Tätigkeitsbericht BayLDA 2025, Cyberangriffe und vieles mehr

INFORMATIONSSICHERHEIT

NIS2 ist kein IT-Ticket: Cybersicherheit ist Chefsache

In vielen Unternehmen herrscht noch immer der Reflex: „Das regelt die IT.“ Doch mit NIS2 zieht Cybersicherheit endgültig in die Chefetage ein.

Die Geschäftsführung muss mit NIS2 Sicherheitsstrategien nicht mehr nur freigeben, sondern deren Umsetzung aktiv begleiten. Wer steuern will, muss verstehen. Entscheider müssen die Cyber-Risikolage ihres Hauses heute persönlich bewerten können.

Was bedeutet das für Unternehmen?

Der Baseline Security Mode ermöglicht es, Microsoft 365 mit minimalem Aufwand deutlich besser abzusichern, denn zentrale Best Practices werden systemseitig bereits berücksichtigt. Dennoch gilt: Jede Umgebung ist anders. Vor der Aktivierung sollte sorgfältig geprüft werden, wie sich die Einstellungen auf den Tenant auswirken.

 

DATENSCHUTZ

BayLDA veröffentlicht Jahresbericht 2025

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat seinen Jahresbericht veröffentlicht und beschreibt 2025 als echten Belastungstest für die Behörden. Besonders auffällig: Die Zahl der Beschwerden und Anfragen zu Betroffenenrechten ist deutlich gestiegen.

Die Behörde sieht darin auch eine Auswirkung von generativer KI. Betroffene Bürgerinnen und Bürger lassen Anfragen per KI schnell generieren und senken damit die Hürden für Anträge. Was früher Recherche und ein gewisses Fachverständnis erforderte, lässt sich heute oft schon mit einem kurzen Prompt erledigen.

Für Datenschutzansprechpartner ist der Tätigkeitsbericht eine wichtige Informationsgrundlage. Anhand der beschriebenen Praxisfälle lässt sich die Sichtweise von Aufsichtsbehörden ableiten und in der eigenen Umsetzungsstrategie berücksichtigen.

 

DATENSCHUTZ

EDPB-Schwerpunkt 2026: Datenschutzerklärungen von Webseiten im Fokus

Der Europäische Datenschutzausschuss (EDPB) hat für 2026 Transparenz‑ und Informationspflichten nach Art. 12–14 DSGVO als EU‑weites Prüfthema festgelegt. Damit rücken Datenschutzerklärungen klar in den Mittelpunkt der Aufsichtsarbeit.

Worum geht es konkret?

Alle europäischen Datenschutzaufsichtsbehörden prüfen 2026 koordiniert, ob Unternehmen Betroffene korrekt, vollständig und verständlich über die Verarbeitung personenbezogener Daten informieren. Die Prüfungen erfolgen abgestimmt und mit gemeinsamem Maßstab. Auffälligkeiten können damit schneller EU‑weit relevant werden.

Wie können wir unterstützen?

Als Beratungshaus für Datenschutz und Informationssicherheit unterstützen wir Sie gerne durch ein Monitoring Ihres Webauftritts. Dabei prüfen wir, ob integrierte Dienste mit Datenverarbeitung der Webseitenbesucher korrekt eingebunden wurden und sich die notwendigen Informationen in der Datenschutzerklärung wiederfinden.

Auf Wunsch können wir aus dem Monitoring direkt Aktualisierungen Ihrer Datenschutzerklärungen vornehmen. So stellen wir gemeinsam sicher, dass Ihre Website jederzeit aktuell, konform und transparent bleibt.

 

DATENSCHUTZ

Grenzen beim Missbrauch von Auskunftsansprüchen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 19. März 2026 (Rs. C‑526/24 – „Brillen Rottler“) wichtige Leitlinien zum Missbrauch von Auskunftsansprüchen nach Art. 15 DSGVO festgelegt. Im Fokus steht das sogenannte „DSGVO‑Hopping“.

Worum ging es konkret?

Eine Person meldete sich gezielt für einen Newsletter an und stellte kurz darauf ein Auskunftsersuchen nach Art. 15 DSGVO. Nach Ablehnung verlangte sie immateriellen Schadensersatz nach Art. 82 DSGVO. Das Unternehmen verweigerte die Auskunft mit Verweis auf Rechtsmissbrauch.

 

Die zentralen Aussagen des EuGH:

Missbrauch auch beim ersten Antrag möglich 

Ein Auskunftsersuchen kann bereits beim ersten Antrag als „exzessiv“ oder „offenkundig unbegründet“ nach Art. 12 Abs. 5 DSGVO gelten, wenn es missbräuchlich gestellt wurde.

Sehr hohe Hürden für Unternehmen 

Die Beweislast liegt vollständig beim Verantwortlichen. Ein Missbrauch darf nur auf Grundlage einer sorgfältigen Gesamtwürdigung angenommen werden.

Zweck des Auskunftsrechts entscheidend

Art. 15 DSGVO dient der Transparenz und Kontrolle der Datenverarbeitung. Wird das Recht ausschließlich zur Generierung von Schadensersatzansprüchen genutzt, kann ein Missbrauch vorliegen.

Unsere Empfehlung:

In der Organisation sollte allen Mitarbeitenden bekannt sein, dass es Betroffenenrechte gibt und diese über alle Kommunikationskanäle gestellt werden können. Wichtig ist, dass diese Anfragen umgehend an den Datenschutzansprechpartner weitergegeben werden.

Nach Eingang der Anfrage hat die Organisation grundsätzlich vier Wochen Zeit zu antworten. Sollte es sich um eine „fadenscheinige“ Anfrage handeln, kann erst einmal abgewartet werden. Sollten sich parallel gleiche Anfragen, zum Beispiel durch Internetrecherche finden lassen, kann eventuell ein Missbrauch vorliegen, der eine Ablehnung rechtfertigt.

 

KÜNSTLICHE INTELLIGENZ

Datenportabilität bei KI-Tools: Nutzerkontext übertragen

Ein aktueller Militärauftrag, den OpenAI übernommen hat, sorgt für kritische Stimmen, insbesondere, weil Anthropic diesen zuvor aus ethischen Gründen nicht weiterverfolgt hatte. Einige Nutzer ziehen daraus Konsequenzen und wechseln von ChatGPT zu Alternativen wie Claude.

Als Reaktion darauf hat das KI-Unternehmen Anthropic schnell eine neue Funktion eingeführt, mit der Nutzer ihren gesamten gespeicherten Kontext von der Konkurrenz ChatGPT und ähnlichen Diensten exportieren und zum KI-Chatbot Claude übertragen können. Ein spezieller Prompt soll KI-Bots dazu bringen, alle bisherigen Nutzerdaten und Präferenzen strukturiert zusammenzustellen.


INFORMATIONSSICHERHEIT

Cyberangriffe im März

Internationale Ermittler haben Anfang März in einer koordinierten Aktion das Datenleck Cybercrime-Forum LeakBase abgeschaltet. Die Plattform galt mit mehr als 142.000 Mitgliedern als einer der größten Marktplätze für den Handel mit gestohlenen Zugangsdaten, Zahlungsinformationen und anderen sensiblen Datensätzen. Dieser Fall zeigt, wie organisiert der Handel mit gestohlenen Daten inzwischen ist.

 

Die Onlineshops von asgoodasnew electronics, einem Händler für gebrauchte Elektronik, und Kirstein, einem Versandhändler für Musikinstrumente, sind auch von IT-Sicherheitsvorfällen betroffen. Beide Unternehmen nutzen das Shopsystem Oxid eShop. Ursache ist nach aktuellen Informationen eine Sicherheitslücke in dem Zahlungsmodul. Angreifer konnten dadurch auf Kundendaten zugreifen.

Beide Händler informierten ihre Kunden und warnen vor möglichen Phishing-Mails.

 

Ein gezielter Phishing-Angriff auf Nutzer der Messenger-Apps Signal und WhatsApp hat auch hochrangige deutsche Politiker und Sicherheitsbeamte getroffen. Zu den Betroffenen zählt der ehemalige BND-Vizepräsident Arndt Freytag von Loringhoven, der auf eine gefälschte Support-Anfrage hereinfiel und seine PIN preisgab.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

 

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 2 und 4.

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung