Wer die datenschutzrechtliche Entwicklung von Microsoft 365 in den letzten Jahren verfolgt hat (wir berichteten), erinnert sich vermutlich noch gut an das Statement der Datenschutzkonferenz (DSK) aus dem November 2022 (wir berichteten). Nur zur Erinnerung: Die DSK ist ein Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden und verfolgt das Ziel einer deutschlandweit einheitlichen Anwendung des Datenschutzes. Im Jahr […]
Informationssicherheit
Verabschiedung des NIS-2-Umsetzungsgesetzes durch die Bundesregierung
Über ein Jahr nachdem die EU-Richtlinie zu NIS 2 in deutsches Recht hätte umgesetzt werden müssen, hat die Bundesregierung am 13.11.2025 den „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) beschlossen. Zum eigentlichen Gesetzesentwurf (Stand: 08.09.2025) wurden eine Beschlussempfehlung und ein Bericht des Innenausschusses (Drucksache […]
Datensparsamer Einsatz von Windows 11: Der Windows-Umstieg – Teil 2
Wer mit Windows arbeitet, stößt unweigerlich auch auf Fragen des Datenschutzes. Bereits Windows 10 hat zahlreiche Nutzungsdaten gesammelt. Mit Windows 11 erweitert Microsoft diese Datensammlung noch einmal. Wie im ersten Teil dieser Beitragsreihe beschrieben, gibt das Support-Ende von Windows 10 einen guten Grund, das Betriebssystem zu wechseln. Dieser Teil der Beitragsreihe wird sich erst einmal […]
Schützen Sie sich vor Cyberangriffen: Checkliste für mehr Datensicherheit
Verantwortliche und Auftragsverarbeiter sind gemäß Art. 32 DSGVO verpflichtet, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau […]
BSI-Handreichung zur NIS-2-Geschäftsleitungsschulung: Was Geschäftsführungen jetzt wissen müssen
Am 30. September 2025 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine „vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf“ veröffentlicht (siehe Infoseite des BSI). Die vom BSI veröffentlichte Handreichung ist als Orientierungsrahmen zu verstehen. Sie beschreibt, wie die gesetzlichen Vorgaben des § […]
Interne und externe Audits im Mock-Audit – Vorbereitung auf den Ernstfall
Der Status eines zertifizierten Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001 wird erst durch ein externes Audit erreicht, das von unabhängigen Auditoren einer akkreditierten Zertifizierungsstelle durchgeführt wird. Zur Aufrechterhaltung der Zertifizierung ist dieses Audit jährlich zu wiederholen, wobei der Umfang der Überprüfung variiert. Zum Bestehen des externen Audits muss wiederum im Vorfeld ein internes Audit zu Erfüllung […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 3 – Nettorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist aufgrund des Umfangs der hierfür notwendigen Kapazitäten sowie der Notwendigkeit der Zusammenarbeit der verschiedenen Disziplinen eine große Herausforderung für die meisten Verantwortlichen. In diesem dritten Beitrag wird der Fokus auf die finale Risikoermittlung gelegt. In den vorherigen Beiträgen wurde bereits die Ermittlung der einzelnen Risikoszenarien als Bruttorisiko sowie die […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 2 – technische und organisatorische Maßnahmen (TOM)
Da die Datenschutz-Folgenabschätzung (DSFA) die Beteiligten im Unternehmen regelmäßig vor nicht unerhebliche Herausforderungen stellt, soll in diesem zweiten Beitrag der Schwerpunkt auf die Erfassung der technischen und organisatorischen Maßnahmen (TOM) gelegt werden. In einem vorangegangenen Beitrag zur DSFA wurde bereits die Ermittlung des Bruttorisikos etwaiger Risikoszenarien beleuchtet, unter Rückgriff auf die Unterlagen zur DSFA des […]
Datenschutz-Folgenabschätzung – Risikobeurteilung Teil 1 – Bruttorisiko
Die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) ist die umfangreichste und detaillierteste Dokumentation, die das Datenschutzrecht verlangt. Aufgrund des Umfangs der hier geforderten Inhalte und der vorzunehmenden Risikobeurteilung ist eine DSFA für die meisten Verantwortlichen eine große Herausforderung. In diesem und zwei nachfolgenden Beiträgen steht die Risikobeurteilung im Vordergrund, die ein Teil der DSFA ist. Die Beitragsreihe […]
Cybersecurity-Compliance – wichtiger denn je!
In einer Zeit, in der Cyberangriffe immer raffinierter und häufiger werden, sind Unternehmen fortwährend mit Risiken wie Datenverlust, Betriebsstörungen und teilweise betriebsgefährdenden Leistungseinbußen konfrontiert. Zahlreiche Firmen erleben dramatische Folgen von Hackerangriffen oder Datenpannen. Darunter fallen hohe finanzielle Verluste bis hin zum irreparablen Imageschaden und zu Bußgeldern. Neben den „geläufigeren“ Maßnahmen, wie der Implementierung eines Informationssicherheits-Managementsystems […]
Cyberangriffe 2025: Warum Penetrationstests für Datenschutz und Cybersicherheit unverzichtbar sind
Cyberangriffe sind längst kein Ausnahmefall mehr – sie gehören zur Realität. Im Jahr 2025 zeigt sich einmal mehr, wie massiv Unternehmen und öffentliche Einrichtungen gefährdet sind. Für Datenschutzbeauftragte und IT-Verantwortliche ist es daher unerlässlich, proaktive Maßnahmen zu ergreifen, um potenzielle Schwachstellen frühzeitig zu erkennen, bevor sie von Angreifern ausgenutzt werden. Ein Penetrationstest (Pentest) bietet hier […]
KRITIS-Dachgesetz: Bundeskabinett beschließt Gesetzesentwurf
Am 10.09.2025 hat das Bundeskabinett den Entwurf für das KRITIS-Dachgesetz (KRITISDachG) beschlossen, das im derzeitigen Gesetzesentwurf als „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ firmiert. Strengere Vorgaben für Betreiber kritischer Anlagen – etwa in der Energieversorgung, im Transport- oder Gesundheitswesen – sollen Deutschland besser vor Sabotage, Terroranschlägen und […]
CAMPUSTAGE 2025 – Cybersicherheit – Wie schütze ich meine Daten?
Cybersicherheit ist ein Thema mit hoher Aktualität. Betrachten wir die zunehmende Cyberkriminalität in Zeiten umfassender Digitalisierung von Prozessen (vgl. Bundeslagebild Cybercrime 2024), nimmt Deutschland im europäischem Ranking durchaus eine Spitzenposition ein, was kaum verwunderlich ist, wird der gesellschaftliche Nutzungsumfang digitaler Angebote in reichen Ländern betrachtet (allgemein zur Bitkom-Studie „Wirtschaftsschutz 2024“ und der Entwicklung der letzten […]
Windows 10-Support-Ende: Der Windows-Umstieg – Teil 1
Das Support-Ende ist nah! Am 14. Oktober 2025 stellt Microsoft den Support für Windows 10 offiziell ein. Laut Zahlen aus dem August beträgt der Anteil von Windows 11 unter den PCs mit installiertem Windows hierzulande ca. 38 %, während es bei Windows 10 noch über 58 % sind. International lag Windows 11 im August 2025 […]
PayPal – beliebt, praktisch, aber nicht unangreifbar
Heutzutage dürfte es gefühlt nur noch wenige Personen geben, die den Zahlungsdienstleister PayPal nicht nutzen. Sowohl für Unternehmen als auch für Privatpersonen ist der Dienst eine bequeme Möglichkeit, Geld unkompliziert zu senden und zu empfangen. Aber auch ein großes Unternehmen wie PayPal – oder gerade deswegen – ist nicht davor gefeit, Opfer eines Cyberangriffs zu […]