Am 30. September 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf“ veröffentlicht (siehe Infoseite des BSI). Die vom BSI veröffentlichte Handreichung ist als Orientierungsrahmen zu verstehen. Sie beschreibt, wie die gesetzlichen Vorgaben des § […]
Compliance
Einsichtsrecht statt Kopie: LAG München konkretisiert Auskunftsanspruch bei Compliance-Untersuchungen
Das Landesarbeitsgericht München hat mit Urteil vom 12. Juni 2025 (Az. 2 SLa 70/25) entschieden, dass Arbeitnehmerinnen und Arbeitnehmer nach einer internen Compliance-Untersuchung keinen Anspruch auf Herausgabe einer vollständigen Kopie des Untersuchungsberichts nach Art. 15 DSGVO haben. Stattdessen besteht lediglich ein Einsichtsrecht in den Bericht, soweit dieser personenbezogene Daten enthält. Das Urteil schafft Klarheit im […]
Cybersecurity-Compliance – wichtiger denn je!
In einer Zeit, in der Cyberangriffe immer raffinierter und häufiger werden, sind Unternehmen fortwährend mit Risiken wie Datenverlust, Betriebsstörungen und teilweise betriebsgefährdenden Leistungseinbußen konfrontiert. Zahlreiche Firmen erleben dramatische Folgen von Hackerangriffen oder Datenpannen. Darunter fallen hohe finanzielle Verluste bis hin zum irreparablen Imageschaden und zu Bußgeldern. Neben den „geläufigeren“ Maßnahmen, wie der Implementierung eines Informationssicherheits-Managementsystems […]
LAG Köln: Fehlende Compliance-Mechanismen führen zu hoher Abfindung
Ein aktuelles Urteil des Landesarbeitsgerichts (LAG) Köln (Urteil vom 9. Juli 2025, Az. 4 SLa 97/25) lenkt die Aufmerksamkeit auf die Bedeutung von Compliance-Maßnahmen im Beschäftigungskontext. Der Fall betraf eine Arbeitnehmerin, die über einen längeren Zeitraum hinweg von ihrem Geschäftsführer wiederholt per WhatsApp mit sexualisierten und abwertenden Nachrichten konfrontiert wurde. Im Anschluss an die Ablehnung […]
The Data Act entered into force – what you need to know
On 12 September 2025, the Data Act (Regulation (EU) 2023/2854) became applicable in the EU member states. The Data Act creates a framework for fair access to and use of data across the EU and it is aimed at giving users more control over product-generated data and foster the principles of transparency, fairness, and GDPR […]
Der Data Act ist da! Und damit viele neue Verträge und Aufgaben
Der Data Act wird am 12. September 2025 wirksam und ist Teil der EU-Datenstrategie (wir berichteten hier und hier). Parallel zum Data Governance Act soll er vornehmlich die Datennutzung von „vernetzen Produkten“ und „verbundenen Diensten“ in der Privatwirtschaft, teils aber auch durch bestimmte öffentliche Stellen, regeln. Der Data Act wird die Datennutzung bzw. Zugänglichmachung und […]
Wie ein Hinweisgebersystem die Unternehmenskultur fördern kann
In der heutigen Zeit kann mit zunehmender Intensität beobachtet werden, wie sich die Anforderungen an die Integrität von Organisationen über das rein Finanzielle oder Operative hinaus erweitern. Die öffentliche Debatte um die Loyalität zur freiheitlich-demokratischen Grundordnung, die sich zuletzt in einigen Urteilen das deutsche Beamtenrecht betreffend manifestierte, ist hierfür ein überraschend guter Maßstab. Was auf […]
Insolvenz als Folge eines Cyberangriffs? Ein bestandsgefährdendes Risiko für Unternehmen!
Immer häufiger werden Fälle bekannt, in denen Unternehmen infolge eines Cyberangriffs und dessen weitreichenden Folgen zahlungsunfähig werden. Zwar ist der Cyberangriff in diesen Fällen i. d. R. nicht der alleinige Auslöser der Insolvenz, jedoch stellt er oftmals den entscheidenden Wendepunkt dar. Ein aktuelles Beispiel Im Mai wurde ein Unternehmen Opfer eines folgenschweren Hackerangriffs, der sämtliche IT-Systeme lahmlegte […]
KI und Compliance (KI-Compliance)
Künstliche Intelligenz (KI) ist derzeit ein medial wirkstarker Begriff. Obwohl es sich nicht um ein neues Thema handelt, wurde doch bereits 1997 der amtierende Schachweltmeister Garri Kasparow durch das KI-System DeepBlue im Schach besiegt, wodurch eine Prognose von 1957, die KI würde in den nächsten zehn Jahren den Schachweltmeister stellen, wenn auch verspätet erfüllt wurde. […]
Geschäftsgeheimnisse – kein Schutzanspruch ohne angemessene Geheimhaltungsmaßnahmen
Wer sich auf den Schutz von Geschäftsgeheimnissen beruft, muss einem Beschluss des Österreichischen Obersten Gerichtshofes (OGH) zur Folge für diese auch ausreichende Geheimhaltungsmaßnahmen ergreifen. Wir verlassen in diesem Beitrag das reine Datenschutzrecht und widmen uns den Maßnahmen, die sowohl personenbezogene Daten, aber auch – wie im nachfolgenden Fall dargelegt – Geschäftsgeheimnisse schützen sollen. Der gesetzliche […]
Lieferketten: Entbürokratisierung zu Lasten der Umwelt und Menschenrechte?
Im April 2024 wurde nach zähen Verhandlungen und zahlreichen Kompromissen zwischen den Mitgliedstaaten mit großer Mehrheit im EU-Parlament die europäische Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive, CSDDD) verabschiedet. Im Juli 2024 trat die Richtlinie nach Zustimmung des EU-Rats formal in Kraft. Doch nicht einmal ein Jahr später plant die EU-Kommission die Anwendung der Richtlinie und […]
Datenschutzbeauftragter und CSR-Manager – kann das funktionieren?
Datenschutz und Nachhaltigkeit sind heutzutage die beiden Lieblingswörter von Managern, Politikern und Beratern. Jeder will plötzlich nachhaltig und datenschutzkonform sein, als wären das die neuen Modefarben des Jahres. Dabei sind diese beiden Themen viel mehr als bloße Buzzwords und sie sind eng miteinander verknüpft – was viele leider erst dann bemerken, wenn sie von einer […]
Umsetzung der NIS-2-Richtlinie auf Bundes- und Landesebene
Am 17. Juni 2024 fand in den Räumen der DSN Akademie auf dem datenschutz nord CAMPUS in der Überseestadt Bremen eine Informationsveranstaltung des IFIT (Freies Institut für IT-Sicherheit e. V.) statt. Rund 40 Teilnehmende kamen der Einladung durch das IFIT und der DSN Akademie nach und informierten sich über die zu erwartenden Regularien und deren Auswirkungen […]
Compliance-Verstöße und interne Ermittlungen: Sind Zugriffe auf Kommunikationsinhalte zulässig?
pb-compliance Seit dem 17.12.2023 müssen Unternehmen mit über 50 Beschäftigten eine interne Meldestelle gemäß § 12 Hinweisgeberschutzgesetz (HinSchG) implementiert haben. Gehen bei der Meldestelle plausible Hinweise ein, die auf einen Verstoß im Sinne des § 2 HinSchG hindeuten, ist die Meldestelle bzw. das jeweilige Unternehmen dazu verpflichtet Folgemaßnahmen (§ 18 HinSchG) zu ergreifen. Zu den […]
Vertraulichkeit bei Meldungen
Mittlerweile haben sich bereits viele Organisationen jeder Art auf das Hinweisgeberschutzgesetz eingestellt und sind mit der Umsetzung der neuen Standards zu vertraulichen Meldeverfahren beschäftigt, denn die Umsetzungsfrist zur Einrichtung einer Meldestelle im Sinne des Gesetzes zum besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetzes – HinSchG) endet spätestens am 17.12.2023. Aber nicht nur im Rahmen des Hinweisgebeschutzgesetzes werden […]