Zum Inhalt springen

Datenschutz im Unternehmen

Cover Themenfolge NIS2 in aller Kürze - Stephan Auge

NIS2-Pflichten für Unternehmen: Das musst du wissen – Stephan Auge im Datenschutz Talk

    Die EU-Richtlinie NIS2 verpflichtet künftig deutlich mehr Unternehmen zur Umsetzung von Maßnahmen der Informationssicherheit. Doch für wen gilt die Richtlinie eigentlich? Was ist jetzt konkret zu tun? Und wo liegen die Unterschiede zur bisherigen Kritis-Regulierung oder zur Datenschutz-Grundverordnung?

    In dieser Themenfolge des Datenschutz Talks gibt Stephan Auge, Teamleiter für Managementsysteme bei migosens, einen kompakten Überblick über die aktuelle Rechtslage, die Anforderungen der Richtlinie und praktische Umsetzungsfragen.

    Was du aus dieser Folge mitnimmst:

    Was ist NIS2?

    Ziel: Harmonisierung der Cybersicherheitsstandards in der EU

    Hintergrund: Richtlinie ist seit Dezember 2022 in Kraft

    Umsetzung in nationales Recht bis Mitte/Ende 2025 (geplant)

    Abgrenzung zur DSGVO und zum Cyber Resilience Act

    Für wen gilt NIS2?

    Gilt für besonders wichtige und wichtige Einrichtungen gemäß Anlage 1 und 2 der Richtlinie

    Betrifft neben KRITIS-Unternehmen auch kleinere Unternehmen aus TK, Gesundheitswesen, Energie, Transport, Entsorgung u. v. m.

    Keine generelle Schwellenwertgrenze: auch Kleinstunternehmen können betroffen sein

    BSI stellt ein Tool zur Betroffenheitsprüfung bereit

    Welche Pflichten entstehen?

    Selbstregistrierungspflicht beim BSI innerhalb von 3 Monaten nach Inkrafttreten

    Umsetzung technischer und organisatorischer Maßnahmen (z. B. Risikomanagement, Incident-Handling, Notfallmanagement)

    Aufbau eines Informationssicherheits-Managementsystems (ISMS) analog ISO 27001

    Einführung strukturierter Prozesse zur Meldung von Sicherheitsvorfällen

    Risikobasierte oder vorfallsbezogene Prüfungspflichten je nach Kategorisierung

    Was bedeutet das für bestehende KRITIS-Unternehmen?

    Grundanforderungen weitgehend deckungsgleich mit bisherigen BSI-Nachweisverfahren

    Erleichterung: Prüfpflicht künftig nur alle drei statt alle zwei Jahre

    Synergien zwischen NIS2, ISO 27001 und Datenschutzprozessen sinnvoll nutzbar

    Herausforderungen beim Lieferkettenmanagement

    Neue Anforderungen an Zulieferer und Dienstleister mit sicherheitsrelevanter Rolle

    Verpflichtung zur vertraglichen Übernahme von Sicherheitsvorgaben

    Notwendigkeit von Audits oder anderweitiger Steuerungsmaßnahmen

    Empfehlung: Business Impact Analyse zur Priorisierung kritischer Dienstleister

    Sanktionen und Wettbewerbsvorteile

    Sanktionsrahmen: bis zu 10 Mio. Euro oder 2 % vom weltweiten Umsatz (Anlage 1)

    Für Anlage 2: bis zu 7 Mio. Euro oder 1,4 % vom Umsatz

    Frühzeitige Umsetzung von ISMS als Wettbewerbsvorteil – z. B. bei Ausschreibungen

    Informationssicherheit wird zum geschäftskritischen Erfolgsfaktor

    Keywords, die in dieser Folge behandelt werden:

    NIS2 Richtlinie 2025

    NIS2 Anforderungen Unternehmen

    Informationssicherheit Pflicht

    Cybersecurity Gesetz EU

    NIS2 Umsetzung Deutschland

    Betroffenheitsanalyse NIS2

    ISMS NIS2 ISO 27001

    Datenschutz und NIS2

    Vorfallmeldung BSI

    Lieferkettensicherheit NIS2

    Managementsystem Informationssicherheit

    DORA vs. NIS2

    Cyber Resilience Act EU

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    Twitter: https://twitter.com/DS_Talk

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren: https://migosens.de/nis2-pflichten-fuer-unternehmen-das-musst-du-wissen-stephan-auge-im-datenschutz-talk/

    eBay plant KI-Training mit Nutzerdaten – DS News KW 18/2025

      Was ist in der KW 18 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

      – KI-Webseitenklonung: Neue Bedrohung für Phishing-Angriffe (https://www.netcraft.com/blog/ai-enabled-darcula-suite-makes-phishing-kits-more-accessible-easier-to-deploy/)

      – eBay will Nutzerdaten für KI Training verwenden (https://www.lda.brandenburg.de/lda/de/service/presseinformationen/details-presse/~29-04-2025-ebay-gmbh-personenbezogene-daten-sollen-kuenstliche-intelligenz-trainieren)

      – Bußgeld gegen die Griechische Nationalbank (https://www.edpb.europa.eu/news/national-news/2025/imposition-fine-bank-incident-personal-data-breach_de)

      Veröffentlichung und Veranstaltung:

      – HmbBfDI – Handreichung zum Data Act (https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/250429_Information_Data_Act_und_Datenschutz.pdf)

      – Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg – Datenpannen-Management– Grundlagen und Praxishinweise (https://www.baden-wuerttemberg.datenschutz.de/offene-veranstaltung-2025-012/)

      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

      Twitter: https://twitter.com/DS_Talk

      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

      Instagram: https://www.instagram.com/datenschutztalk_podcast/

      Folge hier kommentieren: https://migosens.de/ebay-plant-ki-training-mit-nutzerdaten-ds-news-kw-18-2025/

      Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025

        Was ist in der KW 17 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

        – Schadensersatz wegen fehlender datenschutzfreundlicher Voreinstellungen (Urteil vom 8.4.2025 – 6 U 79/23)

        – 200 Mio.-Strafe für Meta wegen DMA-Verstoß https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

        – BGH zu Auskuftsrecht für Gesellschafter https://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288&nr=141298&anz=1148&pos=4

        – Hertz Kunden von Datenleck betroffen https://www.hertz.com/content/dam/hertz/global/resources/Notice_of_Data_Incident-EU.pdf

        – Verstoß bei jeder fünften geprüften Webseite in Hamburg https://datenschutz-hamburg.de/news/tracking-durch-drittdienste-185-von-1000-geprueften-websites-muessen-nachbessern

        Veröffentlichungen und Veranstaltungen:

        – Der HmbBfDI lädt ein zum 4. Hamburger Datenschutzforum https://datenschutz-hamburg.de/news/der-hmbbfdi-laedt-ein-zum-4-hamburger-datenschutzforum

        – Der Europäische Datenschutzausschuss (EDSA) hat seinen Jahresbericht veröffentlicht https://www.edpb.europa.eu/our-work-tools/our-documents/annual-report/edpb-annual-report-2024_en

        Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

        Twitter: https://twitter.com/DS_Talk

        Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

        (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

        Instagram: https://www.instagram.com/datenschutztalk_podcast/

        Folge hier kommentieren: https://migosens.de/jede-funfte-website-verstoßt-gegen-datenschutzvorgaben-ds-news-kw-17-2025/

        Cover Michael Will

        Verwendung der Anrede nach dem EuGH-Urteil C-394/23 – Michael Will im Datenschutz Talk Podcast

          Darf ich Kunden noch mit „Herr“ oder „Frau“ ansprechen – oder ist das bereits ein Datenschutzverstoß?
          Diese Frage bewegt aktuell viele Unternehmen. Anlass ist das EuGH-Urteil C-394/23, das die Pflicht zur Anrede bei SNCF Connect für unzulässig erklärt hat. Der Grund: Verstoß gegen den Grundsatz der Datenminimierung nach Art. 5 DSGVO.

          In dieser Themenfolge des Datenschutz Talks analysieren wir das Urteil gemeinsam mit Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Dabei geht es nicht nur um die juristische Bewertung, sondern vor allem um die praktischen Folgen für Unternehmen, Datenschutzbeauftragte und Geschäftsführungen.

          Was du aus dieser Folge mitnimmst:

          Ausgangspunkt des Urteils: Was ist passiert?

          Der Fall „Mousse gegen CNIL und SNCF Connect“: Pflichtfeld Anrede: „Herr“ oder „Frau“ beim Online-Ticketkauf.

          Warum der EuGH darin einen Verstoß gegen die DSGVO sieht.

          Bedeutung des Begriffs „erforderlich“ im Rahmen der Datenminimierung.

          EuGH-Urteil zur Anrede: Was steht in der Begründung?

          Warum die Anrede nicht zur Vertragserfüllung nötig ist.

          Warum der EuGH eine inklusivere, neutrale Ansprache fordert.

          Wie sich der Begriff „Erforderlichkeit“ verschärft hat.

          Was ändert sich durch das Urteil in der Praxis?

          Müssen Formulare mit Anredefeldern jetzt angepasst werden?

          Reicht die Auswahloption „keine Angabe“ aus?

          Dürfen Unternehmen noch personenbezogene Anreden in der 1:1-Kommunikation verwenden?

          DSGVO & berechtigtes Interesse: Was gilt künftig?

          Warum der EuGH das berechtigte Interesse der Bahn nicht gelten ließ.

          Welche Anforderungen nun an Artikel 6 Abs. 1 lit. f DSGVO gestellt werden.

          Was passiert, wenn der Zweck bzw. das berechtigte Interesse nicht in der Datenschutzerklärung steht?

          Müssen Daten jetzt gelöscht werden?

          Einwilligung oder berechtigtes Interesse? Was der EuGH wirklich meint

          Deutet sich ein Vorrang der Einwilligung an?

          Welche Rolle spielen Informationspflichten nach Artikel 13 DSGVO?

          Warum Einwilligung allein nicht automatisch sicher ist.

          Handlungsempfehlungen für Unternehmen

          Was Datenschutzbeauftragte jetzt konkret prüfen sollten.

          Wie ein sauberes 6 Abs. 1 lit. f-Modell aufgebaut sein muss.

          Welche Angaben in der Datenschutzerklärung nicht fehlen dürfen.

          Wann Widerspruchsmöglichkeiten aktiv und technisch umsetzbar sein müssen.

          Keywords, die in dieser Folge behandelt werden:

          EuGH Urteil Anrede

          Datenminimierung DSGVO

          Pflichtfelder Webformulare

          berechtigtes Interesse DSGVO

          Einwilligung oder berechtigtes Interesse

          Artikel 13 DSGVO Informationspflicht

          personenbezogene Anrede Datenschutz

          DSGVO Formulare Anrede

          Datenschutz Aufsichtsbehörden Einschätzung

          Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

          Twitter: https://twitter.com/DS_Talk

          Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

          (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

          Instagram: https://www.instagram.com/datenschutztalk_podcast/

          Folge hier kommentieren: https://migosens.de/verwendung-der-anrede-nach-dem-eugh-urteil-c-394-23-michael-will-im-datenschutz-talk-podcast/

          DS-Talk KW 16

          USA-Reisen nur noch mit Wegwerfhandys – DS News KW 16/2025

            Was ist in der KW 16 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

            1. Themenfolge 2025 mit Michael Will

            LG Hamburg (Beschluss vom 04.03.2025, Az. 625 Qs 6/25 OWi (juris)): Bußgeldverfahren, Bewilligung der Herausgabe von Teilen des erlassenen Bußgeldbescheids

            Schutz personenbezogener Daten über strafrechtliche Verurteilungen
            EuGH (Urteil vom 07.03.2024 -C-740/22, Auslegung von Art. 2 Abs. 1, Art. 4 Nr. 2 und Art. 86 DSGVO)

            Facebook & Instagram: Widerspruchsmöglichkeiten bei Metas KI-Training jetzt prüfen

            DPC leitet offizielle Untersuchung gegen X ein: KI-Chatbot Grok

            EU-Kommission:USA-Reisen nur noch mit Wegwerfhandys

            Empfehlungen:

            Fragebogen zur europaweiten Prüfaktion zum Recht auf Löschung ist online

            Gegenstand öffentlicher Konsultation: Leitlinien 02/2025 zum Umgang mit personenbezogenen Daten in Blockchain-Technologien

            Aktualisierung der Hilfeseite zu TikTok: Checkliste zum Einsatz von Tik Tok für öffentliche Stellen

            Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

            Twitter: https://twitter.com/DS_Talk

            Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

            (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

            Instagram: https://www.instagram.com/datenschutztalk_podcast/

            Folge hier kommentieren: https://migosens.de/usa-reisen-nur-noch-mit-wegwerfhandys-ds-news-kw-16-2025/↗

            Einsatz von Meta Business Tools führt zu Schadensersatz – DS News KW 15/2025

              Was ist in der KW 15 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

              – LG Berlin zu Meta Business Tools (Landgericht Berlin II: Urteile vom 4. April 2025, Aktenzeichen 39 O 56/24, 39 O 67/24, 39 O 57/24, 39 O 97/24, 39 O 218/24, 39 O 184/24)

              – Entscheidung zum Spannungsfeld zwischen Informationsfreiheit und Datenschutz (EuGH, Urteil vom 03.04.2025 – C-710/23): https://curia.europa.eu/juris/document/document.jsf?text=&docid=297537&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

              – Vorfall bei Europcar: https://www.bleepingcomputer.com/news/security/europcar-gitlab-breach-exposes-data-of-up-to-200-000-customers/

              – Angemessenheitsbeschluss mit UK: https://ec.europa.eu/commission/presscorner/detail/en/mex_25_812#5

              – vierte Generation des SCHUFA-Scores in Folge des EuGH-Urteils: https://www.schufa.de/newsroom/pressemitteilungen/neuer-schufa-score-voellige-transparenz/

              – Ergebnisse der Koalitionsverhandlungen: Reform der Datenschutzaufsicht

              – Neuer Sitz für Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)

              – EU Kommission plant Anpassungsvorschlag für DSGVO

              Veröffentlichungen:

              – Europol-Studie: Angreifbarkeit von biometrischen Identifizierungssystemen: https://www.europol.europa.eu/cms/sites/default/files/documents/Biometric-vulnerabilities.pdf

              – EDSA: praxisorientierte Methoden zur Identifikation und Minderung von Datenschutzrisiken in LLM-Systemen: https://www.edpb.europa.eu/system/files/2025-04/ai-privacy-risks-and-mitigations-in-llms.pdf

              Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

              Twitter: https://twitter.com/DS_Talk

              Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

              (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

              Instagram: https://www.instagram.com/datenschutztalk_podcast/

              Folge hier kommentieren:https://migosens.de/einsatz-von-meta-business-tools-fuhrt-zu-schadensersatz-ds-news-kw-15-2025/

              migosens Podcast

              Informationspflichten bei Zweckänderung – DS News KW 14/2025

                Was ist in der KW 14 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                WhatsApp im Polizeidienst unzulässig

                LG Hannover, Beschluss vom 26.02.2025, Az. 128 OWiLG 1/24 (BeckRS 2025, 3463): Pseudonymisierung

                ArbG Düsseldorf, Urteil vom 04.12.2024, Az. 8 Ca 3409/24 (BeckRS 2024, 43707): Immaterieller Schadenersatz

                Wettbewerbsrecht x Datenschutzrecht

                Verkauf von Steuerdaten: noyb fordert Ende der Praxis in Schweden.

                Empfehlungen:

                Veranstaltungstipp: Donnerstag, 10.04.2025, 19:30-21:00 Uhr: Datenschutz, Informationsfreiheit, KI: Aktuelle Themen des LfDI BaWü

                Neue IT-Sicherheitsrichtlinie für Arztpraxen veröffentlicht

                Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                Twitter: https://twitter.com/DS_Talk

                Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                Instagram: https://www.instagram.com/datenschutztalk_podcast/

                Folge hier kommentieren: https://migosens.de/informationspflichten-bei-zweckaenderung-ds-news-kw-14-2025

                DS Talk- Podcast

                BGH stärkt Verbraucherverbände zu Lasten von Meta – DS News KW 13/2025

                  Was ist in der KW 13 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                  Meta Platforms und App-Center für Gratisspiele (Urteil vom 27. März 2025 – I ZR 186/17)

                  Luxemburgisches Verwaltungsgericht bestätigt 746 Millionen Bußgeld für Amazon

                  Rekordstrafe i.H.v 225 Millionen Euro gegen WhatsApp auf dem Prüfstand

                  Verwendung von Aufnahmen als Beweis (AG Lörrach, Urteil vom 03.03.2025, Az. 3 C 1099/24 (juris): Recht auf Löschung) https://www.landesrecht-bw.de/bsbw/document/NJRE001603435

                  LG München, Beschluss vom 19.02.2025 – Auskunftsanspruch gegenüber Anbietern von E-Mail-Diensten aus § 21 TDDDG (25 O 9210/24) https://openjur.de/u/2513782.html

                  Illegale Glücksspielseiten mit identischer Software nach Datenschutzalarm abgeschaltet.

                  Empfehlungen:

                  öffentliche Datenschutzsprechstunde zum Hamburger Tätigkeitsbericht am 15. April 2025 https://datenschutz-hamburg.de/news/einladung-2-april-pressekonferenz-zur-vorstellung-des-taetigkeitsberichts

                  heise-Interview mit Landesdatenschützer Tobias Keber: Digitale Kehrwoche, Recht auf Löschung  und Kuriositäten im Datenschutz https://www.heise.de/hintergrund/Datenschuetzer-zum-Recht-auf-Loeschung-Videoueberwachung-an-besonderen-Orten-Co-10326315.html

                  Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                  Twitter: https://twitter.com/DS_Talk

                  Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                  (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                  Instagram: https://www.instagram.com/datenschutztalk_podcast/

                  Folge hier kommentieren: https://migosens.de/bgh-starkt-verbrauche

                  Der Datenschutz Talk

                  Alarmierendes Datenleck bei Glücksspielsystem- DS News KW 12/2025

                    Was ist in der KW 12 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                    Überprüfung und Löschung veralteter personenbezogener Daten

                    noyb reicht Beschwerde gegen OpenAI wegen Verstoßes gegen die DSGVO ein

                    Glücksspielsysteme vollständig öffentlich zugänglich

                    Hersteller wie Asus, HPE und Lenovo von Sicherheitslücke in Fernwartungssoftware betroffen

                    Empfehlungen

                    Datenschutz im Vereinsleben

                    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                    Twitter: https://twitter.com/DS_Talk

                    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                    Instagram: https://www.instagram.com/datenschutztalk_podcast/

                    Folge hier kommentieren: https://migosens.de/alarmierendes-datenleck-bei-glucksspielsystem-ds-news-kw-12-2025/↗

                    migosens Podcast

                    Wetter-Webcam verstößt gegen Datenschutz – DS News KW 10/2025

                      Was ist in der KW 10 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

                      BGH zu immateriellen Schadensersatz (Urteil des VI. Zivilsenats vom 28.1.2025 – VI ZR 109/23)

                      EDSA leitet Coordinated Enforcement Framework, CEF) für 2025 ein

                      Wetter-Webcam verstößt gegen Datenschutz

                      Massive Sicherheitslücken bei Access Management Systeme (AMS)

                      „Max Mustermann“ als Türöffner zu sensiblen Daten des Bundesamts für Migration und Flüchtlinge (BAMF)

                      EU Komission: Kurswechsel in der Digitalpolitik

                      Empfehlungen:

                      Review 2020-2024 des Europäischen Datenschutzbeauftragten

                      Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

                      Twitter: https://twitter.com/DS_Talk

                      Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

                      (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

                      Instagram: https://www.instagram.com/datenschutztalk_podcast/

                      Folge hier kommentieren: https://migosens.de/wetter-webcam-verstoßt-gegen-datenschutz-ds-news-kw-10-2025/↗