Archiv: News

Sicherheitslücke bei TeamViewer

In aktuellen Sicherheitsmeldungen wurde über eine Schwachstelle in TeamViewer informiert. Unter bestimmten Voraussetzungen kann diese in Mehrbenutzer-Umgebungen dazu führen, dass eine Remote-Verbindung zu einem bereits angemeldeten Benutzer aufgebaut wird, ohne dass dieser die Verbindung zuvor aktiv bestätigen muss. 

Betroffen sind TeamViewer Clients (Full und Host) unter Windows, macOS und Linux in Versionen vor 15.74.5. Der Hersteller hat die Schwachstelle inzwischen geschlossen und entsprechende Sicherheitsupdates bereitgestellt. Hinweise auf eine aktive Ausnutzung liegen derzeit nicht vor.

Wir empfehlen Ihnen dringend:

  • TeamViewer Clients/Hosts kurzfristig zu aktualisieren (Sicherheitsupdates einspielen) 
  • Bestehende TeamViewer-Konfigurationen zu überprüfen (insbesondere Zugriffseinstellungen und Bestätigungsmechanismen) 

Lesen Sie mehr unter:
https://ogy.de/gthj

HBDI: Microsoft 365 unter Auflagen datenschutzkonform nutzbar

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat in einem Bericht vom 15. November 2025 bestätigt, dass Microsoft 365 unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden kann. Damit nimmt der HBDI nach früherer Kritik an den Microsoft-Vertragsunterlagen eine neu bewertete Position ein.

Ausgangspunkt war die Beanstandung der Datenschutzkonferenz (DSK) aus dem Jahr 2022, wonach das damalige Data Protection Addendum (DPA) nicht den Anforderungen des Art. 28 DSGVO entsprach. Inzwischen hat Microsoft sein Datenschutzkonzept nachgebessert: Das DPA wurde überarbeitet, die sogenannte „EU-Datengrenze“ soll die Verarbeitung personenbezogener Daten weitgehend auf den Europäischen Wirtschaftsraum beschränken, und ergänzende Dokumentationshilfen wie das M365-Kit unterstützen Verantwortliche bei der Erfüllung ihrer Datenschutz- und Nachweispflichten. Die Einschätzung des HBDI gilt jedoch nur unter klaren Rahmenbedingungen. Verantwortliche müssen das aktualisierte DPA abschließen und für eine datenschutzgerechte Konfiguration sowie eine rechtskonforme Nutzung sorgen. Zudem basiert der Bericht auf rechtlichen und organisatorischen Zusagen und nicht auf einer umfassenden technischen Prüfung aller M365-Dienste.

Für Unternehmen und Behörden bedeutet dies: Microsoft 365 kann bei Einhaltung der genannten Voraussetzungen zulässig eingesetzt werden. Eine pauschale DSGVO-Konformität für alle Nutzungsszenarien folgt daraus jedoch nicht. Eine eigenständige rechtliche Bewertung und eine konkrete Risikoanalyse bleiben weiterhin erforderlich.

Lesen Sie mehr unter:
https://ogy.de/2kob

Microsoft veröffentlicht neue Datenschutz-Hilfen für M365 und Copilot

Microsoft hat im November 2025 neue Dokumentations- und Compliance-Hilfen vorgestellt, die Unternehmen bei der datenschutzkonformen Nutzung von Microsoft 365, Copilot und weiteren Cloud- und KI-Diensten unterstützen sollen. Ziel ist es, insbesondere die Rechenschaftspflichten nach der DSGVO praxisnah zu erleichtern.

Kernbestandteile der neuen Materialien sind unter anderem ein sogenanntes M365-Kit mit Vorlagen und Mustertexten für zentrale DSGVO-Dokumentationen, etwa Verzeichnisse von Verarbeitungstätigkeiten, Rechtsgrundlagen oder Datenschutzhinweise. Ergänzt wird dies durch ein überarbeitetes Cloud Compendium, das häufige Datenschutz- und Compliance-Fragen zu Cloud-Diensten wie Copilot oder Azure aufgreift und die rechtlichen Bezüge transparent darstellt. Zudem stellt Microsoft anpassbare Vorlagen für Datenschutz-Folgenabschätzungen (DSFA) bereit, um risikobehaftete Verarbeitungsszenarien standardisiert zu bewerten und zu dokumentieren. 

Microsoft betont, die Materialien seien in Zusammenarbeit mit Datenschutzaufsichtsbehörden – unter anderem aus Bayern und Hessen – entwickelt worden. Sie sollen insbesondere im KI- und Cloud-Kontext dabei helfen, DSGVO-Konformität nachvollziehbar nachzuweisen.

Für Datenschutz-Verantwortliche bieten die neuen Tools eine hilfreiche Grundlage, um Dokumentations- und Nachweispflichten im Umgang mit Microsoft-Cloud-Diensten effizienter zu erfüllen. Sie können die Strukturierung von Verarbeitungstätigkeiten unterstützen, DSFA-Prozesse vereinheitlichen und die Argumentation gegenüber Aufsichtsbehörden erleichtern. Gleichwohl ersetzen die Vorlagen keine individuelle datenschutzrechtliche Bewertung der konkreten Einsatzszenarien, sondern sollten als Bestandteil einer umfassenden Cloud-Governance- und Compliance-Strategie verstanden werden.

Lesen Sie mehr unter:
https://ogy.de/x3p7

Gesetze und Verordnungen 2026

1. Data Act

Der Data Act soll den Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten regeln, Datenportabilität sicherstellen und faire Wettbewerbsbedingungen, insbesondere im Cloud-Umfeld, schaffen.

Anwendbar seit: 12.09.2025 (weitere Zeitpunkte gestaffelt)

Betroffene Unternehmen: Hersteller vernetzter Produkte, Anbieter verbundener digitaler Dienste sowie Cloud- und Edge-Computing-Dienste, die Daten in der EU erzeugen, verarbeiten oder bereitstellen.

To-dos:

  • Prüfung, ob das eigene Unternehmen betroffen ist
  • Durchführung einer Dateninventur
  • Implementierung von Prozessen zur Datenübertragbarkeit und Interoperabilität, inkl. zentraler Anlaufstelle und Verfahren für Nutzeranfragen (Achtung: Verarbeitung personenbezogener Daten der Nutzer)
  • Für neue Produkte: Datenzugang by Design ab 12.09.2026
  • Anpassung von Verträgen an faire Vertragsklauseln (keine Haftungsausschlüsse für Vorsatz oder grobe Fahrlässigkeit); ab 12.09.2027 auch für Altverträge
  • Verbot von Switching-Gebühren bei Cloud-Diensten ab 12.01.2027
  • Einrichtung von Behördenzugriffen für definierte Notfallsituationen

Relevanz für Datenschutz: Sehr hoch, neben technischen Daten können auch personenbezogene Daten anfallen.

Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland

2. Transparenz und Targeting politischer Werbung

Diese Verordnung soll Transparenz schaffen, Missbrauch verhindern und sicherstellen, dass politische Werbung innerhalb der EU klar gekennzeichnet und rechtmäßig erfolgt.

EU-weit anwendbar seit: 10.10.2025

Betroffene Unternehmen: Parteien, Plattformen, Agenturen, Werbewirtschaft sowie alle Unternehmen, die politische Werbung schalten oder veröffentlichen.

To-dos:

  • Beifügung umfangreicher Transparenzerklärungen
  • Sicherstellung, dass personenbezogene Daten nur direkt und ausschließlich zum Zweck politischer Werbung erhoben werden
  • Festlegung und Umsetzung eines Prozesses für ausdrückliche Einwilligungen
  • Ausschluss von Targeting auf Basis von Tracking
  • Sicherstellung, dass keine besonders sensiblen Daten verwendet werden
  • Einrichtung eines direkten Beschwerdeverfahrens für Nutzer

Relevanz für Datenschutz: In betroffenen Unternehmen sehr hoch.

Mehr Informationen: EU-Verordnung | Referentenentwurf Deutschland

3. eIDAS 2.0 / EU-ID-Wallet

Mit eIDAS 2.0 soll eine europaweit einheitliche, sichere digitale Identität geschaffen werden. Die EU-ID-Wallet ermöglicht die digitale Identifizierung und den Austausch qualifizierter Nachweise.

Anwendbarkeit: gestaffelt ab Mitte/Ende 2025, weitere Pflichten ab 2026 bzw. 2027 (Mitgliedstaaten sollen Wallets 2026 bereitstellen)

Betroffene Unternehmen: Öffentliche Stellen, Banken, Versicherungen; alle Unternehmen, die elektronische Identifizierungssysteme anbieten, herstellen oder nutzen 

To-dos:

  • Klärung der Rolle des Unternehmens (Nutzer oder Vertrauensdienstanbieter)
  • Prozess- und IT-Inventur: Welche Prozesse sind betroffen?
  • Registrierung bei zuständiger Stelle, sofern Wallet-Daten abgerufen werden
  • Sicherstellung von Datenminimierung, Datensicherheit und Cybersicherheitsstandards
  • Schulung der Beschäftigten

Relevanz für Datenschutz: Sehr hoch, es können umfangreiche, teils besonders sensible personenbezogene Daten verarbeitet werden.

Mehr Informationen: Übersicht über Durchführungsverordnungen | Übersicht zum Wallet

4. KI-Verordnung (KI-VO / AI Act)

Die KI-Verordnung verfolgt einen risikobasierten Ansatz und soll den Einsatz von KI sicher, transparent und grundrechtskonform gestalten.

Betroffene Unternehmen: KI-Entwickler und KI-Anbieter, bestimmte Anwender mit Hochrisiko (Finanzen, Gesundheitswesen, Personalwesen); alle Unternehmen, die entsprechende KI-Systeme nutzen

Termine:

  • Verbot bestimmter KI-Systeme seit 02.02.2025
  • Schulungspflicht für Beschäftigte seit 02.02.2025
  • Pflichten für Anbieter von General-Purpose-AI-Systemen seit 02.08.2025
  • Allgemeine Anwendbarkeit ab 02.08.2026
  • Erhöhte Produktsicherheitsanforderungen für Hochrisiko-KI ab 02.08.2027

To-dos:

  • Inventur aller KI-Systeme (angeboten und genutzt)
  • Dokumentation der KI-Systeme sowie der verarbeiteten bzw. verwendeten Trainingsdaten
  • Einführung eines Risikomanagements
  • Risikoklassifizierung der KI-Systeme
  • Transparenz gegenüber Anwendern, ggf. Kennzeichnung von KI-Inhalten

Mehr Informationen: Die GPAI-Guidelines | Referentenentwurf Deutschland

5. Kritische Infrastrukturen – NIS-2 & KRITIS-Dachgesetz

Die Regelungen sollen die Widerstandsfähigkeit kritischer Infrastrukturen gegenüber Cyberangriffen und physischen Bedrohungen erhöhen.

Betroffene Unternehmen: Alle Unternehmen, die den KRITIS-Sektoren zugeordnet sind und bestimmte Schwellenwerte überschreiten

To-dos:

  • Prüfung der Betroffenheit (Sektorzugehörigkeit und Schwellenwerte)
  • Umsetzung eines umfassenden Cybersicherheits-Risikomanagements (NIS-2)
  • Einführung von Backup-, Krisen- und Lieferkettenkonzepten
  • Beachtung verschärfter Meldepflichten
  • Umsetzung physischer Sicherheitsmaßnahmen sowie Schulungen und Notfallübungen (KRITIS-Dachgesetz)

Relevanz für Datenschutz: Sehr hoch,  bei Angriffen können personenbezogene Daten betroffen sein; zudem erlaubt der Gesetzentwurf zweckändernde Verarbeitungen durch Behörden.

Mehr Informationen: NIS-2-Umsetzungsgesetz | Entwurf KRITIS-Dachgesetz

6. Verbraucherrechte-Richtlinie

Die Richtlinie stärkt Verbraucherrechte im Fernabsatz und soll den Widerruf von Online-Verträgen vereinfachen.

Anwendung ab: 19.06.2026

Betroffene Unternehmen: Betreiber von Online-Shops 

To-dos:

  • Einbindung verpflichtender Widerrufsbuttons
  • Sicherstellung der leichten Erreichbarkeit des Widerrufbuttons während der gesamten Widerrufsfrist
  • Anpassung von Webseiten und Schnittstellen unter Beachtung formaler Vorgaben

Mehr Informationen: EU-Richtlinie | Diskussionsentwurf des Bundesministeriums der Justiz

7. Cyber Resilience Act (CRA)

Der CRA adressiert Cybersicherheitsrisiken von Produkten mit digitalen Elementen über deren gesamten Lebenszyklus.

Betroffene Unternehmen: Hersteller, Importeure und Händler von Produkten mit digitalen Elementen 

Termine:

  • Meldepflichten ab 11.09.2026
  • Sicherheitsanforderungen für neue Produkte ab 11.12.2027

Relevanz für Datenschutz: Cybersicherheitslücken können Datenschutzverletzungen verursachen.

Mehr Informationen: EU-Verordnung (konsolidiert) 

8. E-Evidence-Verordnung

Die Verordnung regelt den grenzüberschreitenden Zugriff von Strafverfolgungsbehörden auf elektronische Beweismittel innerhalb der EU.

Übergangsfrist bis: 18.08.2026

Betroffene Unternehmen: Telekommunikationsunternehmen, E-Mail-Anbieter, VoIP-Dienste, Messaging-Dienste, Cloud-Dienstleister, Hosting-Provider, Betreiber von Plattformen. Ausschlaggebend ist die Bereitstellung digitaler Dienste innerhalb der EU. 

To-dos:

  • Festlegung interner Zuständigkeiten
  • Verfahren zur rechtlichen Bewertung eingehender Anordnungen
  • Technische Maßnahmen zur Datenidentifikation, -sicherung und -übermittlung
  • Prüfung möglicher Kollisionen mit Drittstaatenrecht
  • Rechtzeitige Einbindung von Auftragsverarbeitern

Relevanz für Datenschutz: Sehr hoch, auch sensible personenbezogene Daten können betroffen sein.

Mehr Informationen: EU-Verordnung | Entwurf der Umsetzung in Deutschland

9. Produkthaftungsrichtlinie (neu)

Die Richtlinie modernisiert das Produkthaftungsrecht und erweitert den Produktbegriff ausdrücklich auf Software und KI-Systeme.

Umsetzung bis: 09.10.2026

Betroffene Unternehmen: Software- und KI-Entwickler bzw. -Hersteller sowie alle Unternehmen, die gewerbsmäßig an der Wertschöpfung des Produkts beteiligt sind 

Kernaussagen:

  • Haftung für fehlerhafte Produkte, auch bei Software und KI
  • Berücksichtigung von Cybersicherheitslücken bei der Fehlerbewertung
  • Haftung auch für Verlust oder Verfälschung von Daten
  • Prüfung und Anpassung von Verträgen sowie Dokumentation von Produktentwicklung und Updates

 Mehr Informationen: EU-Richtlinie

NIS-2 ist in Kraft, sind Sie betroffen?

Seit Anfang Dezember gilt in Deutschland das NIS-2-Umsetzungsgesetz. Damit wird, wenn auch mit leichter Verzögerung, eine EU-Richtlinie umgesetzt, die deutlich höhere Anforderungen an IT-Sicherheit, Risikomanagement und Meldepflichten für Unternehmen mit sich bringt.

Warum ist das jetzt relevant?

Während bislang nur rund 1.000 Unternehmen unter die KRITIS-Regelungen fielen (Kritische Infrastrukturen), rechnet man im Zuge von NIS-2 mit etwa 30.000 betroffenen Unternehmen in Deutschland. Viele Organisationen sind sich aktuell noch gar nicht bewusst, dass sie unter die neuen Vorgaben fallen könnten.

Wenn in Ihrem Unternehmen bisher noch keine Prüfung erfolgt ist, ob NIS-2 für Sie gilt, ist jetzt der richtige Zeitpunkt, das nachzuholen.

Gehört Ihr Unternehmen möglicherweise dazu?

Ein erster Hinweis ergibt sich, wenn Ihr Unternehmen in einer der folgenden Branchen tätig ist:

  • Gesundheitswesen
  • Maschinen- oder Fahrzeugbau
  • Transport & Logistik
  • Finanzwesen
  • Energie- und Wasserversorgung
  • Lebensmittelproduktion und -vertrieb
  • Medizinprodukte & In-vitro-Diagnostika

Zusätzlich gilt:

  • mehr als 50 Beschäftigte
    oder
  • bei weniger als 50 Beschäftigten ein Jahresumsatz von über 10 Mio. Euro

Was ist jetzt zu tun?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt einen kurzen Selbsttest zur Verfügung, mit dem Sie unkompliziert prüfen können, ob Ihr Unternehmen unter NIS-2 fällt. Der BSI-Kurzfragebogen ist verständlich aufgebaut und in wenigen Minuten ausgefüllt. Ergibt der Test eine Betroffenheit, ist der erste verpflichtende Schritt die Registrierung beim BSI. Alle weiteren Maßnahmen, etwa zu Sicherheitsprozessen, Dokumentation oder Meldewegen, lassen sich anschließend strukturiert und planbar angehen.

Wichtig zu wissen

Unternehmen, die trotz Verpflichtung nicht fristgerecht registriert sind, riskieren nach Ablauf der dreimonatigen Übergangsfrist ein Bußgeld.

Hier gelangen Sie direkt zum BSI-Selbsttest:
https://betroffenheitspruefung-nis-2.bsi.de/

Zahl der Datenpannen in Sachsen bleibt auf Rekordniveau

Zahl der Datenpannen in Sachsen bleibt auf Rekordniveau

Auch 2025 verzeichnet die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB) erneut rund 1.000 Meldungen zu Datenschutzvorfällen, so viele wie im Rekordjahr zuvor. Häufige Ursachen sind Fehlversendungen, offene E-Mail-Verteiler oder verlorene Datenträger. In etwa jedem zehnten Fall steckt Cyberkriminalität dahinter. 

Wie Verantwortliche Datenpannen vermeiden und richtig reagieren können, erläutert die SDTB am
30. Oktober 2025 um 16 Uhr im kostenlosen Onlineseminar „Prävention und Meldepflichten bei Datenpannen – ein Leitfaden für die Praxis“.

Der entsprechende Seminar-Link wird am 30.10.2025 auf www.datenschutz.sachsen.de veröffentlicht. 

Lesen Sie mehr unter:
https://www.datenschutz.sachsen.de/meldungen-von-datenpannen-in-sachsen-auf-rekordniveau-des-vorjahres-7771.html

Beitragsempfehlung von der Bundesbeauftragten für Datenschutz und Informationssicherheit, Prof. Dr. Louisa Specht-Riemenschneider

Künstliche Intelligenz ist längst nicht mehr nur ein technisches Schlagwort, sondern prägt zunehmend Wirtschaft, Verwaltung und Gesellschaft. Mit dieser Entwicklung stellen sich zahlreiche Fragen: Welche Chancen entstehen für Innovation und Wettbewerbsfähigkeit? Welche Risiken ergeben sich für Datenschutz, Grundrechte und demokratische Prozesse?

Die Bundesbeauftragte für Datenschutz und Informationssicherheit empfiehlt hierzu einen lesenswerten Artikel, der genau diesen Spannungsfeldern nachgeht:

„Künstliche Intelligenz als soziotechnische Entwicklung“ (Forschung & Lehre vom 09.09.2025)
Der Beitrag untersucht KI nicht nur als technische Innovation, sondern beleuchtet sie als Teil eines sozio-technischen Gefüges und diskutiert Machtverhältnisse, Regulierung und gesellschaftliche Implikationen. 

Lesen Sie Ihn hier:
https://www.forschung-und-lehre.de/recht/kuenstliche-intelligenz-als-soziotechnische-entwicklung-7278

Neue Pflichten durch den EU-Data Act

Am 12.09.2025 ist der EU-Data Act in Kraft getreten. Damit verbunden sind neue Rechte, aber auch Pflichten für Unternehmen. Der Artikel der GDD (Gesellschaft für Datenschutz und Datensicherheit) fasst die wichtigsten Neuerungen zusammen:

  • Der Data Act gilt europaweit unmittelbar. 
  • Er verpflichtet Anbieter vernetzter Geräte und Dienste dazu, Datenzugang zu ermöglichen und erleichtert den Anbieterwechsel. 
  • Für Unternehmen bringt das sowohl Anforderungen (z. B. technische Umsetzung, Datenzugänglichkeit) als auch neue Ansprüche als Nutzer. 
  • In Deutschland ist unter anderem die Bundesnetzagentur als Aufsichtsbehörde vorgesehen, die Rolle der BfDI wird in datenschutzrechtlichen Fragen hervorgehoben. 

Lesen Sie mehr unter:
https://www.gdd.de/aktuelles/eu-data-act-ab-heute-unmittelbar-geltendes-recht-neue-pflichten-aber-auch-rechte-fuer-europaeische-unternehmen/

Praxistipps für die Beendigung der Auftragsverarbeitung

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat ein neues Kurzpapier veröffentlicht, das Verantwortlichen praxisnahe Empfehlungen gibt, wie Auftragsverarbeitungsverhältnisse rechtssicher und datenschutzkonform beendet werden können. 

Es behandelt u. a.: 

  • welche Anforderungen die EU-DSGVO an die Rückgabe und Löschung personenbezogener Daten
    nach Vertragsende stellt,
  • welche Pflichten Auftragsverarbeiter dabei erfüllen müssen, 
  • und welche Kontroll- und Auswahlpflichten Verantwortliche beachten sollten. 

Download GDD-Kurzpapier 3 – Praxistipps für die Beendigung der Auftragsverarbeitung:
https://www.datenschutz-prodatis.com/nl/Praxistipps-fuer-die-Beendigung-der-Auftragsverarbeitung.pdf

Erweiterter Chat-Datenschutz: Meta ermöglicht mehr Kontrolle über WhatsApp Nachrichten

Bereits im April eingeführt, rückt mit den letzten Datenschutz-Bedenken die neue Funktion Erweiterter Chat-Datenschutz mehr in den Fokus der Endverbraucher. Doch was kann der erweiterte Chat-Datenschutz?

Was bringt die neue Funktion und welche Vorteile hat der Erweiterte Chat-Datenschutz?

Im Ganzen geht es um Einschränkungen für andere Nutzer. Mit Einschalten des erweiterten Chat-Datenschutzes können die Personen des Chats:

  • Medien nicht mehr automatisch in Galerien der jeweiligen Geräte speichern.
  • Meta-AI-Funktionen (z. B. die Erwähnung von @Meta AI oder die KI-Zusammenfassung ungelesener Nachrichten) im Chat nicht mehr verwenden.
  • den betroffenen Chat nicht mehr exportieren.

Diese neuen Möglichkeiten bringen einige Vorteile mit sich: Nutzer können nun besser kontrollieren, welche Informationen nach außen getragen und verbreitet werden dürfen. Bedauerlicherweise hält dies aber noch nicht den kompletten Schutzeffekt für die Endverbraucher parat, denn Nachrichten weiterleiten und Screenshots anfertigen sind nach wie vor möglich. Außerdem ändert der erweiterte Chat-Datenschutz nichts an Metas grundsätzlicher Praxis, Inhalte, die aktiv an Meta AI geschickt werden, für das KI-Training zu verwenden. Ein Thema, das Meta im Mai noch einmal öffentlich betont hat. Benutzer hoffen, dass es hier in naher Zukunft ebenso mehr Kontrolloptionen geben wird.

Wichtig zu wissen: Für jeden Chat und auch für jeden Gruppen-Chat muss diese Einstellung einzeln aktiviert werden. Außerdem ist diese Funktion nicht für Unternehmen verfügbar, die Meta beauftragt haben, Nachrichten sicher aufzubewahren und Kunden zu antworten.