Im Zuge eines Cyberangriffs auf die Unfallkasse Thüringen, der zu einem Datendiebstahl bei öffentlichen und nicht-öffentlichen Stellen führte, hatte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) zu prüfen, ob eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO zwischen der Unfallkasse und den jeweiligen öffentlichen und nicht-öffentlichen Stellen bestand. Der TLfDI befasste sich damit […]
Meldepflicht
Cyberangriff bei der Deutschen Bahn
Die Datenschutz-Grundverordnung (DSGVO) schützt nicht nur die Vertraulichkeit personenbezogener Daten, sondern ebenso deren Integrität und Verfügbarkeit. Gerade die Verfügbarkeit wird in der Praxis häufig unterschätzt – dabei können Ausfälle erhebliche Risiken für betroffene Personen und Unternehmen schaffen. Warum also gilt schon eine bloße Nicht‑Verfügbarkeit personenbezogener Daten als „Datenpanne“ im Sinne von Art. 33 DSGVO? Eine Datenpanne […]
NIS-2 in Deutschland – ein neuer Ordnungsrahmen für Informationssicherheit
Mit dem NIS-2-Umsetzungsgesetz und der Novellierung des BSI-Gesetzes (BSIG) ist die NIS-2-Richtlinie seit dem 06.12.2025 in deutsches Recht überführt. Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ wurde am 13.11.2025 vom Bundestag beschlossen, am 21.11.2025 durch den Bundesrat gebilligt und am 05.12.2025 im Bundesgesetzblatt verkündet. Damit wandelt […]
Das NIS-2-Umsetzungsgesetz ist in Kraft getreten – welche Schritte sind nun erforderlich?
Das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungsgesetz) ist am 05.12.2025 im Bundesgesetzblatt veröffentlicht worden und somit seit dem 06.12.2025 in Kraft. Durch das NIS-2-Umsetzungsgesetz wurde das bisherige BSI-Gesetz (BSIG) neu gefasst. Die Pflichten gelten nicht nur für Unternehmen, sondern für alle Einrichtungen, die unter den […]
Datenschutzverletzungen bei bayerischen Finanzämtern
Ende Oktober 2025 wurde der 34. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) veröffentlicht. Er umfasst den Berichtszeitraum vom 1. Januar bis 31. Dezember 2024. Wie jedes Jahr beleuchtet der Bericht eine Vielzahl aktueller datenschutzrechtlicher Themen von hoher Relevanz, darunter auch Fälle von Datenschutzverletzungen. Während wir in unserem Blog regelmäßig über Datenpannen berichten, widmet […]
Hackerangriffe und Datenschutzverletzung: Eine Handlungsempfehlung des BayLfD für öffentliche Stellen – Teil 1
In einer derart dynamischen, weitestgehend digitalisierten Welt, wie wir sie heutzutage wahrnehmen, rückt der Themenkomplex Cyberkriminalität und IT-Sicherheit immer weiter in den Vordergrund. Wer in den letzten Wochen die Berichterstattungen verfolgt hat, konnte vor allem folgende Stichworte lesen: Cyberattacken und Hackerangriffe. Die nachfolgende Beitragsreihe greift das Thema Hackerangriffe und Datenschutzverletzungen auf und ordnet das Phänomen […]
Lösegeld bezahlen bei Ransomware-Attacken – sinnvoll oder gefährlich?
Die fortschreitende Digitalisierung hat nicht nur gute Seiten – der Anstieg der Cyberkriminalität stellt die Schattenseite dieser Entwicklung dar. Hierzu gehören Ransomware-Angriffe und DDoS-Kampagnen gegen verschiedenste Institutionen, welche 2024 nach dem Bundeslagebild Cybercrime 2024 des Bundeskriminalamtes (BKA) einen Höchststand erreichten. Der jährliche Schaden in Deutschland durch Cyberangriffe beträgt 178,6 Mrd. Euro. Größte Bedrohung sind und […]
Mitarbeiterexzesse und Meldepflichten bei Datenpannen
Heute möchten wir aufgrund der Relevanz für die Beratungspraxis näher auf einen Fall eingehen, über den wir bereits in einem englischsprachigen Beitrag berichteten. Die belgische Datenschutzaufsichtsbehörde hat sich kürzlich mit zwei häufig auftretenden Fragen beschäftigt (Entscheidung 64/2025 vom 01.04.2025, abrufbar hier): Wann ist ein Beschäftigter für sein Handeln selbst verantwortlich und wem obliegt in diesen […]
Schweiz: Leitfaden des EDÖB zur Meldung von Datensicherheitsverletzungen
Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das schweizerische Datenschutzgesetz (DSG) regeln den Umgang mit Verletzungen des Schutzes personenbezogener Daten (ugs. Datenpanne) bzw. Datensicherheitsverletzungen, wie es in der Schweiz genannt wird. Beide Regelwerke definieren, was unter einer Datenpanne zu verstehen ist und unter welchen grundsätzlichen Voraussetzungen ein entsprechender Vorfall zu melden ist. Der Gesetzeswortlaut ist jeweils […]
Bürokratieentlastungsgesetz IV – Abschaffung der Meldepflicht in Beherbergungsstätten für deutsche Gäste
Mit dem Inkrafttreten des Bürokratieentlastungsgesetzes IV gehen einige formelle Erleichterungen für Beherbergungsstätten einher. Insbesondere wird die „lästige Zettelwirtschaft“ in Form von Ausfüllen eines Meldescheines durch jeden Gast beim Check-In vereinfacht. In der Vergangenheit unterlag jede Beherbergungsstätte der gesetzlichen Verpflichtung, die in §§ 29, 30 Bundesmeldegesetz (BMG) genannten personenbezogenen Daten des Gastes über einen Meldeschein zu […]
Kurze Meldefrist bei Datenpannen – ein Bußgeldrisiko
In den letzten Jahren gehörte die baden-württembergische Datenschutz Aufsichtsbehörde zu einer der Aufsichtsbehörden in Deutschland, bei der die meisten Datenpannen gemeldet wurden. Für das Jahr 2023 verzeichnete die Behörde nun sogar 166 Meldungen mehr als im Vorjahr. Damit dürfte Baden-Württemberg auch 2023 zu den Spitzenreitern in Sachen gemeldeter Datenpannen gehören. Quelle: Tätigkeitsbericht des Landesbeauftragten für […]
Datenpanne trotz Rechtsanspruch?
In einer Welt, die von der rasanten Digitalisierung geprägt ist und in der immer mehr (personenbezogene) Daten verarbeitet werden, gewinnt das Thema Datenschutz zunehmend an Bedeutung. Da es dabei gleichzeitig vermehrt zu Fehlern bei der Datenverarbeitung kommen kann, beschäftigten sich bereits einige unserer Blogbeiträge mit dem Thema „Datenpanne“ bzw. „Datenschutzvorfall“, wie bspw. dieser, in dem […]
Erster Referentenentwurf zur Umsetzung der NIS-2-Richtlinie
Die Europäische Union hat die europäische Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) veröffentlicht, um europaweit eine einheitliche Herangehensweise an und ein einheitliches Niveau für die Gewährleistung von Cybersicherheit gesellschaftlich bedeutender Funktionen zu schaffen (wir berichteten hier und hier). Die Richtlinie ist bis zum 17. Oktober 2024 in nationales Recht zu überführen. Zu diesem Zweck befindet sich in Deutschland […]
DoS- und DDoS-Angriffe als Datenpanne – Blogreihe zum Thema Cybersecurity und Datenschutz
Ein häufiges Phänomen im Internet sind heutzutage sog. Denial-of-Service(DoS)- oder Distributed Denial-of-Service(DDoS)-Angriffe, die Websites oder Systeme – oftmals nur vorübergehend – außer Gefecht setzen. Bei diesen Attacken werden Server mit künstlichen, sinnlosen Anfragen überschwemmt. In der Folge kann es wegen der gezielten Überlastung zu Verzögerungen oder Ausfällen der betroffenen Ressourcen kommen. So meldete bspw. das […]
Leitfaden zum Umgang mit Datenpannen – Teil 2
Im Teil 1 unseres Leitfadens zum Umgang mit Datenpannen haben wir uns mit den Fragen beschäftigt, wann eine Datenpanne vorliegt und welche Vorkehrungen zur Vermeidung einer Datenpanne getroffen werden können. Im Teil 2 befassen wir uns mit dem Vorgehen bei Kenntnisnahme von einer Datenpanne: Wie wird eine Datenpanne gemeldet und wie sollten die betroffenen Personen […]
1 2