Mit dem KRITIS-Dachgesetz setzt Deutschland die europäische CER-Richtlinie (EU 2022/2557) um (wir berichteten). Ziel ist es, die kritischen Einrichtungen gegenüber physischen, organisatorischen und hybriden Bedrohungen resilienter zu machen. Während die NIS-2-Umsetzung primär die Cybersicherheit adressiert, soll das KRITIS-Dachgesetz einen sektorübergreifenden Rahmen für physische und organisatorische Resilienz schaffen. Nach mehreren Entwurfsfassungen befindet sich das Gesetz nun […]
Datenschutz in der Schulsozialarbeit: Schweigepflicht gilt auch für Namen von Schüler*innen
Die Zusammenarbeit zwischen Lehrkräften, Schulleitung und Schulsozialarbeit ist ein zentraler Bestandteil schulischer Unterstützung. Gleichzeitig unterliegt diese Kooperation strengen datenschutzrechtlichen Vorgaben, insbesondere wenn Schülerinnen und Schüler personenbezogene oder besonders sensible Informationen offenbaren. Der zugrunde liegende Fall aus dem siebten Tätigkeitsbericht des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) verdeutlicht die rechtlichen Rahmenbedingungen und zeigt […]
Europas Cybersecurity-Paket 2026: Cybersicherheit in Bewegung
Am 20. Januar 2026 hat die EU-Kommission ein neues „Cybersecurity Package“ vorgelegt, das in seiner Stoßrichtung über klassische IT-Sicherheitsregulierung hinausgeht. Das Paket besteht im Wesentlichen aus zwei legislativen Strängen: einem Vorschlag zur Revision des EU Cybersecurity Acts (CSA) als Verordnung COM(2026) 11 – „Proposal for a Regulation for the EU Cybersecurity Act“, inklusive Annexes, und […]
Vertrauen ist gut, Kontrolle ist besser!
Dieser Leitsatz gilt ganz besonders beim Einsatz von Auftragsverarbeitern. Auch wenn externe Dienstleister gem. Art. 28 DSGVO zur Einhaltung des Auftragsverarbeitungsvertrags vertraglich verpflichtet sind, bedeutet das nicht, dass sich der Verantwortliche zurücklehnen kann. Letztlich sind es seine Daten, für die er Sorge zu tragen hat und Verantwortung übernehmen muss. Ein Urteil des Bundesgerichtshofs vom 11. […]
Mehr Beschwerden dank oder wegen KI?
Die KI-Systeme werden nicht nur immer beliebter, sondern hinsichtlich der Beantwortung von Anfragen bzw. der Interaktion mit Menschen vermeintlich auch immer besser. Mittlerweile sind auf den meisten Smartphones und mobilen Endgeräten die bekannten KI-Systeme mit entsprechenden Sprachmodellen von Meta AI, Google Gemini oder ChatGPT (OpenAI) integriert bzw. von den Nutzer*innen installiert worden. Ferner setzen die […]
Compliance-Lektionen aus Niedersachsen
Ein langjähriger Mitarbeiter der niedersächsischen Justizverwaltung soll nach Berichten des NDR über einen Zeitraum von fast neun Jahren hinweg öffentliche Gelder in Höhe von 1,4 Millionen Euro unrechtmäßigerweise abgeführt haben. Demnach sollen sich Unregelmäßigkeiten in Abrechnungen und Zahlungen über einen längeren Zeitraum angesammelt haben, bis sie im Zuge einer internen Prüfung im Jahr 2024 auffielen. […]
Schadensersatz wegen unzulässiger Verarbeitung biometrischer Daten während einer Prüfungsüberwachung
Über den Einsatz von Überwachungstools im Rahmen von Online-Prüfungen an Universitäten hatten wir vor allem während der Corona-Pandemie (hier) und auch im europäischen Ländervergleich berichtet (hier). Das Thüringer Oberlandesgericht (OLG) hat nun in seinem Urteil vom 13.10.2025 (Az.: 3 U 885/24) entschieden, dass die Verarbeitung biometrischer Daten im Rahmen von Online-Prüfungen ohne ausdrückliche Einwilligung der […]
§ 5c EnWG: Neuerungen für Strom- und Gasnetzbetreiber sowie Energieanlagenbetreiber
Das NIS-2-Umsetzungsgesetz, das im Dezember 2025 in Kraft getreten ist, hatte als Artikelgesetz Auswirkungen auf verschiedene andere Gesetze. Für das Energiewirtschaftsgesetz (EnWG) ergaben sich die Neuerungen aus Artikel 17. Mit der Novellierung des EnWG gibt es für Strom- und Gasnetzbetreiber, Energieanlagenbetreiber sowie akkreditierte Zertifizierungsstellen wichtige Änderungen, denn die vormaligen Regelungen aus § 11 Abs. 1a–1g […]
Neuer Dienst zur Einwilligungsverwaltung gem. § 26 TDDDG jetzt verfügbar
Über die Consentbanner-Flut, die damit verbundene Click-Fatigue und Dienste zur Einwilligungsverwaltung gem. § 26 Telekommunikations-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) sowie die damit verbundenen rechtlichen Herausforderungen hatten wir zuletzt in unserem Blog hier berichtet. Mittlerweile hat die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) den ersten Dienst zur Einwilligungsverwaltung anerkannt und in das offizielle Register aufgenommen. Das Register der […]
NIS-2 in Deutschland – ein neuer Ordnungsrahmen für Informationssicherheit
Mit dem NIS-2-Umsetzungsgesetz und der Novellierung des BSI-Gesetzes (BSIG) ist die NIS-2-Richtlinie seit dem 06.12.2025 in deutsches Recht überführt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 durch den Bundesrat gebilligt und am 05.12.2025 im Bundesgesetzblatt verkündet. Damit wandelt […]
Die KI-VO – mehr Regulierung, weniger Orientierung? Was ist verboten?
In der europäischen Wirtschaft wird die relativ neue KI-Verordnung viel diskutiert. Viele Unternehmen kritisieren, dass die Regeln kompliziert und schwer verständlich seien. Ein Blick in den Verordnungstext, insbesondere in Artikel 5 Absatz 1, zeigt, warum diese Kritik aufkommt. Der Text ist komplex und juristisch formuliert, was für Laien oft wie ein Buch mit sieben Siegeln […]
Verwendung von Benutzernamen: Schadensersatz und Datensparsamkeit
Handelt es sich bei einem Benutzernamen, der im Onlinekontext verwendet wird, um ein personenbezogenes Datum? Mit dieser Frage hat sich das Oberlandesgericht (OLG) Frankfurt im Zusammenhang mit einer Schadensersatzforderung gegen den Betreiber des sozialen Netzwerks Facebook befasst (OLG Frankfurt, Urteil vom 09.05.2025, Az.: 6 U 53/24). Konkret ging es um die Veröffentlichung von Informationen aus […]
Leitlinien des EDSA zum Zusammenspiel zwischen DMA und DSGVO – Einzelbetrachtung von Kernelementen
Der Europäische Datenschutzausschuss (EDSA) hat im Oktober 2025 gemeinsam mit der EU-Kommission Leitlinien zur einheitlichen Anwendung von DSGVO und Digital Markets Act (DMA) veröffentlicht. Wie in unserem Beitrag vom 18.12. angekündigt, erfolgt in diesem Beitrag eine nähere Betrachtung ausgewählter Kernelemente der EDSA-Leitlinien und ihrer Auswirkungen auf die Praxis. Hierbei ist darauf hinzuweisen, dass der DMA […]
Ein Leben ohne US-Dienstleister – möglich, aber sinnlos?
Im September berichteten wir über den Chefankläger Karim Khan des Internationalen Strafgerichtshofs (IStGH), der auf die Sanktionsliste der USA geriet und seine E-Mails bei Microsoft nicht mehr abrufen konnte. Der französische Richter Nicolas Guillou vom IStGH, der ebenfalls auf der Sanktionsliste steht, schildert eindrücklich in einem Interview mit Le Monde, wie ein Leben aussieht, wenn […]
Datenschutz bei genetischen Untersuchungen – Was Arztpraxen beachten müssen
Kaum ein Bereich personenbezogener Daten ist so sensibel wie genetische Untersuchungsergebnisse: Sie können nicht nur Rückschlüsse auf Herkunft, Geschlecht und äußere Merkmale zulassen, sondern auch auf mögliche Krankheitsrisiken. Angesichts dieser besonderen Schutzbedürftigkeit ist die Einhaltung der gesetzlichen Vorgaben unerlässlich. Verstöße gefährden nicht nur das Vertrauen der Patientinnen und Patienten, sondern können auch rechtliche Konsequenzen nach […]