sb-nis-2-GF

Illustration zum Informationsaustausch über eine Cloud, Person mit Laptop im Hintergrund.

C5:2026 – Der neue Kriterienkatalog ist da

In seiner Pressemitteilung vom 7. April 2026 verkündete das Bundesamt für die Sicherheit in der Informationstechnik (BSI), dass der Cloud Computing Compliance Criteria Catalogue (C5) in der neuen Version 2026 zur Verfügung steht. Gründe für die Überarbeitung Die Vorgängerversion stammt aus dem Jahr 2020. Seitdem haben sich zahlreiche technische Fortschritte sowie neue Entwicklungen ergeben. Sowohl […]

Pia Lämmerhirt | 20. April 2026 | Informationssicherheit | BSI, C5-Testat, C5:2020, C5:2026, Cloud, Cloud Computing Compliance Criteria Catalogue, CSA, Cybersicherheit, Dienstleister, Informationssicherheit, Kommunikationssicherheit, Kriterienkatalog, NIS-2-Richtlinie, Verschlüsselung | 2 Kommentare

Outline-Icon für einen Schlüssel in Neonblau auf schwarzem Hintergrund.

Passkeys – Wie ein unsichtbarer Schlüssel das Passwort ablöst

Das Passwort ist ein erstaunlich zähes Konstrukt. Seit den 1960ern schützt es digitale Konten – meistens schlecht, fast immer lästig. Jetzt gibt es einen Nachfolger: Er heißt Passkey und er funktioniert grundlegend anders. Ein Schlüssel, der nicht verloren gehen kann Man stelle sich vor, jeden Morgen das Büro zu betreten – ohne Schlüssel, ohne Code, ohne […]

Julian Peter | 15. April 2026 | Informationssicherheit | Arbeitsplatz, Authentifizierungsverfahren, BSI, Cybersicherheit, FIDO Alliance, FIDO2, Informationssicherheit, MFA, NIS-2-Richtlinie, Passkey, Passwort, Passwortmanager

Ein Tropfen fällt auf eine glatte Wasseroberfläche und erzeugt Ringe bzw. kleine Wellen.

Künstliche Intelligenz hat ihren Preis

Künstliche Intelligenz wird in den nächsten Jahren unsere Gesellschaft dramatisch verändern, vergleichbar mit der aktiven Entfachung von Feuer vor ca. 400.000 Jahren, der Erfindung der Glühbirne durch Thomas Edison im Jahr 1879 oder des Internets bzw. World Wide Web im Jahr 1990 durch Tim Berners-Lee. Doch während die genannten Entdeckungen und Erfindungen ohne große Investitionen […]

Dr. Uwe Schläger | 30. März 2026 | Künstliche Intelligenz – KI | Bezahlen mit Daten, Demokratieverständnis, KI, Künstliche Intelligenz, Stromverbrauch, Umweltzerstörung, Wasserverbrauch | 2 Kommentare

Kletterkarabiner und Abseilacht auf einem Tisch

LoIP und LoA unter eIDAS: Zwei Begriffe, die man auseinanderhalten sollte

Im Zuge der eIDAS-Implementing-Acts tauchen zwei Abkürzungen immer häufiger auf: LoA und LoIP. Sie stehen für: Level of Assurance (LoA) Level of Identity Proofing (LoIP) Beide Konzepte betreffen Vertrauenswürdigkeit – aber auf unterschiedlichen Ebenen. Wer mit elektronischer Identifizierung, qualifizierten Zertifikaten oder Konformitätsbewertungen befasst ist, sollte die Unterschiede kennen. Level of Assurance (LoA): Das „Sicherheitsniveau“ eines […]

Dr. Sönke Maseberg | 20. März 2026 | Allgemein | elektronisches Identifizierungssystem, Identitätsprüfung, Level of Assurance, Level of Identity Proofing, LoA, LoIP, Vertrauensniveau

Eine Hand nimmt ein Dokument aus einem aufgeschlagenen Ordner, im Vordergrund ist das „DSGVO – information privacy standard“-Siegel

Bremer Datenschutzaufsicht rückt Zertifizierungen stärker in den Fokus

Im 8. Jahresbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI Bremen) taucht ein Thema auf, das in den Vorjahren eher nur am Rande erwähnt wurde: die datenschutzrechtliche Zertifizierung nach Art. 42 DSGVO. Der Landesdatenschutzbeauftragte widmet ihr im Kapitel „Zahlen und Fakten“ einen klaren Platz – ein Schritt, der zeigt, dass Zertifizierungen zunehmend […]

Dr. Irene Karper | 18. März 2026 | Aufsichtsbehörden | Auditierung, Datenschutzaufsichtbehörde, DSGVO – information privacy standard, DSGVO-Zertifikat, LfDI Bremen, Tätigkeitsbericht, Zertifizierung

Videokonferenz - Teilnehmer auf einem Laptop

Wenn KI mithört: Was Unternehmen bei der Transkription von Gesprächen beachten müssen

Die automatische Transkription von Telefongesprächen und Videokonferenzen durch KI-Systeme verspricht Effizienzgewinne im Berufsalltag, bspw. auch im Kundenservice. Doch die rechtlichen Anforderungen sind komplex und werden von Unternehmen oft unterschätzt. Im Folgenden erhalten Sie einen Überblick über die wesentlichen datenschutzrechtlichen Rahmenbedingungen sowie die Risiken, die bei der praktischen Umsetzung zu berücksichtigen sind. Live-Transkription zur Zusammenfassung: Ein […]

Lisa-Maria Körner | 17. März 2026 | Allgemein, Künstliche Intelligenz – KI | §201 StGB, AI Transcription, Gesprächstranskription, KI, Strafrecht, Transkription

Start ist in Buchstaben auf gelbem Hintergrund, ein Finger drückt symbolisch den Startknopf.

KRITIS-DachG ist in Kraft getreten

Das „Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen“ wurde am 16.03.2026 im Bundesgesetzblatt verkündet und tritt somit heute in Kraft. Der erste Artikel enthält das neue „Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITISDachG)“; die weiteren Artikel beinhalten Änderungen an bestehenden Gesetzen. Wir werfen einen […]

Manfred Bauer | 17. März 2026 | Allgemein | BSIG, Bundesrat, Bundesregierung, Bundestag, Cybersicherheit, Dachgesetz, Informationssicherheit, KRITIS-DachG, kritische Infrastruktur, NIS-2-Richtlinie, Resilienz | 2 Kommentare

Person hält ein Blattpapier vor dem Gesicht, auf dem Papier ist ein Mensch abgebildet, welches ein Fragezeichen am Kopf hat.

eIDAS 2.0: Welche Identifizierungsmethoden sind zulässig – und was steckt hinter den „anderen Identifizierungsmethoden“?

Mit der eIDAS 2.0 – also der aktuellen Fassung der eIDAS-Verordnung 910/2014– schafft der europäische Gesetzgeber die Grundlage für vertrauenswürdige digitale Identitäten und qualifizierte Vertrauensdienste in der EU. Wie muss eine Identifizierung erfolgen, damit sie den Anforderungen an eIDAS entspricht? Die eIDAS-Verordnung nennt in Art. 24 Abs. 1a vier mögliche Arten zur Identifizierung einer Person: […]

Dr. Sönke Maseberg | 16. März 2026 | Allgemein | andere Identifizierungsmethode, eIDAS, eIDAS-Verordnung, ETSI, ETSI 119 461, Identifizierung, Identitätsprüfung, Implementing Act, Implementing Act 2025/1566, Trust Service Provider

eIDAS-Fernsignaturen

Die eIDAS 2.0 – gemeint ist die aktuell gültige Fassung der eIDAS-Verordnung 910/2014 – sieht in Art. 29a „Anforderungen an einen qualifizierten Dienst zur Verwaltung qualifizierter elektronischer Fernsignaturerstellungseinheiten“ vor. Was zunächst technisch klingt, betrifft einen zentralen Baustein der digitalen Transformation: die rechtsverbindliche elektronische Unterschrift. Denn qualifizierte Signaturen werden häufig nicht genutzt, weil das Handling mit […]

Dr. Sönke Maseberg | 11. März 2026 | Allgemein | eIDAS, eIDAS-Verordnung, ETSI, Fernsignaturen, Implementing Act 2025/2530, Vertrauensdiensteanbieter

eIDAS-Vertrauensdiensteanbieter: Neue Klarheit durch den Implementing Act 2025/2530

Ein Artikel der eIDAS 2.0 – umgangssprachlich wird hiermit die aktuell gültige Fassung der eIDAS-Verordnung 910/2014 bezeichnet – gewinnt besonders an Bedeutung: Art. 24 „Anforderungen an qualifizierte Vertrauensdiensteanbieter“. Während die Verordnung selbst die Grundpflichten definiert, war lange offen, wie diese Anforderungen technisch und organisatorisch im Detail auszugestalten sind – und zwar europaweit einheitlich. Art. 24 […]

Dr. Sönke Maseberg | 9. März 2026 | Allgemein | eIDAS, eIDAS-Verordnung, ETSI, Implementing Act 2025/2530, Vertrauensdienste, Vertrauensdiensteanbieter

Flaggen der europäischen Mitgliedsländer

eIDAS-Implementing Acts: Warum die neuen Durchführungsrechtsakte für Vertrauensdienste wichtig sind

Die eIDAS-Verordnung sieht zu etlichen Anforderungen Konkretisierungen in Form von sog. Implementing Acts (Durchführungsrechtsakte) vor. Europäische Harmonisierung Durch diese Konkretisierungen sollen Vertrauensdienste in Europa stärker harmonisiert werden; bislang sorgten nationale Regelungen z.T. für eine Ungleichbehandlung. Diese Implementing Acts werden derzeit nach-und-nach veröffentlicht. Die neuen Implementing Acts sind keineswegs rein formale Ergänzungen. Sie können erhebliche Auswirkungen […]

Dr. Sönke Maseberg | 6. März 2026 | Allgemein | eIDAS, eIDAS-Verordnung, ETSI, Implementing Act, Vertrauensdienste

50 Euro und 100 Euro Banknoten hängen auf einer Wäscheleine als Symbol für Geldwäsche.

EuGH-Urteil: Unternehmen sind bei Geldwäscheverstößen direkt haftbar

Der Europäische Gerichtshof (EuGH) hatte kürzlich darüber zu entscheiden, ob Art. 58 Abs. 1 bis 3, Art. 59 Abs. 1 und Art. 60 Abs. 5 und 6 der EU-Geldwäsche-Richtlinie (Richtlinie 2015/849) den nationalen Regelungen des österreichischen Finanzmarkt-Geldwäschegesetzes (FM-GwG), § 35 Abs. 1 bis 3 und § 36 FM-GwG, entgegenstehen. Wir befassen uns im heutigen Blogbeitrag […]

Alexander Magel | 2. März 2026 | Compliance | BVwG, Compliance, Compliance-Managementsystem, EU-Recht, EuGH, FM-GwG, Geldwäsche, GwG, Haftung, juristische Person, Österreich, Rechtssache C-291/24, Richtlinie 2015/849, Sorgfaltspflichten, Unternehmen, Verantwortlichkeit

Mehrere bunte Klebezettel, auf einem steht „Nicht vergessen!“

NIS-2-Registrierungsfrist läuft am 6. März ab

Die Überführung der NIS‑2‑Richtlinie in deutsches Recht hat uns und viele unserer Kunden in den vergangenen Monaten aus unterschiedlichen Blickwinkeln – insbesondere Informationssicherheit und Compliance – intensiv beschäftigt. Dabei wurde häufig die Frage gestellt: „Sind wir jetzt von NIS‑2 betroffen oder nicht?“ Am 05.12.2025 wurde das „Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher […]

Jannes Werk | 23. Februar 2026 | Informationssicherheit | besonders wichtige Einrichtungen, BSI, BSIG, Cybersicherheit, Informationssicherheit, ISMS, KRITIS-Betreiber, NIS 2, NIS-2-Richtlinie, NIS-2-Umsetzungsgesetz, Registrierungspflicht, Risikomanagement, wichtige Einrichtungen

Das Wort wichtig! geschrieben mit Buchstabenwürfeln auf gelbem Hintergrund.

Auskunftspflichten gegenüber der Aufsichtsbehörde

Juristische Personen können die Auskunft nicht verweigern – jedenfalls nicht mit dem Verweis auf ein Auskunftsverweigerungsrecht. So hat es das Verwaltungsgericht (VG) Berlin in seiner kürzlich veröffentlichten Entscheidung (Urteil vom 09.10.2025, Az.: VG 1 K 607/22) mitgeteilt. Das Berliner Verwaltungsgericht stärkt somit die Befugnisse der Aufsichtsbehörden. Das Urteil ist jedoch noch nicht rechtskräftig. Was dürfen […]

Maximilian Eckardt | 12. Februar 2026 | Aufsichtsbehörden | Abhilfemaßnahmen, Auskunftsersuchen, Auskunftspflichten, Auskunftsverweisungsrecht, BDSG, BlnBDI, Datenschutzhinweise, Datenschutzverletzung, DSGVO, juristische Person, Lettershop-Verfahren, Selbstbelastungsfreiheit, Unternehmen, VG Berlin

Mensch ärgere dich nicht Spielbrett mit Spielfiguren und Würfel.

Dienstleister ärgere dich nicht – Dienstleister-Audits

Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]

Sarah Oppmann | 6. Februar 2026 | Allgemein | Audit, Auftragsverarbeiter, Datenschutzaudit, Dienstleister, Dienstleister-Audit, DSGVO, Verantwortlicher | 2 Kommentare

1 2