Erfahren Sie, wie sich migosens von einem kleinen Team zu einem starken Unternehmen entwickelt hat, was gelebter Teamgeist in schwierigen Momenten bedeutet und warum das „migosens-Gefühl“ auch nach vielen Jahren so besonders ist. Ein persönlicher Einblick von Stephan Auge – unserem Teamleiter Managementsysteme.
Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?
In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.
Was du aus dieser Folge mitnimmst:
Was ist NIS2?
Ziel: Harmonisierung der Cybersicherheitsstandards in der EU
Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft
Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)
Abgrenzung zur DSGVO und zum Cyber Resilience Act
Für wen gilt NIS2?
Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie
Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.
Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein
BSI stellt ein Tool zur Betroffenheitsprüfung bereit
Welche Pflichten entstehen?
Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten
Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)
Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001
Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen
Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung
Was bedeutet das für bestehende KRITIS-Unternehmen?
Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren
Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre
Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar
Herausforderungen beim Lieferkettenmanagement
Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle
Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben
Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen
Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister
Sanktionen und Wettbewerbsvorteile
Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)
Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz
Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen
Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor
Keywords, die in dieser Folge behandelt werden:
NIS2 Richtlinie 2025
NIS2 Anforderungen Unternehmen
Informationssicherheit Pflicht
Cybersecurity Gesetz EU
NIS2 Umsetzung Deutschland
Betroffenheitsanalyse NIS2
ISMS NIS2 ISO 27001
Datenschutz und NIS2
Vorfallmeldung BSI
Lieferkettensicherheit NIS2
Managementsystem Informationssicherheit
DORA vs. NIS2
Cyber Resilience Act EU
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/
Darf ich Kunden noch mit „Herr“ oder „Frau“ ansprechen – oder ist das bereits ein Datenschutzverstoß?
Diese Frage bewegt aktuell viele Unternehmen. Anlass ist das EuGH-Urteil C-394/23, das die Pflicht zur Anrede bei SNCF Connect für unzulässig erklärt hat. Der Grund: Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 DSGVO.
In dieser Themenfolge des Datenschutz Talks analysieren wir das Urteil gemeinsam mit Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Dabei geht es nicht nur um die juristische Bewertung, sondern vor allem um die praktischen Folgen für Unternehmen, Datenschutzbeauftragte und Geschäftsführungen.
Was du aus dieser Folge mitnimmst:
Ausgangspunkt des Urteils: Was ist passiert?
Der Fall „Mousse gegen CNIL und SNCF Connect“: Pflichtfeld Anrede: „Herr“ oder „Frau“ beim Online-Ticketkauf.
Warum der EuGH darin einen Verstoß gegen die DSGVO sieht.
Bedeutung des Begriffs „erforderlich“ im Rahmen der Datenminimierung.
EuGH-Urteil zur Anrede: Was steht in der Begründung?
Warum die Anrede nicht zur Vertragserfüllung nötig ist.
Warum der EuGH eine inklusivere, neutrale Ansprache fordert.
Wie sich der Begriff „Erforderlichkeit“ verschärft hat.
Was ändert sich durch das Urteil in der Praxis?
Müssen Formulare mit Anredefeldern jetzt angepasst werden?
Reicht die Auswahloption „keine Angabe“ aus?
Dürfen Unternehmen noch personenbezogene Anreden in der 1:1-Kommunikation verwenden?
DSGVO & berechtigtes Interesse: Was gilt künftig?
Warum der EuGH das berechtigte Interesse der Bahn nicht gelten ließ.
Welche Anforderungen nun an Artikel 6 Abs. 1 lit. f DSGVO gestellt werden.
Was passiert, wenn der Zweck bzw. das berechtigte Interesse nicht in der Datenschutzerklärung steht?
Müssen Daten jetzt gelöscht werden?
Einwilligung oder berechtigtes Interesse? Was der EuGH wirklich meint
Deutet sich ein Vorrang der Einwilligung an?
Welche Rolle spielen Informationspflichten nach Artikel 13 DSGVO?
Warum Einwilligung allein nicht automatisch sicher ist.
Handlungsempfehlungen für Unternehmen
Was Datenschutzbeauftragte jetzt konkret prüfen sollten.
Wie ein sauberes 6 Abs. 1 lit. f-Modell aufgebaut sein muss.
Welche Angaben in der Datenschutzerklärung nicht fehlen dürfen.
Wann Widerspruchsmöglichkeiten aktiv und technisch umsetzbar sein müssen.
Keywords, die in dieser Folge behandelt werden:
EuGH Urteil Anrede
Datenminimierung DSGVO
Pflichtfelder Webformulare
berechtigtes Interesse DSGVO
Einwilligung oder berechtigtes Interesse
Artikel 13 DSGVO Informationspflicht
personenbezogene Anrede Datenschutz
DSGVO Formulare Anrede
Datenschutz Aufsichtsbehörden Einschätzung
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/verwendung-der-anrede-nach-dem-eugh-urteil-c-394-23-michael-will-im-datenschutz-talk-podcast/
Willkommen zur Silvesterschau des Datenschutz-Talk-Podcasts, direkt aus der Datenschutzzentrale der Migosens und den ehrwürdigen Hallen des Hauses der Wirtschaft in Mühlheim an der Ruhr. In dieser besonderen Folge blicken wir auf das Jahr 2024 zurück und haben spannende Gäste eingeladen:
– Thomas Fuchs, hamburgischer Datenschutzbeauftragter
– Simon Weidler, Manager EMEA Policy, Privacy and Data Regulation bei Meta
– Dr. Paul Voigt, Partner und Head of TMT Germany bei Taylor Wessing
Unsere Gastgeber, Laura Droschinski und Heiko Gossen, führen durch die Sendung und reflektieren über die wichtigsten Ereignisse und Entwicklungen im Datenschutz des vergangenen Jahres. Begleitet werden sie von den Migo-Tones, die musikalisch für Stimmung sorgen.
In dieser Folge erwarten euch:
– Ein Rückblick auf die Datenschutz-News und Themenfolgen des Jahres 2024
– Statistiken und Highlights aus dem Podcast-Jahr
– Beliebte Outtakes und unterhaltsame Momente
– Mit Thomas Fuchs sprechen wir u.a. über das 900.000 € Bußgeld seiner Behörde aus diesem Jahr, über sein Positionspapier zur Frage der personenbezogenen Daten in Large Language Models sowie über die Veränderung seiner Aufsichtspraxis zu seinem Vorgänger Prof. Dr. Johannes Caspar.
– Simon Weidler äußert sich zu mehreren wichtigen Themen im Bereich Datenschutz. Er diskutiert die Datenschutzstrategien von Meta und wie das Unternehmen auf die sich ständig ändernden Datenschutzgesetze in Europa reagiert. Außerdem hebt er hervor, wie wichtig es ist, Datenschutz in die Unternehmenskultur zu integrieren und die Nutzer transparent über Datenverarbeitungspraktiken zu informieren.
– Dr. Paul Voigt erklärt uns seine Sicht auf die zukünftige Relevanz der KI-Verordnung und wie sich die Datenschutzgesetzgebung in den USA unter dem neuen Präsidenten entwickeln könnte.
Wir danken unseren diesjährigen Gästen und besonders unserem gesamten Team, das das ganze Jahr über hinter den Kulissen gearbeitet hat, um den Datenschutz-Talk-Podcast möglich zu machen. Ein besonderer Dank geht an Lara, Sarah, Tim, Dieter, David, Gregor, Natalia und Lothar.
Schaltet ein und feiert mit uns das Ende eines ereignisreichen Jahres im Datenschutz!
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/menschen-bilder-datenschutz-die-grosse-datenschutz-silvestershow-2024/
#TeamDatenschutz #TeamInfoSec #DSTalk #Jahresrückblick
Was macht ein Unternehmen wirklich erfolgreich? Für uns bei migosens ist die Antwort klar: unsere Mitarbeitenden. Beim Mülheimer Wirtschaftspreis 2024 wurden wir mit dem Sonderpreis der Funke Mediengruppe ausgezeichnet – ein Beweis dafür, dass Flexibilität, Wertschätzung und innovative Arbeitsmodelle der Schlüssel sind. Erfahren Sie, warum diese Ehrung für uns so besonders ist und wie wir die Zukunft der Arbeit gestalten.
In der heutigen Episode des Datenschutz-Talks, die vor gespanntem Live-Publikum aufgenommen wurde, steht der Microsoft Co-Pilot für M365 im Fokus. Moderator Heiko Gossen hat dazu erneut Friedhelm Peplowski eingeladen, der als Modern Work Global Black Belt bei Microsoft arbeitet und über umfangreiche Erfahrungen im Bereich Datenschutz verfügt. In dieser besonderen Episode diskutieren die beiden Experten die datenschutzrechtlichen Herausforderungen und Chancen, die mit der Implementierung des Co-Piloten einhergehen. Das Video zur Folge findet ihr hier: https://youtu.be/Vl2sPSgiZeU
Im ersten Teil diskutieren Heiko und Friedhelm die grundlegenden Funktionen des Microsoft 365 Co-Piloten, der als KI-gestützte Lösung konzipiert ist, um Mitarbeitern zu helfen, ihre Arbeitsabläufe effizienter zu gestalten. Dabei wird aufgezeigt, wie der Co-Pilot auf Daten zugreifen kann und welche spezifischen Informationen benötigt werden, um effektive Ergebnisse zu liefern. Sie gehen auch darauf ein, wie Unternehmen die Zugriffsmöglichkeiten auf ihre Daten regulieren können, um sicherzustellen, dass nur berechtigte Informationen verarbeitet werden.
Ein zentrales Thema der Episode ist die Sensibilität im Umgang mit personenbezogenen Daten. Friedhelm hebt hervor, dass Microsoft verschiedene Schutzmaßnahmen implementiert hat, um sicherzustellen, dass Daten innerhalb der Grenzen des Unternehmens (Tenant-Boundary) behandelt werden. Sie diskutieren, wie Co-Pilot mit externen Datenquellen umgehen kann und welche Maßnahmen erforderlich sind, um die Vertraulichkeit und Integrität der verarbeiteten Informationen zu gewährleisten.
Das Gespräch wendet sich dann den datenschutzrechtlichen Aspekten bei der Nutzung von KI-Technologien zu. Friedhelm erläutert, dass beim Einsatz des Co-Piloten eine sorgfältige Abwägung der datenschutzrechtlichen Implikationen vorgenommen werden sollte. Die beiden Experten unterstreichen die Bedeutung eines effektiven Rechtemanagements, um sicherzustellen, dass keine unbefugten Zugriffe auf sensible Daten erfolgen.
In einer detaillierten Erörterung beantwortet Friedhelm auch Fragen rund um das Thema Datenlöschung und -speicherung im Kontext von Microsoft 365 Co-Pilot. Darüber hinaus wird das Thema der Klassifizierung von Daten behandelt, wobei betont wird, dass ein durchdachtes Klassifizierungssystem die datenschutzrechtlichen Anforderungen unterstützen kann.
Im Laufe der Diskussion gehen die beiden Experten schließlich auch auf spezifische Fragen des Live-Publikums ein, in denen es unter anderem um die rechtlichen Anforderungen und die Versetzung von Datenschutzinformationen geht.
Zusammenfassend bietet diese Episode tiefgehende Einblicke in die datenschutzrechtlichen Aspekte des Einsatzes von Microsoft Co-Pilot für M365 und bietet sowohl für Datenschutzbeauftragte als auch für technische Entscheidungsträger wertvolle Informationen zur verantwortungsvollen Nutzung von KI in ihrem Unternehmen.
Es geht insbesondere um diese Themen:
Wichtige Funktionen von Copilot
Zugriffsmöglichkeiten auf Daten
Historisierung der Prompts und Ausgaben
Speicherorte der Benutzereingaben und Löschfristen
Rechtemanagement
Klassifizierung
Der Index
Mitarbeiterüberwachung, Schutzmechanismen und Klassifizierung
DSGVO Art 15: Auskunft mit Copilot?
Das DPA – was ändert sich?
DSFA – ja oder nein?
Duplikate mit Copilot finden
Bing Chat Enterprise
Kennzeichnungspflicht bei Nutzung von Copilot
AI Act / KI Verordnung
Weitergehende Infos kann man in den allgemeinen Microsoft FAQs zum M365 Copilot nachlesen.
In einem Beitrag für den Datenschutz-Berater beleuchtet Gregor Wortberg die rechtliche Einsortierung der Privatnutzung betrieblicher Kommunikationsmittel durch Beschäftigte. Auf Grundlage der Stellungnahme der Datenschutzaufsichtsbehörde LDI NRW zeigt er auf, dass das Fernmeldegeheimnis laut Auffassung einiger Aufsichtsbehörden für Arbeitgeber nicht gilt, wenn diese die private Nutzung von E-Mail und Internet am… Mehr lesen »Privatnutzung von E-Mail und Internet am Arbeitsplatz: Was Arbeitgeber laut DSGVO beachten müssen
Am 10. Oktober 2024 durften wir in Mülheim an der Ruhr zahlreiche Gäste zu unserem ersten migosens-Kundentag begrüßen. Der Fokus lag auf einem der aktuell wichtigsten Themen im digitalen Wandel: Künstliche Intelligenz (KI) und deren sichere Nutzung im Unternehmensumfeld. Gemeinsam mit unseren Kunden haben wir einen informativen und inspirierenden Nachmittag… Mehr lesen »migosens Kundentag 2024
Die digitale Transformation schreitet unaufhaltsam voran, und damit wächst auch die Gefahr für die Sicherheit unserer Daten. Um dem entgegenzuwirken, hat die Europäische Union die NIS2-Richtlinie eingeführt, die weit über ihre Vorgängerin hinausgeht. Erfahren Sie, welche neuen Verpflichtungen auf Unternehmen und Mitgliedstaaten zukommen und wie NIS2 die Cybersicherheit in Europa nachhaltig verändern wird.
In der digitalen Arbeitswelt spielt der Datenschutz eine entscheidende Rolle, besonders für die Daten der Beschäftigten. Unternehmen sind datenschutzrechtlich verantwortlich und müssen sicherstellen, dass der Schutz der Mitarbeiterdaten gewährleistet ist. Ein wichtiger Schritt dabei ist die Integration von Datenschutzaspekten in den Change-Prozess, um bei jeder Änderung die Auswirkungen auf den Datenschutz zu berücksichtigen. Zudem ist es essenziell, die Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten sorgfältig zu identifizieren und klar zu definieren.
Wie können Unternehmen diese Herausforderungen meistern und gleichzeitig das Vertrauen ihrer Mitarbeiter stärken? Lesen Sie unseren Blogartikel, um mehr über effektive Datenschutzstrategien und die Umsetzung in der Praxis zu erfahren.