohne fachliche Begleitung.
  • Das technische und organisatorische Schutzniveau wird sinken, insbesondere weil Art. 32 DSGVO integraler Bestandteil jedes Sicherheitskonzepts ist und die Datenschutzbeauftragten im Mittelstand oft die einzigen Experten in diesem Bereich sind.
  • Cybersicherheitsrisiken steigen weiter; ein fehlendes Frühwarnsystem verschärft die Verwundbarkeit

Die betroffenen Personen werden weiterhin Schadensersatzansprüche bei Verstößen geltend machen. Die Aufsichtsbehörden werden weiterhin gegen Verstöße vorgehen müssen. Das Risiko solcher „Schäden“ steigt für die Unternehmen. Eine punktuelle Rechtsberatung zur Verteidigung hiergegen verbessert nicht die Prozesse und behebt auch nicht den Verstoß für die Zukunft!

Die Lösung kann nur darin bestehen, das Datenschutzrecht dadurch handhabbarer zu machen, indem doppelte Dokumentationspflichten, Hinweis- und Meldepflichten und Organisationspflichten auf das Wesentliche reduziert und nicht „durch die Absicherung der Absicherung“ unnötige Aufwände auslösen.

Der BvD und seine Mitglieder stehen für einen praxisnahen und Innovationen unterstützenden Datenschutz. Dies entsteht nicht durch Abschaffung des Datenschutzbeauftragten und Verlagerung der Aufgaben der DS-GVO auf die Geschäftsführung und externe Rechtsberater.

Das politische Ziel der Entbürokratisierung wird durch die Abschaffung des DSB gerade nicht erreicht! Die politischen Entscheidungsträger verschließen hiervor die Augen und treiben die Unternehmen in die Incompliance.

Quelle: https://www.bvdnet.de/wp-content/uploads/2025/12/20251209_Stellungnahme-zur-Streichung-der-DSB-Benennung.pdf

BSI: NIS-2 tritt in Kraft

/in /von

Mit der heutigen Verkündung des Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung tritt ab morgen eine umfassende Modernisierung des Cybersicherheitsrechts in Kraft. Das Gesetz erhöht die Anforderungen an die Cybersicherheit der Bundesverwaltung sowie bestimmter Unternehmen.

Die nationale Umsetzung der EU-Richtlinie erfolgt insbesondere im Rahmen einer Novellierung des BSI-Gesetzes (BSIG). Unternehmen müssen selbständig prüfen, ob sie von der NIS-2-Richtlinie betroffen sind und damit künftig zu den rund 29.500 durch uns beaufsichtigten Einrichtungen gehören, für die neue gesetzliche Pflichten in der IT-Sicherheit gelten. Bislang waren etwa 4.500 Organisationen durch das BSI-Gesetz reguliert – insbesondere Betreiber Kritischer Infrastrukturen (KRITIS), Anbieter digitaler Dienste (DSP) und Unternehmen im besonderen öffentlichen Interesse (UBI).

Mit Inkrafttreten des NIS-2-Umsetzungsgesetzes wird der Anwendungsbereich des BSIG deutlich erweitert: Unternehmen, die in bestimmten Sektoren tätig sind und dabei gesetzlich festgelegte Hashtag#Schwellenwerte mit Blick auf Mitarbeitende, Umsatz und Bilanz überschreiten, fallen künftig unter die neuen Kategorien „wichtige Einrichtungen“ und „besonders wichtige Einrichtungen“. Diese müssen drei zentralen Pflichten nachkommen:

– Sie sind gesetzlich verpflichtet, sich als NIS-2-Unternehmen zu registrieren,
– dem BSI erhebliche Sicherheitsvorfälle zu melden und
– Risikomanagementmaßnahmen zu implementieren und diese zu dokumentieren.

KRITIS gelten automatisch als besonders wichtige Einrichtungen.

Einrichtungen der Bundesverwaltung, die unter das NIS-2-Umsetzungsgesetz fallen, sind Bundesbehörden und öffentlich-rechtlich organisierte IT-Dienstleister der Bundesverwaltung, außerdem bestimmte Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts. Von den Einrichtungen der Bundesverwaltung verlangt das NIS-2-Umsetzungsgesetz unter anderem die Umsetzung von IT-Risikomanagementmaßnahmen auf IT-Grundschutz-Basis. Zusätzlich muss die Bundesverwaltung die BSI-Mindeststandards einhalten.

 

BayLDA: Cyberfestung Bayern – Datensicherheit durch Datenschutz

/in /von

Täglich erreichen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Meldungen bayrischer Firmen über Cybersicherheitsvorfälle. Von kompromittierten E-Mail-Accounts, gezielten Spear-Phishing-Attacken bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien – die Cybercrime-Szene ist auch in Bayern aktiv, vielfältig und gefährlich. Die Ziele der Cyberkriminellen sind dabei recht eindeutig: Sie wollen an das Geld und die Daten der Opfer.

Die wirtschaftlichen Schäden der vergangenen Jahre waren für viele attackierte Unternehmen immens, die datenschutzrechtlichen Folgen insbesondere für die vom Vorfall an sich betroffenen Personen oftmals nicht mehr überschaubar. Daher bleibt für das BayLDA die Maxime, das bestehende Präventionsprogramm weiter auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen. Prävention ist schließlich die beste Verteidigung. Als historisches Vorbild orientiert sich das BayLDA dafür an dem Bild der schier uneinnehmbaren Festung, bei der durch gezielte Maßnahmen die Hürden für Angreifer um ein Vielfaches erhöht wurden. Gleiches kann im IT-Umfeld im eigenen Betrieb gelingen. Hierfür stellt das BayLDA eine Checkliste eines Maßnahmenkatalogs zur Verfügung, der sich schwerpunktmäßig technischen und organisatorischen Themen widmet.

In Ergänzung zur Checkliste ist auf dieser Seite zukünftig auch ein Kompakthandbuch für Datenschutzbeauftragte zu finden, das entsprechende Maßnahmen weiter erläutert. Als Erweiterung ist in naher Zukunft zudem geplant, eine Art „Self-Assessment“ anzubieten, bei dem sich Verantwortliche durch ein Online-Tool sehr schnell selbst einstufen können und anschließend passendes Feedback erhalten.

Link : https://www.lda.bayern.de/de/cyberfestung.html

GDD: Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit

/in /von

Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat ein neues Kurzpapier veröffentlicht, das sich mit der praktischen Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit nach der Datenschutz-Grundverordnung (DS-GVO) befasst. Ziel ist es, Verantwortlichen eine Orientierung zu geben, wie sie Dienstleister und Kooperationspartner rechtlich korrekt einordnen können.

Link zum Kurzpapier

GDD: Praxistipps zur Beendigung einer Auftragsverarbeitung

/in /von

Das GDD-Kurzpapier 3 bietet praxisorientierte Empfehlungen zur datenschutzkonformen Beendigung von Auftragsverarbeitungsverhältnissen gemäß Art. 28 Abs. 3 S. 2 lit. g DS-GVO. Es richtet sich an Datenschutzbeauftragte und Verantwortliche, die ihre Pflichten im Zusammenhang mit der Beendigung von Auftragsverarbeitungen verstehen und umsetzen möchten.

Für detaillierte Informationen und weiterführende Empfehlungen können Sie das vollständige GDD-Kurzpapier 3 herunterladen:

GDD-Kurzpapier 3: Praxistipps für die Beendigung der Auftragsverarbeitung

NIS-2: Bundesregierung legt NIS-2-Umsetzungsgesetz vor

/in /von

Die Bundesregierung will die Widerstandskraft von Staat und Wirtschaft gegen Cyberangriffe deutlich erhöhen. Dazu hat sie einen Gesetzentwurf (21/1501 ) vorgelegt, mit dem die NIS-2-Richtlinie der EU und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung in deutsches Recht umgesetzt werden soll. Die Richtlinie setzt unter anderem strengere Sicherheitsanforderungen voraus, sieht umfangreiche Meldepflichten bei Sicherheitsvorfällen sowie schärfere Sanktionen bei Verstößen vor. Ziel ist nach Regierungsangaben die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, um in der gesamten Europäischen Union „ein hohes gemeinsames Cybersicherheitsniveau“ sicherzustellen.

Entsprechend der unionsrechtlichen Vorgaben soll der mit dem IT-Sicherheitsgesetz und IT-Sicherheitsgesetz 2.0 geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz für den Bereich bestimmter Unternehmen erweitert werden. Zusätzlich sollen entsprechende Vorgaben für die Bundesverwaltung eingeführt werden. Der Entwurf sieht vor, dass der Anwendungsbereich ausgeweitet und neue Einrichtungskategorien eingeführt werden. Zudem soll die bislang einstufige Meldepflicht bei Sicherheitsvorfällen durch ein dreistufiges Melderegime ersetzt werden. Das Instrumentarium des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll im Hinblick auf Aufsichtsmaßnahmen erweitert werden. Darüber hinaus soll in der Bundesverwaltung ein zentraler Koordinator (CISO Bund) für Maßnahmen zur Informationssicherheit in deren Einrichtungen etabliert werden. Dieser soll auch die Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement unterstützen.

Laut der Bundesregierung hat die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft identifiziert. Die Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe sei eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, heißt es weiter. Für das Informationssicherheitsmanagement in der
Bundesverwaltung haben sich „die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen“, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen, heißt es im Entwurf.

Für den Bundeshaushalt entstehen durch das Gesetz bei der Bundesverwaltung einmalige Ausgaben in Höhe von rund 59 Millionen Euro sowie bis zum Jahr 2029 laufende jährliche Ausgaben in Höhe von durchschnittlich rund 212 Millionen Euro. Der Wirtschaft sollen einmalig 2,2 Milliarden Euro sowie laufend 2,3 Milliarden Euro jährlich an Kosten entstehen. Mehrausgaben für Länder und Kommunen sind nicht vorgesehen. Mit dem vorgelegten Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie setzt die Bundesregierung ein klares Signal für mehr Cybersicherheit in Verwaltung und Wirtschaft.

 

DSK: Datenschutzbeauftragte fordern Nein der Bundesregierung zur Chatkontrolle

/in /von

Private Kommunikation muss sicher und vertraulich bleiben

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 08.10.2025

Die Konferenz der unabhängigen Datenschutzbehörden von Bund und Ländern (DSK) stellt sich gegen die Pläne der dänischen EU-Ratspräsidentschaft und fordert die Bundesregierung auf, bei ihrem Nein zur anlasslosen Massenüberwachung von Bürgerinnen und Bürgern zu bleiben.

Die dänische Regierung hat als amtierende EU-Ratspräsidentschaft die Verordnung zur sogenannten Chatkontrolle auf die Tagesordnung des EU-Rats am 14. Oktober gesetzt. Im Entwurf der Verordnung sind jetzt wieder verpflichtende Möglichkeiten zur Massenüberwachung privater Chats („Aufdeckungsanordnungen“) sowie die Möglichkeit des flächendeckenden Scannens von privaten Nachrichten auf den Endgeräten der Nutzerinnen und Nutzer eingefügt worden. Mit diesem sogenannten „Client-Side-Scanning“ kann die Ende-zu-Ende-Verschlüsselung umgangen werden, da Nachrichten bereits vor dem verschlüsselten Versand durchsucht werden können.

Die diesjährige Vorsitzende der DSK, die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Meike Kamp, fordert im Namen der gesamten DSK die Bundesregierung auf, weiter für sichere und vertrauenswürdige Kommunikation einzutreten und den Verordnungsentwurf zur Chatkontrolle in dieser Fassung abzulehnen, da weiter rechtsstaatliche Grenzen überschritten werden.

Meike Kamp: „Anlasslose Massenüberwachungen, die Millionen Bürgerinnen und Bürger in der Europäischen Union unter Generalverdacht stellen, sind unverhältnismäßig. Die vorgeschlagene Chatkontrolle gefährdet die sichere Kommunikation in unserer offenen Gesellschaft. Eine Untergrabung der Ende-zu-Ende-Verschlüsselung durch Client-Side-Scanning und damit die Überwachung direkt auf den Endgeräten aller Personen wäre das Ende der Privatsphäre, wie wir sie kennen.“

Die DSK ist sich im Klaren darüber, dass Sicherheitsbehörden wirksame Werkzeuge und rechtliche Möglichkeiten zur Bekämpfung und Vermeidung von sexuellem Missbrauch von Kindern benötigen. Auch die DSK unterstützt diese Zielsetzung. Dieses Ziel darf jedoch nicht auf Kosten der Privatsphäre von Millionen von Personen verfolgt werden, die dafür keinen Anlass gegeben haben. Hintertüren in der Verschlüsselung gefährden die Sicherheit der Kommunikation aller Personen und könnten auch von Kriminellen missbraucht werden.

Quelle: https://www.datenschutzkonferenz-online.de

Bundesnetzagentur: Hinweispapier zu KI-Kompetenz

/in /von

it dem Inkrafttreten der KI-Verordnung der EU (EU 2024/1689) sind Anbieter und Betreiber von KI-Systemen verpflichtet, ein „ausreichendes Maß an KI-Kompetenz“ sicherzustellen (Art. 4 Abs. 1). Die Bundesnetzagentur (BNetzA) hat hierzu ein Hinweispapier veröffentlicht, das erläutert, wie diese Anforderung praktisch und verhältnismäßig umgesetzt werden kann – ohne bürokratische Hürden, aber mit klarem Fokus auf Risikominimierung und Grundrechtsschutz.

Wer ist betroffen?
Die Kompetenzanforderung gilt für alle Akteure, die KI-Systeme entwickeln, vertreiben oder betreiben – unabhängig von Größe oder Branche. Auch Organisationen, die KI-Systeme Dritter einsetzen (z. B. Software-as-a-Service oder ausgelagerte Systeme), sind erfasst. Maßgeblich ist der jeweilige Nutzungskontext – insbesondere Art, Risiko und Einsatzbereich des KI-Systems sowie die Verantwortung der involvierten Personen.

Ziel und Reichweite der Anforderung
Die Regelung soll sicherstellen, dass alle Beteiligten über ausreichende Kenntnisse verfügen, um KI-Systeme sachkundig und verantwortungsbewusst zu nutzen. Dazu gehören insbesondere technische, rechtliche und ethische Aspekte. Die Verordnung fordert keine formale Zertifizierung, jedoch wird eine strukturierte, dokumentierte Kompetenzentwicklung empfohlen.

Umsetzung in vier Schritten
Die Bundesnetzagentur empfiehlt einen pragmatischen, risikobasierten Ansatz:
• Bedarfsanalyse: Ermittlung, welche Personen mit welchen Systemen arbeiten und welche Kompetenzen erforderlich sind.
• Maßnahmenplanung: Auswahl geeigneter Formate wie Schulungen, Webinare oder Selbstlernangebote – intern oder extern.
• Weiterentwicklung: Kompetenzen sind regelmäßig zu aktualisieren – auch angesichts technischer und regulatorischer Entwicklungen.
• Dokumentation: Inhalte, Umfang und Teilnehmende der Maßnahmen sollten nachvollziehbar erfasst werden.

Unterstützung und Angebote
Zur Unterstützung verweist die Bundesnetzagentur auf bestehende Initiativen wie die Mittelstand-Digital Zentren, Digital Innovation Hubs sowie eigene Webinare im Rahmen des KI-Pakts. Diese richten sich insbesondere an kleinere Unternehmen und Organisationen ohne eigene KI-Abteilungen.

GDD-Stellungnahme zum NIS-2-Umsetzungsgesetz: Klare Regeln für echte Cybersicherheit gefordert

/in /von

Die GDD begrüßt die Priorisierung der NIS2-Umsetzung, mahnt jedoch im Rahmen der Stellungnahme praxisnahe Nachbesserungen an. Die GDD fordert darin unter anderem:

  • Klare Definitionen zentraler Begriffe wie „Risiko“ und „Cyberhygiene“ für eine einheitliche Anwendung.
  • Pflicht zur Meldung von Sicherheitslücken an Hersteller, um verdeckte Nutzung durch Behörden zu verhindern und die IT-Sicherheit zu stärken.
  • Sämtliche Ausnahmen für einzelne Teile der Bundesverwaltung gänzlich gestrichen werden, da auch deren IT-Sicherheit Teil der Gesamtsicherheit ist.
  • Regelmäßige Evaluierungen zur Wirksamkeit der Sicherheitsgesetze.
  • Vermeidung doppelter Bußgelder zwischen Cybersicherheits- und Datenschutzaufsicht.
  • Klare Kriterien für die Meldepflicht bei erheblichen Sicherheitsvorfällen und eine rechtssichere Festlegung, wann Tätigkeiten als „vernachlässigbar“ gelten.

Die GDD macht deutlich: Nur mit rechtssicheren, eindeutigen und praxisnahen Vorgaben kann die NIS2-Umsetzung zur echten Stärkung der Cybersicherheit beitragen, ohne Wirtschaft und Verwaltung unnötig zu belasten. Die gesamte Stellungnahme finden Sie hier.

Referentenentwurf zum NIS-2-Umsetzungsgesetz: Geschäftsleitung künftig in der Haftung

/in /von

Unternehmen mit kritischen Diensten oder digitaler Infrastruktur müssen künftig strengere IT-Sicherheitsvorgaben erfüllen. Die Verantwortung trägt ausdrücklich die Geschäftsleitung – bei Verstößen droht persönlicher Regress. Laut Referentenentwurf des NIS2UmsuCG vom 23. Juni 2025 betrifft das über 30.000 Organisationen, die sich beim BSI registrieren, Sicherheitsstandards einhalten und Vorfälle melden müssen. Auch IT-Dienstleister in Konzernen sind erfasst. Unklar bleibt die Rolle eines zentralen „CISO Bund“. In Kürze erscheint zum Referentenentwurf eine Stellungnahme der GDD. Der gesamte Referentenentwurf kann hier abgerufen werden.