DSB – Datenschutz-Berater

IT-Sicherheit ist das Gebot der Stunde. Allein im Jahr 2024 ist durch Cybercrime nach der Studie Wirtschaftsschutz des BITKOM e. V. ein Schaden von 178,6 Mrd. Euro entstanden. Um Angriffen auf die IT-Infrastruktur eines Unternehmens präventiv entgegenzuwirken, sollten Penetrationstests (Pentests) ein essenzieller Baustein in der IT-Sicherheitsarchitektur eines jeden Unternehmens sein. Nicht selten sind die Tests sogar gesetzlich vorgeschrieben. Bei dieser IT-Sicherheitsmaßnahme gibt es jedoch einige datenschutzrechtliche Stolpersteine zu beachten. Zudem stellt sich die Frage, wie weitreichend das Unterrichtungs- und Mitbestimmungsrecht des Betriebsrats ist. Die Antwort hängt im Wesentlichen davon ab, inwieweit das jeweilige Unternehmen zur Durchführung von Pentests verpflichtet ist.

Die Transkription von Videokonferenzen zählt heute zu den verbreitetsten praktischen Anwendungsfeldern von KI‑Technologien in Unternehmen. Softwarelösungen erstellen nahezu in Echtzeit Mitschriften, strukturieren Inhalte, identifizieren Sprecherwechsel und ermöglichen eine bis vor wenigen Jahren unvorstellbare Effizienz in der Dokumentation. Für Unternehmen bedeutet dies erhebliche Vorteile, jedoch ergeben sich daraus auch datenschutz- sowie auch strafrechtliche Fragestellungen. Dieser Beitrag beleuchtet, wie eine KI-gestützte Transkription datenschutzrechtlich zulässig ausgestaltet werden kann, inwieweit die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO tragfähig ist und welche Rolle das für die strafrechtliche Befugnis spielt.

Systeme, die Emotionen lesen. Hotlines, die Konflikte entschärfen bevor der Kunde überhaupt wütend wird. „Semantische Intelligenz“ verspricht Effizienz, Qualität, Kundenzufriedenheit. High-Tech Revolution im Kundenservice – High-Risk im Datenschutz? Emotionserkennung, Sprachmusteranalyse, Echtzeitbewertung: Was als Instrument für Kundenzufriedenheit gemeint ist, analysiert gleichzeitig auch die Emotionen von Beschäftigten. Reguliert der Betriebsrat bald „Neusprech“ und „Doppeldenk“?

Die aufsichtsbehördlichen Einschätzungen hinsichtlich Microsoft 365 (M365) verändern sich langsam, aber stetig. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hatte 2020 in einer umstrittenen Entscheidung Office 365 noch faktisch abgelehnt und diese Position dann 2022 abgeschwächt. Die niedersächsische Aufsichtsbehörde (LfD Nds) und der Europäische Datenschutzbeauftragte (EDSB) haben den Einsatz von Microsoft 365 zuletzt für akzeptabel gehalten. Nun geht der hessische Datenschutzbeauftragte noch weiter. Er schreibt den Verantwortlichen aber auch eine Reihe von Aufgaben und Hinweisen ins Pflichtenheft.

Mit dem EU Data Act tritt ein neues Regelwerk in Kraft, das die Spielregeln für Cloud- und insbesondere SaaS-Anbieter grundlegend verändert. Insbesondere die neuen Pflichten zu Datenportabilität, Interoperabilität und Anbieterwechsel setzen etablierte Geschäftsmodelle unter Druck. Für Datenschutzbeauftragte und Vertragsverantwortliche bedeutet das: Die bisherige Vertrags- und Datenschutzpraxis muss umfassend überprüft werden. Wer seine Alt-verträge, AGB und Auftragsverarbeitungsverträge jetzt nicht anpasst, riskiert nicht nur Compliance-Lücken und Bußgelder, sondern auch eine Kundenabwanderung durch Sonderkündigungen.

Der Großteil der Vorschriften der Verordnung (EU) 2023/2854 („Data Act“) gilt seit dem 12. September 2025. Hierzu gehören auch die Regelungen in Art. 23 ff. Data Act, die in erster Linie Cloud-Anbieter adressieren. Sie müssen seit dem 12. September 2025 diverse Pflichten erfüllen, um Kunden den Anbieterwechsel zu erleichtern. Bei Nichteinhaltung drohen nach dem derzeitigen Entwurf des deutschen Umsetzungsgesetzes Bußgelder. Höchste Zeit also für alle Cloud-Anbieter, sich mit den umfangreichen Pflichten zum sog. Cloud Switching auseinanderzusetzen.

Tilman Herbrich Schriftleitung Datenschutz-Berater

Die NIS2-Richtlinie wird in Deutschland voraussichtlich bis Ende 2025 oder Anfang 2026 in nationales Recht umgesetzt. Ein Regierungsentwurf wurde bereits beschlossen und das Gesetzgebungsverfahren befindet sich in den letzten Phasen vor der Verabschiedung. Unternehmen sollten sich schnellstmöglich mit den neuen Sicherheitsanforderungen vertraut machen und entsprechende Maßnahmen treffen. Auch die Rolle des Datenschutzbeauftragten gewinnt hierbei zunehmend an Bedeutung. Dieser Artikel beleuchtet die Grundzüge der NIS2-Richtlinie und welche Bedeutung dem Datenschutzbeauftragten im Kontext der Neuerungen zukommt.