BfDI hat keinen einklagbaren Anspruch auf Kontrolle – DS News KW 10/2026

Transkript zur Folge:

Du weißt, Jane, wir geben heute ganz schön viele Hausaufgaben mit.
Das stimmt, aber von nichts kommt nichts.
Richtig, genau. Wir wollen euch ja auch besser machen.
Ganz genau.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
Heute ist Freitag, der 6. März 2026. Unser Redaktionsschluss war um 9.30 Uhr
heute und mein Name ist Laura Droschinski.
An meiner Seite begrüße ich Julia Kriwert. Hallo liebe Julia.
Hallo Laura.
Ja, zweiter Anlauf für heute. Irgendwie spielt die Technik mich ganz mit.
Aber das soll uns natürlich nicht abhalten davor, dass wir natürlich auch heute
mit euch auf die wichtigsten Datenschutzthemen schauen möchten.
Alles das, was diese Woche passiert ist. Deshalb Julia, was hast du denn heute auf dem Zettel?
Ich habe heute eine Warnung der NRW-Datenschutzbeauftragten vor Veröffentlichung
von Patientendaten in sozialen Medien,
öffentlich sichtbare Google-API-Schlüsse für Gemini, die zu riskanten Zugriffen
auf KI-Dienste führen können und
den aktuellen Bedrohungsbericht 2026 von Cloudflare. Was hast du für uns?
Ich habe natürlich mitgebracht unser Top-Thema und zwar die Entscheidung des
Bundesverwaltungsgerichts zur Klage der BFDI gegen den BND.
Dann geht es weiter bei mir mit einer ersten Studie zum Thema NIST 2 und der
Akzeptanz oder Tätigkeiten der Unternehmen in Deutschland dazu.
Dann eine neue App habe ich mitgebracht. Nicht ich, ist nicht meine.
Schade.
Aber diese App soll smarte Brillen erkennen. Fand ich ganz cool oder fanden
wir ganz cool in der Vorbereitung, weshalb wir es ja mal ausnahmsweise mitgenommen
haben, auch wenn es vielleicht nicht einen direkten datenschutzrechtlichen Bezug hat.
Und zu guter Letzt natürlich auch Lesehinweise und eine Veranstaltung,
glaube ich, haben wir auf dem Zettel.
Ja.
Ja, dann...
Möchtest du starten?
Gerne. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen,
Bettina Geig, hat medizinisches Personal eindringlich davor gewarnt,
Patientendaten in sozialen Medien zu veröffentlichen.
Anlass sind mehrere Fälle, in denen Ärzte, Therapeuten und Pflegekräfte sensible
Gesundheitsinformationen über Plattformen wie Instagram, Snapchat oder auch
in Livestreams geteilt haben.
In einem Fall veröffentlichte ein Schönheitschirurg ein Foto aus der Vorbereitung
einer Operation auf Instagram, inklusive eines im Bild sichtbaren Klarnamens der Patientin.
Dieses Foto war ursprünglich allerdings lediglich zur Veranschaulichung für die Patientin gedacht.
In einem anderen Fall teilte eine Psychotherapeutin einen Therapieantrag der
Krankenkasse in den sozialen Medien, wobei der Name der Patientin erkennbar blieb.
Und auch Pflegekräfte filmten teilweise pflegebedürftige Personen für Kurzvideos oder Livestreams.
Die LDI betonte, dass auch wenn nur einzelne Körperteile zu sehen sind,
wie es hier dann teilweise der Fall war, Betroffene für Angehörige oder Bekannte
dennoch identifizierbar sein können.
Und die Datenschutzaufsicht stellte klar, solche Veröffentlichungen stellen
regelmäßig einen Verstoß gegen den Datenschutz dar und können Bußgelder sowie
Schadensersatzansprüche der Betroffenen nach sich ziehen.
Bei Patientendaten handelt es sich bekanntlicherweise um besonders sensible
Gesundheitsdaten nach Artikel 9 DSGVO, für deren Verarbeitung besonders strenge Anforderungen gelten.
Eine Veröffentlichung in sozialen Medien ist in der Regel unzulässig,
insbesondere wenn keine wirksame Einwilligung der betroffenen Person vorliegt.
Auch eine Einwilligung kann allerdings im medizinischen Umfeld problematisch
sein, da häufig ein Abhängigkeitsverhältnis zwischen Patient und medizinischem Personal besteht.
Zudem kann in bestimmten Situationen die Einwilligungsfähigkeit der betroffenen
Person eingeschränkt sein.
Dadurch fehlt häufig eine tragfähige Rechtsgrundlage für eine Veröffentlichung.
Also Einrichtungen im Gesundheitswesen sollten klare Social-Media-Richtlinien
für Mitarbeitende etablieren und regelmäßig Schulungen zum Umgang mit sensiblen
Daten durchführen, wenn nicht bereits hoffentlich schon geschehen.
Grundsätzlich gilt, Patientendaten und Aufnahmen aus der Behandlung oder Pflege
gehören nicht in soziale Medien und im Zweifel sollten medizinische Fachkräfte
lieber vollständig auf entsprechende Veröffentlichungen verzichten,
um Datenschutzverstöße und rechtliche Konsequenzen zu vermeiden.
Ja, geht wie bei allem. Augen auf bei Social Media auch benutzen.
Aber mittlerweile, muss man ja auch sagen, also machen wir jetzt mal so große Influencer.
Es ist halt nicht alles privat, wie man das vielleicht an anderer Stelle natürlich
auch vielleicht auf die Idee kommen könnte.
Ja, so ist es.
Die BFDI kann ihre Kontrollrechte gegenüber dem BND nicht gerichtlich durchsetzen.
Das Bundesverwaltungsgericht weist ihre Klage als unzulässig ab.
Also das Bundesverwaltungsgericht hat eine Klage der Bundesbeauftragten für
den Datenschutz und die Informationsfreiheit gegen den Bundesnachrichtendienst
als unzulässig abgewiesen.
Und die Entscheidung hat nun eben erhebliche Bedeutung für die datenschutzrechtliche
Kontrolle der Nachrichtendienste. Nach Auffassung des Gerichts kann die BFDI
ihre Kontrollrechte gegenüber dem BND nicht gerichtlich durchsetzen.
Auslöser des Verfahrens war ein Kontrolltermin der BFDI beim BND.
Der Nachrichtendienst verweigerte der Datenschutzaufsicht die Einsicht in Anordnung
individueller nachrichtendienstlicher Aufklärungsmaßnahmen,
konkret sogenannte CNI-Maßnahmen, also Computer Network Exploration.
Ich hoffe, ich habe das richtig ausgesprochen.
Dabei handelt es sich um Maßnahmen, die ein Hacking von IT-Systemen von Ausländern
im Ausland rechtlich legitimieren sollen.
Aus Sicht der BFDI war eine Einsicht notwendig, um zu prüfen,
ob die Datenverarbeitung rechtmäßig erfolgt.
Das Gericht entschied jedoch, dass bereits die Klage unzulässig ist.
Die Begründung? Die BFDI verfüge nicht über eine wehrfähige Rechtsposition,
mit der sie ihre Kontrollrechte vor Gericht durchsetzen könne.
Verweigert der BND die Einsicht, bleibt der BFDI nur eine Beanstandung beim Bundeskanzleramt.
Der Gesetzgeber habe bewusst entschieden, dass diese Beanstandung keine unmittelbar
durchsetzbaren Abhilfebefugnisse beinhaltet.
Eine gerichtliche Durchsetzung der Kontrolllöche sei daher eben gesetzlich nicht vorgesehen.
Und ja, natürlich hat das der BFDI nicht gefallen, denn sie sieht eben nun darin
eine erhebliche Schwächung der datenschutzrechtlichen Kontrollen der Nachrichtendienste.
Nach ihrer Einschätzung besteht nun die Gefahr von kontrollfreien Räumen,
weil eben die kontrollierte Behörde faktisch selbst bestimmen könne,
welche Informationen sie der Aufsicht zugänglich macht.
Zugleich betont sie, dass Bürgerinnen und Bürger gegenüber geheimdienstlicher
Datenverarbeitung kaum eigene Rechtsschutzmöglichkeiten haben.
Gerade deshalb habe das Bundesverfassungsgericht der Datenschutzaufsicht eine
Kompensationsfunktion für den Grundrechtsschutz zugewiesen.
Die BFDI fordert daher den Gesetzgeber auf, einen klaren Rechtsweg für Streitigkeiten
über Kontrollrechte gegenüber dem BND zu schaffen.
Das Urteil, ich habe es ja schon zu Beginn gesagt, betrifft ja jetzt für uns
eigentlich weniger materielles Datenschutzrecht, aber halt viel mehr institutionelle
Kontrolle der staatlichen Datenverarbeitung.
Also für Unternehmen hat das Urteil jetzt zwar keine unmittelbaren Compliance-Folgen,
politisch und rechtlich gesehen ist das aber natürlich sehr bedeutsam,
denn eben die institutionelle Rolle der Datenschutzaufsicht im staatlichen Bereich
könnte jetzt daraufhin natürlich oder muss neu diskutiert werden.
Möglich sind halt eben jetzt auch gesetzgeberische Anpassungen der Kontrollbefugnisse.
Und auch europarechtliche Fragen zur Unabhängigkeit von Datenschutzaufsichtsbehörden
könnte künftig dann noch relevanter werden.
Also ob jetzt dadurch tatsächlich Kontrolllücken entstehen, können wir jetzt
natürlich weniger beurteilen.
Aber es wird jetzt natürlich eine politische Frage für den Gesetzgeber werden.
Aber das Thema hat, glaube ich, die Datenschutzwelt diese Woche so befasst,
da könnten wir es nicht nicht mitnehmen.
Öffentlich sichtbare Google-API-Keys können zu Datenschutz- und Kostenrisiken durch Gemini führen.
Sicherheitsforscher haben rund 3000 öffentlich einsichtbare Google-API-Keys
identifiziert, die auch für die Nutzung der KI-Gemini autorisiert sind.
Diese Schlüsse sind häufig im Quelltext von Webseiten eingebunden,
etwa für Dienste wie Google Maps oder Firebase.
Da Google bestehende API-Keys automatisch auch für die neue Gemini-App nutzbar
macht, können Unbefugte diese Schlüssel auslesen und missbräuchlich verwenden.
Das kann zwei gravierende Folgen haben. Zum einen können Angreifer kostenpflichtige
KI-Dienste nutzen und damit erhebliche Kosten verursachen.
Zum anderen besteht die Möglichkeit, auf Daten zuzugreifen, die im Rahmen von
Gemini-Anwendungen hochgeladen wurden.
Ein dokumentierter Fall zeigt dabei die Dimensionen auf.
Die monatlichen Cloud-Kosten eines Startups stiegen durch missbräuchliche Nutzung
eines API-Keys von rund 180 US-Dollar auf über 82.000 US-Dollar.
Das Problem wird dadurch verstärkt, dass neu generierte API-Keys in der Google
Cloud standardmäßig für mehrere APIs einschließlich Gemini freigeschaltet sind
und bestehende Schlüssel ohne zusätzliche Bestätigung aktiviert werden können.
Die unbefugte Nutzung von API-Keys kann also zu einem unkontrollierten Zugriff
auf personenbezogene Daten führen, die im Rahmen von KI-Anwendungen verarbeitet
oder hochgeladen wurden.
Unternehmen tragen dabei weiterhin die Verantwortung für eine angemessene Absicherung
ihrer technischen Systeme.
Unternehmen, die Google Cloud-Dienste nutzen, sollten daher kurzfristig prüfen,
ob ihre API-Keys öffentlich einsehbar sind und ob die Gemini API aktiviert ist.
Sichtbare oder kompromittierte Schlüssel sollten umgehend ersetzt und möglichst
auf bestimmte APIs sowie Nutzungsszenarien beschränkt werden.
Zudem empfiehlt sich natürlich die Prüfung und gegebenenfalls Anpassung technischer Schutzmaßnahmen.
So ist es. Sicherlich ein sehr wertvoller Hinweis für IT-Administratoren.
Was Unternehmen auch prüfen sollten, neben den Afikis, ist, ob sie unter die
Regelung der NIST-2-Richtlinie fallen.
Denn deutsche Unternehmen unterschätzen die NIST-2-Pflichten wohl massiv.
Das geht aus einer aktuellen Studie von SchwarzDigits hervor und zeigt ein alarmierendes Bild.
Denn wohl 48 Prozent der deutschen Unternehmen unterschätzen ihre Verpflichtungen
unter der europäischen NIST-2-Richtlinie erheblich.
Besonders problematisch ist die Situation bei umsatzstarken Kleinunternehmen
mit 10 bis 49 Mitarbeitenden und mehr als 10 Millionen Euro Jahresumsatz.
Hier gehen 92 Prozent der befragten Unternehmen fälschlicherweise davon aus,
nicht unter die Regulierung zu fallen, obwohl sie tatsächlich betroffen sind.
Die europäische NIS2-Richtlinie zur Cybersicherheit kritischer und wichtiger
Einrichtungen gilt ja in Deutschland seit dem 6.
Dezember letzten Jahres und sie verpflichtet betroffene Unternehmen unter anderem
dazu, umfassende Cyber-Risikomanagement-Maßnahmen zu treffen,
haben dann zukünftig natürlich auch andere Meldepflichten für Sicherheitsvorfälle,
aber auch Sicherheitsanforderungen entlang der Lieferkette müssen hier zukünftig
besonders betrachtet werden und auch eine stärkere Verantwortung der Unternehmensleitungen.
Geht auch mit dieser Richtlinie einher.
Die möglichen Sanktionen dabei sind ähnlich wie auch im Datenschutz im Millionenbereich
und damit natürlich erheblich.
Und für diese besagte Studie wurden 1001 deutsche Unternehmen befragt.
Zeigt eben eine deutliche Diskrepanz zwischen der Bedrohungslage und wohl dem Risikobewusstsein.
Cyberangriffe verursachen laut dem Bericht jährlich über 202 Milliarden Euro
Schaden in der deutschen Wirtschaft und machen um 70 Prozent aller Wirtschaftsschäden aus.
Neben klassischen Cyberbedrohungen rückt ein neues Risiko laut dem Bericht in
den Fokus, denn das sind autonome KI-basierte Angriffe. Der Report warnt dabei
vor sogenannten kinetischen Prompt-Hacks.
Dabei werden KI-Systeme durch manipulierte Eingaben zur Entscheidung gebracht,
die reale physische Auswirkungen haben können, etwa in Robotik,
autonomen Systemen oder auch der industriellen Steuerung.
Trotz dieser Risiken unterschätzen viele Unternehmen die Gefahr.
54% sehen aktuell gar kein relevantes Cyberrisiko durch KI.
Ein weiteres großes Problem liegt laut dem Bericht auch in den digitalen Lieferketten.
50% der Unternehmen registrieren Cyberangriffe bei Zulieferern,
75% führen keine regelmäßigen Sicherheitsaudits bei Partnern durch und nur ein
Drittel kennt die tatsächlichen Abhängigkeiten in der Lieferkette.
Also schon relativ dramatisch, wenn man den Bericht Glauben schenkt.
Besonders häufig entstehen Schäden auch durch kompromittierte IT-Dienstleister
oder manipulierte Software-Updates.
Berichten wir hier ja auch oft in den News und der Bericht weist außerdem auf
eine strukturelle Abhängigkeit von außereuropäischen Technologieanbietern hin.
80 Prozent der europäischen Softwareausgaben fließen derzeit in US-Unternehmen
und nur 10 von 27 analysierten Enterprise-Produkten erfüllen die EU-Anforderungen
an digitale Souveränität.
Also was können wir euch mitgeben? Prüft dringend eure NIS-2-Betroffenheit.
Also viele Unternehmen fallen eben unter die Richtlinie, ohne sich dessen bewusst zu sein.
Und vielleicht auch noch ein kleiner Servicehinweis am Rand.
Bis heute muss von allen NIS-2-regulierten Unternehmen eine Registrierung beim
BSI erfolgen. Also da läuft ja auch die Frist ab.
Und wer nun zu dem Thema noch tiefer einsteigen möchte, 6.
Mai letzten Jahres ist schon ein bisschen was her, Aber nicht weniger aktuell
die Folge mit unserem lieben Kollegen Stefan Auge zum Thema NIST 2.
Also wir packen die, glaube ich, sicherheitshalber nochmal in die Show Notes.
Dann braucht ihr nicht groß suchen, aber da auf jeden Fall nochmal eine Empfehlung für ausgesprochen.
Finde ich auch sehr interessant, dass man da auch mal konkrete Zahlen zuhört.
Also es gilt weiterhin, wie Laura schon gesagt hat, das Thema NIST 2 unbedingt ernst nehmen.
Wie ihr hört, gibt es nicht nur Risiken wie sehr hohe Bußgelder,
sondern auch Sicherheitslücken, die letztendlich zu Datenschutzverletzungen führen können.
Es lohnt sich also, das Ganze nochmal zu prüfen.
So, dann kommen wir zum Cloudflare-Bedrohungsbericht 2026. Der aktuelle Bedrohungsreport
2026 von Cloudflare zeigt einen deutlichen Wandel in der Vorgehensweise von
Cyberkriminellen und staatlich gesteuerten Angreifern.
Statt komplexe Sicherheitslücken auszunutzen, setzen viele Angreifer zunehmend
auf gestuhlene Zugangsdaten und Session-Tokens.
Diese ermöglichen einen direkten Login in Systeme, häufig ohne weitere technische
Hürden. Laut Bericht stammen inzwischen
rund 63% aller Login-Versuche aus kompromittierten Zugangsdaten.
Gleichzeitig werden 94% der Login-Anfragen automatisiert durch Bots-outs geführt.
Besonders problematisch ist
dabei, dass gestohlene Session-Tokens sogar Multifaktor-Authentifizierung
umgehen können, denn Infostiler Malware sammelt solche Tokens systematisch von
kompromittierten Geräten.
Hinzu kommt der versteckte Einsatz von künstlicher Intelligenz durch Angreifer.
KI-Modelle werden etwa für Netzwerkaufklärung, das Schreiben von Exploits oder
das Erstellen täuschend echter Identitäten genutzt.
Gleichzeitig missbrauchen Angreifer legitime Cloud-Dienste wie Google Calendar,
Dropbox oder Microsoft Teams zur Kommunikation
mit Schaft-Software und zur Verschleierung ihrer Aktivitäten.
Für Unternehmen steigt damit das Risiko von Datenschutzverletzungen erheblich.
Gelangen Angreifer über gestohlene Zugangsdaten in Systeme, können sie häufig
unmittelbar auf personenbezogene Daten zugreifen.
Solche Vorfälle stellen regelmäßig eine Datenschutzverletzung dar und können
Meldepflichten nach Artikel 33 und 34 DSGVO auslösen.
Unternehmen sollten ihre Authentifizierungs- und Zugriffskonzepte daher dringend überprüfen.
Dazu gehören insbesondere der Einsatz moderner Multifaktor-Authentifizierungsverfahren,
die Absicherung von Session-Tokens,
ein konsequentes Monitoring von Login-Aktivitäten sowie die Begrenzung von Zugriffsrechten
nach dem Prinzip Lease Privilege.
Zusätzlich sollten Mitarbeitende regelmäßig zu Phishing-Risiken und Passwortsicherheit
sensibilisiert werden, um das Risiko kompromittierter Zugangsdaten zu reduzieren.
Das heißt, Jane, wir geben heute ganz schön viele Hausaufgaben mit.
Das stimmt, aber von nichts kommt nichts.
Richtig, genau. Wir wollen euch ja auch besser machen.
Ganz genau.
In der nächsten Nachricht sind aber keine Hausaufgaben versteckt,
das verspreche ich euch.
Denn ich habe eine neue App mitgebracht. Wie gesagt, diese erkennt Smart Glasses in der Umgebung.
Und mit der zunehmenden Verbreitung von smarten Brillen wächst auch die Sorge
vor verdeckten Aufnahmen im öffentlichen Raum.
Durchaus nachvollziehbar. Und wie Heise nun berichtet hat, wurde eine Android-App
entwickelt, die dabei helfen soll, solche Geräte in der Nähe aufzuspüren.
Die App mit dem Namen NERBY Glasses scannt die Umgebung von Bluetooth-Signalen
bekannter Smart-Glasses-Hersteller wie beispielsweise von Meta,
Oakley und Snap Spectacles und informiert Nutzer,
wenn entsprechende Geräte erkannt werden.
Wird ein entsprechendes Signal erkannt, erhalten Nutzer eine Warnmeldung,
dass sich möglicherweise eine smarte Brille in der Nähe befindet.
Der Entwickler selbst weist jedoch darauf hin, dass die Technologien noch nicht ganz perfekt sind.
Also durchaus kann es wohl Fehlalarme geben, weil eben nur der Hersteller identifiziert wird.
Andere Geräte desselben Herstellers, wie beispielsweise VR-Brillen,
können ebenfalls erkannt werden.
Und umgekehrt kann es natürlich auch sein, dass manche Smart Glasses möglicherweise unentdeckt bleiben.
Aber nichtsdestotrotz ist es, glaube ich, ein sehr wertvolles Tool,
denn Smartglasses werden zunehmend unauffälliger und sind häufig nur aus nächster Nähe erkennbar.
Denn beispielsweise beim Modell von Meta, Ray-Ban, signalisiert zwar eine LED,
wenn Aufnahmen erfolgen, in hellem Tageslicht ist diese Anzeige jedoch kaum sichtbar.
Ja, Manipulationsversuche hat es da wohl auch schon gegeben,
beispielsweise durch das Abkleben der LED, aber wohl, da sind jetzt wohl schon
Berichte bekannt, dass das wohl dazu führt, dass die Aufnahmefunktion blockiert wird.
Auch wenn die Technologie, wie gesagt, noch nicht so super weit verbreitet ist,
könnte sich das aber durchaus schnell ändern.
Denn Meta und Essilor Luxottica haben bereits rund sieben Millionen Geräte verkauft.
Google und Apple planen ebenfalls Markteintritte in den kommenden Jahren.
Und zusätzlich arbeitet Meta laut Medienberichten
wohl auch an Gesichtserkennungsfunktionen für Smartglasses.
Damit könnte also die Debatte jetzt über die Überwachung im öffentlichen Raum
deutlich an Dynamik gewinnen. Und ja, Smartglasses berühren ja eben mehrere
datenschutzrechtliche Fragestellungen.
Wir haben zum einen die verdeckten Bild- und Tonaufnahmen, natürlich aber auch
Möglichkeiten zur Identifizierung von Personen und jetzt, wenn wir gerade hören,
Einsatz von Gesichtserkennung kommt vielleicht noch dazu.
Und dann natürlich über allem steht eben auch die fehlende Transparenz für Betroffene,
weil ähnlich wie mit den Autos, die wir ja schon mal hier thematisiert haben,
Stichwort Raumüberwachung,
ist natürlich glaube ich auch da mit den Datenschutzhinweisen gar nicht so einfach,
sich die dann um den Hals zu hängen.
Was anderes fällt mir da nicht ein oder mit so Schild durch die Gegend gehen.
Gleichzeitig so T-Shirts verkaufen, wo sie draufgedruckt sind.
Genau. Also gerade im öffentlichen Raum, denke ich, kann es eben schwierig sein
zu erkennen, ob eben eine Aufnahme erfolgt, was ja eben die Wahrnehmung von
informationeller Selbstbestimmung, Privatsphäre erheblich beeinflussen wird.
Und ich stelle mir das auch gar nicht mal so einfach vor in einem großen Unternehmen.
Also wenn es halt viel...
Gibt es wahrscheinlich dann auch Regelungen zukünftig, ob ich eine smarte Brille
im Unternehmen tragen darf oder halt auch eben nicht.
Gehört ja alles dazu und ist auch sicherlich auch mal erwähnenswert und sollte
man halt auch mitdenken.
Das stimmt. Es wird sicherlich noch sehr spannend, die Entwicklung zu beobachten.
Aber immerhin keine Hausaufgaben, nur interessante News.
Und jetzt kommen wir zu den Veröffentlichungen und Veranstaltungen.
Das Bundesamt für Sicherheit in der Informationstechnik hat einen ersten Entwurf
der technischen Richtlinie TR031843H veröffentlicht.
Das können sich jetzt auch alle merken.
Ja, das wird abgefragt. Diese soll Hersteller dabei unterstützen,
die Anforderungen des Cyber Resilience Act umzusetzen, der künftig verbindliche
Cybersicherheitsanforderungen für Produkte mit digitalen Elementen festlegt.
Der Entwurf befindet sich aktuell in der öffentlichen Kommentierungsphase bis zum 31. März 2026.
Interessierte Unternehmen und Fachkreise können Stellungnahmen abgeben und so
Einfluss auf die Ausgestaltung der Richtlinie nehmen.
Also für Unternehmen, die digitale Produkte entwickeln oder vertreiben,
kann ein Blick in den Entwurf daher durchaus sinnvoll sein.
So ist es. Und wer einen Blick in die Spannung zwischen der politischen Reformidee
des Omnibus und der praktischen Datenschutzarbeit in Unternehmen werfen möchte,
Dem können wir die Umfrageergebnisse von Neub empfehlen, die wir hier heute
in die Shownotes packen.
Also wie gesagt, die EU-Kommission plant ja eben mit dem sogenannten Digitalomnibus
eine Reform der Datenschutzgrundverordnung mit dem Ziel, den administrativen
Aufwand der Unternehmen zu reduzieren.
Eine aktuelle Umfrage der Datenschutzorganisation Neub unter vielen Datenschutzbeauftragten
zeichnet nun jedoch ein anderes Bild.
Also viele Fachleute sehen die geplanten Änderungen kritisch und bezweifeln,
dass sie tatsächlich zu weniger Bürokratie führen.
Also wo die Details von Interesse sind, schaut gerne rein, packen wir hier mit rein in die Show Notes.
Am 17. März 2026 veranstaltet der Europäische Datenschutzausschuss eine Konferenz
zum Thema regulierungsübergreifende Interaktion und Zusammenarbeit in der EU,
eine datenschutzrechtliche Perspektive.
Im Mittelpunkt steht dabei das Zusammenspiel verschiedener EU-Regulierungen,
etwa im Bereich Datenschutz, Digitalregulierung und Plattformaufsicht,
sowie die Zusammenarbeit der zuständigen Behörden.
Die Veranstaltung gibt einen Überblick über aktuelle Entwicklungen in der europäischen
Aufsichtsstruktur und könnte insbesondere für Unternehmen interessant sein,
die mit mehreren regulatorischen Vorgaben auf EU-Ebene konfrontiert sind.
Eine Teilnahme vor Ort ist zwar leider nicht möglich, die Konferenz wird jedoch
per Livestream auf der Website des EDPB übertragen.
Es lohnt sich sicherlich, da mal reinzuschalten.
So ist es, sind wir auch schon am Ende angekommen. Danke, liebe Julia.
Danke dir, Laura.
Ja, ihr lieben Zuhörerinnen und Zuhörer, danke auch euch für euer Ohr.
Wir freuen uns, wenn ihr auch nächste Woche wieder mit dabei seid.
Bis dahin wünschen wir euch eine gute Zeit. Macht's gut.
Bis dann. Schönes Wochenende.