24/7 Angriffserkennung und Reaktion, Cyberangriffe im Oktober und vieles mehr...nd vieles mehr...

Datenschutz

NIS2 verpflichtet Geschäftsleitungen zu Schulungen

Die Umsetzung der NIS2-Richtlinie in deutsches Recht bringt neue Pflichten für Unternehmen. Cybersicherheit muss künftig strategisch mitgedacht und auf Führungsebene verankert werden. In der der vorläufigen BSI-Handreichung zur Schulungspflicht für Geschäftsleitungen (§ 38 Abs. 3 BSIG-E) wurden einige Punkte zusammengefasst.

Ob Schulungskonzepte, Strategieberatung oder praxisnahe Umsetzung - wir stehen Ihnen bei NIS2 als kompetenter Partner zur Seite. Kommen Sie gerne für ein kostenloses Erstgespräch auf uns zu.

 

DATENSCHUTZ

Gesetz zur Umsetzung der EU-KI-Verordnung: Jetzt handeln trotz Verzögerung

Mit dem Entwurf des Gesetzes zur Durchführung der KI-Verordnung (EU) 2024/1689 konkretisiert die Bundesregierung die nationale Umsetzung des europäischen Rechtsrahmens für Künstliche Intelligenz. Ziel ist laut Entwurf eine „innovationsfreundliche und bürokratiearme Durchführung der KI-Governance“.

Ursprünglich waren die Mitgliedstaaten verpflichtet, bis zum 2. August 2025 nationale Behörden und Strukturen zu schaffen. Deutschland liegt hier bereits hinter dem Zeitplan.

Unabhängig davon gilt die KI-Verordnung ab dem 2. August 2026 unmittelbar und bringt umfangreiche Pflichten für Unternehmen mit sich – insbesondere in den Bereichen

  • Transparenz und Dokumentation,

  • Risikomanagement,

  • Qualitäts- und Datenkontrolle sowie

  • Überwachung eingesetzter KI-Systeme.

Trotz des legislativen Verzugs empfiehlt es sich für Unternehmen, bereits jetzt aktiv zu werden: Eine frühzeitige Analyse und Anpassung bestehender KI-Systeme an die künftigen Compliance-Anforderungen kann Aufwand und Risiken deutlich reduzieren.

 

Sonstiges

Produkthaftung 2.0: BMJ-Entwurf bezieht künftig auch Software ein

Am 11. September 2025 hat das Bundesministerium der Justiz und für Verbraucherschutz (BMJ) den Referentenentwurf zur Reform des Produkthaftungsgesetzes veröffentlicht. Mit ihm setzt die Bundesregierung die EU-Produkthaftungsrichtlinie (EU) 2024/2853 nahezu wortgleich in deutsches Recht um – und leitet damit eine grundlegende Neuausrichtung der Produkthaftung im digitalen Zeitalter ein.

Erstmals wird Software ausdrücklich als Produkt anerkannt. Das betrifft klassische Anwendungen, KI-Systeme ebenso wie cloudbasierte Dienste. Künftig können Entwickler:innen ohne Verschulden haftbar gemacht werden, wenn Softwarefehler – etwa durch Sicherheitslücken oder fehlerhafte Programmierung – Personen- oder Sachschäden verursachen.

Der Entwurf erweitert außerdem den Schadensbegriff: Auch Datenverluste können künftig als ersatzfähiger Schaden gelten, sofern die betroffenen Inhalte nicht ausschließlich beruflich genutzt wurden. Neu ist darüber hinaus eine Haftung nach dem Inverkehrbringen – etwa bei mangelhaften Updates oder unzureichender Wartung bestehender Systeme.

Zwar befindet sich der Gesetzgebungsprozess noch im Gange, doch der Zeitdruck ist erheblich: Die Umsetzung der EU-Vorgaben muss bis spätestens 9. Dezember 2026 erfolgen. Unternehmen sollten daher nicht abwarten, sondern frühzeitig ihre Haftungs- und Sicherheitskonzepte überprüfen.

 

DATENSCHUTZ

LinkedIn nutzt bald Profildaten für KI-Training – Widerspruch möglich

Ab dem 3. November 2025 plant LinkedIn, die Daten seiner Mitglieder weltweit für das Training generativer KI-Modelle zu verwenden. Nutzerinnen und Nutzer in der EU können dieser Datennutzung aktiv widersprechen.

In den USA setzt LinkedIn bereits seit 2024 Profildaten und veröffentlichte Beiträge ein, um eigene KI-Funktionen zu verbessern. Jetzt soll das Programm global ausgeweitet werden – und betrifft damit auch Profile von Menschen in Europa.
Laut heise online wird LinkedIn über aktualisierte FAQs und Pop-up-Hinweise über die Änderung informieren. Wer seine Daten schützen möchte, kann in den Datenschutzeinstellungen der Plattform den Widerspruch einlegen.

Betroffen sind in erster Linie Profilinformationen und öffentliche Inhalte, die Mitglieder posten. Nachrichten und Profile Minderjähriger unter 18 Jahren werden nicht für das KI-Training verwendet.

Wofür LinkedIn die Daten nutzt

Mit den KI-Funktionen will LinkedIn Nutzerinnen und Nutzern das Erstellen von Inhalten erleichtern.

„Unsere Gen-KI-Funktionen helfen Arbeitgebern, Mitglieder einfacher zu finden und zu kontaktieren. Außerdem können Mitglieder leichter Inhalte wie Profilaktualisierungen, Nachrichten und Beiträge verfassen“, heißt es vom Unternehmen.

Darüber hinaus will LinkedIn die gesammelten Daten auch mit Microsoft und anderen verbundenen Unternehmen teilen. Diese dürfen die Informationen unter anderem zur Personalisierung von Werbung und zur Weiterentwicklung eigener KI-Produkte einsetzen.

Neu ist außerdem: LinkedIn wird künftig nicht mehr aktiv um Zustimmung bitten, wenn neue KI-Produkte oder Datenverarbeitungen eingeführt werden. Stattdessen gilt ein Opt-out-Modell – wer seine Daten nicht teilen möchte, muss selbst widersprechen.

 

DATENSCHUTZ

Urteil: 15.000 € Entschädigung aufgrund massiver Videoüberwachung

Ein Stahlverarbeitungsunternehmen überwachte seine Betriebs-, Lager- und Büroräume rund um die Uhr mit 34 zoombaren HD-Kameras. Ein Mitarbeiter, dessen Arbeitsplatz sich im Aufnahmebereich befand, legte Widerspruch gegen die intensive Videoüberwachung ein. Das Unternehmen ignorierte diesen Einspruch jedoch und führte die Überwachung fort. Als Begründung wurden Sicherheitsaspekte, Arbeitsschutz und Diebstahlprävention angeführt.

Das AG Dortmund sprach dem Kläger daraufhin 15.000 € Schadensersatz zu. Der Arbeitgeber legte Berufung ein, doch das LAG Hamm bestätigte die Entscheidung. Der flächendeckenden Überwachung einschließlich der Arbeitsplätze fehlte jede rechtliche Grundlage und sie war daher rechtswidrig. Auch eine im Arbeitsvertrag enthaltene pauschale Einwilligung hielt das Gericht für unwirksam, da diese weder auf Freiwilligkeit noch auf Transparenz beruhte.

Besonders ins Gewicht fielen die Dauer und Intensität der Überwachung, die einen besonders schweren Eingriff in das Persönlichkeitsrecht des Mitarbeiters darstellte. Genau diese Schwere rechtfertigte die außergewöhnlich hohe Entschädigungssumme.

 
INFORMATIONSSICHERHEIT

FAQ zur Anwendung der KI-Verordnung: Was verlangt die EU bei "AI Literacy"?

Die EU-Kommission hat ein FAQ veröffentlicht, das erläutert, welches Kompetenz-Niveau (AI-Literacy) Unternehmen bei ihren Mitarbeitenden sicherstellen müssen. Eine einheitliche Schulungspflicht oder Wissensprüfung gibt es dabei nicht. Gefordert wird ein angemessenes KI-Grundverständnis, angepasst an Rolle, Einsatzkontext und Risiko der eingeschätzten Systeme. Die Pflicht gilt seit Februar 2025 und die behördliche Durchsetzung beginnt im August 2026.

Das sind die Mindestinhalte:

  • Was ist KI und wie funktioniert sie im Unternehmen?
  • Welche Chancen und Risiken bestehen?
  • Wie werden Ausgaben interpretiert?
  • Welche rechtlich-ethischen Aspekte sind relevant?

 

Was bedeutet das konkret für Unternehmen:

  • Mappen Sie Ihre KI-Nutzung: Wer arbeitet womit und mit welchem Risiko?
  • Schulen Sie zielgruppengerecht statt nach dem „One-Size-Fits-All“ – Prinzip
  • Dokumentieren Sie Ihre Maßnahmen intern

Wir unterstützen Sie mit unseren Schulungen gerne dabei, KI-Kompetenz praxisnah und zielgruppengerecht aufzubauen!

 

INFORMATIONSSICHERHEIT

Cyber Resilience Act: BSI wird marktüberwachende Behörde

Der Cyber Resilience Act (CRA) wird den Markt für IT-Produkte und Geräte mit digitalen Komponenten grundlegend verändern. Künftig werden IT-Sicherheitseigenschaften von Produkten zu einem entscheidenden Kriterium für den Marktzugang.

Die Bundesregierung hat das BSI als notifizierende und marktüberwachende Behörde gegenüber der EU-Kommission benannt. Damit übernimmt das BSI zwei neue Schlüsselrollen: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können.

Als marktüberwachende Behörde kann das BSI stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder verhängen. Dem BSI wird in dieser Rolle auch die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.

Damit erhält das BSI eine zentrale Rolle bei der Umsetzung des Cyber Resilience Acts und IT-Sicherheit wird endgültig zu einer Frage der Marktfähigkeit.

 

INFORMATIONSSICHERHEIT

EU-Kommision: Konsultation zu "Serious AI Incidents"

Die EU- Kommission hat Entwürfe für Leitlinien und ein Meldetemplate zu „schweren KI-Vorkommnissen“ (Art. 73 AI Act) vorgelegt und Feedback eingeholt. Die Konsultation lief von September bis November 2025.

Ab August 2026 müssen Anbieter hochriskanter KI-Systeme schwere Vorfälle an nationale Behörden melden. Die Entwürfe klären Begriffe, geben Beispiele und zeigen die Verzahnung mit anderen Meldepflichten auf.

Was ist ein „serious incident“?
Ein Vorfall oder Fehlfunktion einer KI, der z. B. zu Tod oder schwerer Gesundheitsschädigung, schwerer Störung kritischer Infrastruktur, Verletzung von Grundrechts-Pflichten oder schwerem Sach-/Umweltschaden führt.

Was sollten Unternehmen jetzt tun?

  • Prüfen, ob Systeme „hochriskant“ sind und Meldeprozesse vorbereiten
  • Template und die Guidance-Entwürfe für interne Abläufe adaptieren

 

INFORMATIONSSICHERHEIT

Cyberangriffe im Oktober

Der weltweit führende Anbieter industrieller Verbrennungstechnologien SAACKE ist Opfer eines Hackerangriffs geworden. Laut einer Mitteilung auf der Webseite wurden die betroffenen Systeme umgehend isoliert und Sicherheitsmaßnahmen eingeleitet. Durch den Angriff kam es zeitweise zu Einschränkungen im Betriebsablauf sowie zu Verzögerungen bei der Bearbeitung von Aufträgen.

Den Bonitätsdienst Bonify der Schufa-Tochter Forteil hat es auch getroffen. Dabei gelang es den Tätern persönliche Daten aus dem Videoident-Verfahren zu entwenden - darunter Ausweis- und Adressdaten sowie Fotos und Videos, die im Rahmen der Identifikation erhoben wurden. Laut Forteil sind keine Passwörter oder Kontodaten entwendet worden. Nutzer sollten aber wachsam bleiben, da die Daten für Identitätsdiebstahl missbraucht werden könnten.

Ein Ransomware-Angriff hat die komplette IT-Infrastruktur der Gemeindeverwaltung Untereisesheim im Kreis Heilbronn lahmgelegt. Sämtliche Systeme wurden verschlüsselt, wodurch öffentliche Dienstleistungen beeinträchtigt wurden. Lediglich die Telefonanlage blieb funktionsfähig. Die Gemeinde arbeitet aktuell an der Wiederherstellung der Verwaltungsabläufe und ist derzeit nur telefonisch oder über eine Notfall-Email-Adresse erreichbar.

Nickelhütte Aue kämpft aktuell auch mit den Folgen eines Cyberangriffs. An einem Samstag fiel auf, dass die Zeiterfassung nicht mehr ordnungsgemäß funktionierte. Nach der Entdeckung des Angriffs wurde umgehend der Notfallplan aktiviert. Betroffen war nur die Verwaltung, die Produktions-IT blieb weiterhin stabil und uneingeschränkt in Betrieb.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Bitte addieren Sie 7 und 9.

Copyright 2025. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung