NIS2-Einigung im Bundestag, Cybersicherheits-Jahresberichte 2025 und vieles mehr...

Datenschutz

EuGH: Newsletter-Werbung auch ohne Einwilligung? – Ja, aber nur in Grenzen

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 13.11.2025

(Rs. C-654/23) klargestellt: Direktwerbung per E-Mail kann ausnahmsweise auch ohne ausdrückliche Einwilligung zulässig sein. Das gilt jedoch nur unter strengen Voraussetzungen der sogenannten Bestandskundenwerbung (Opt-out).

 

Wann ist der Versand ohne Einwilligung möglich?

Unternehmen dürfen Newsletter ohne vorheriges Opt-in nur dann versenden, wenn:

  • die E-Mail-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhoben wurde (Bestandskunde),
  • eigene und ähnliche Produkte oder Dienstleistungen beworben werden,
  • der Empfänger bei Erhebung der E-Mail-Adresse klar und deutlich auf sein Widerspruchsrecht hingewiesen wurde und nicht widersprochen hat,
  • eine einfache Abbestellung sowohl bei Erhebung als auch in jeder einzelnen Werbe-Mail möglich ist.

WICHTIG: Kein Werbung für Dritte

Die Ausnahme greift nur bei Werbung für eigene ähnliche Angebote. Sobald auch Angebote Dritter (z. B. Partner, Sponsoren) beworben werden, ist grundsätzlich wieder eine Einwilligung erforderlich.

 

Auch „kostenlose“ Dienste können ausreichen

Besonders relevant: Die Bestandskundenregel kann laut EuGH auch dann gelten, wenn ein Service kostenlos ist – sofern die Gegenleistung des Nutzers in der Bereitstellung persönlicher Daten liegt, die für die Vermarktung kostenpflichtiger Leistungen genutzt werden können („Daten gegen Service“).

 

Unsere Empfehlung für die Praxis Double-Opt-in als Standard nutzen (rechtssicher und nachweisbar).

Bereits bei Erhebung der E-Mail-Adresse transparent über Werbezwecke informieren.Prüfen Sie die Inhalte auch redaktionell wirkende E-Mails können als Direktwerbung gelten, wenn sie (auch mittelbar) absatzfördernd sind.

In jeder E-Mail eine leicht zugängliche Abmeldung anbieten – ohne Login-Zwang oder versteckte Klickwege.

 

INFORMATIONSSICHERHEIT

NIS2-Einigung im Bundestag: Was Unternehmen jetzt wissen müssen

Was sich schon lange angekündigt hat, steht jetzt offiziell fest:

Das NIS2-Umsetzungsgesetz ist da!

Am 13. November 2025 hat die Bundesregierung dieses verabschiedet und ein klares Signal für mehr digitale Resilienz in deutschen Unternehmen gesetzt. Mit der Ausweitung des Geltungsbereichs auf rund 30.000 Unternehmen steigt die Bedeutung des reformierten BSI-Gesetzes spürbar.

Auch der Mittelstand sollte genau hinschauen. Viele Betriebe, die bislang nicht betroffen waren, fallen künftig unter das neue IT-Sicherheitsgesetz. Bei Fragen, melden Sie sich gerne bei uns.

INFORMATIONSSICHERHEIT

Vernichtung von Datenträgern: ISO/IEC21964 ersetzt DIN66399

Die bisherige DIN6639 zur Vernichtung von Datenträgern wurde zurückgezogen und durch den internationalen Standard ISO/IEC 21964 abgelöst.

Wir empfehlen Ihnen, Ihre bestehenden Unterlagen zu prüfen und Verweise auf die bisherige DIN6699 im Zuge der Umstellung zu aktualisieren.

 

INFORMATIONSSICHERHEIT

Lageberichte 2025 bestätigen: IT-Bedrohungslage bleibt angespannt

Zwei kürzlich veröffentlichte Lageberichte - vom BSI und dem bayerischen Staatsministerium - machen deutlich: Die Cyberbedrohung in Deutschland ist weiterhin hoch. Angriffe werden immer gezielter, professioneller und zunehmend durch KI gesteuert. Das sind die wichtigsten Erkenntnisse im Überblick:

01. Angriffsflächen nehmen zu

  • Ungepatchte Systeme bleiben Haupteinfallstore.
  • Besonders kritisch sind Sicherheitslücken in Perimetersystemen.
  • Täglich werden 119 Schwachstellen bekannt.

02. Ransomware-Angriffe dominieren

  • KMU stehen mit 80% der 950 angezeigten Angriffe im Fokus.
  • Angreifer arbeiten mit doppelter Erpressungsstrategie.

03. Phishing durch KI gefährlicher

  • Hochgradig personalisierte Phishing- und Social-Engineering-Angriffe durch KI-Textgeneratoren.
  • Einsatz von Deepfakes in E-Mails oder Video-Calls.
  • Quishing erfolgt über manipulierte QR-Codes.

04. Arbeitsteilig organisierte Cyberkriminalität

  • CaaS-Modelle, Access Broker und ein florierender Handel mit Schwachstellen ermöglichen auch weniger versierten Akteuren hochprofessionelle Angriffe.

05. Geopolitische Desinformation

  • Akteure nutzen Desinformation, gefälschte Online-Identitäten und politisch motivierte Cyberangriffe, um Einfluss zu nehmen.

06. Sicherheitsillusion im Mittelstand

  • Viele KMU halten ihre IT-Sicherheit zwar für „gut“, erfüllen aber nur gut die Hälfte der grundlegenden BSI-Anforderungen.

Wofür LinkedIn die Daten nutzt

Mit den KI-Funktionen will LinkedIn Nutzerinnen und Nutzern das Erstellen von Inhalten erleichtern.

„Unsere Gen-KI-Funktionen helfen Arbeitgebern, Mitglieder einfacher zu finden und zu kontaktieren. Außerdem können Mitglieder leichter Inhalte wie Profilaktualisierungen, Nachrichten und Beiträge verfassen“, heißt es vom Unternehmen.

Darüber hinaus will LinkedIn die gesammelten Daten auch mit Microsoft und anderen verbundenen Unternehmen teilen. Diese dürfen die Informationen unter anderem zur Personalisierung von Werbung und zur Weiterentwicklung eigener KI-Produkte einsetzen.

Neu ist außerdem: LinkedIn wird künftig nicht mehr aktiv um Zustimmung bitten, wenn neue KI-Produkte oder Datenverarbeitungen eingeführt werden. Stattdessen gilt ein Opt-out-Modell – wer seine Daten nicht teilen möchte, muss selbst widersprechen.

 

INFORMATIONSSICHERHEIT

Massiver Datenzuwachs bei Have I Been Pwned: 1,3 Milliarden Passwörter hinzugefügt

Have I Been Pwned (HIBP) ist ein hilfreicher, seriöser und kostenloser Online-Dienst, mit dem Nutzer prüfen können, ob ihre E-Mail-Adressen oder Passwörter im Zuge eines Datenlecks veröffentlicht wurden. Gibt man seine E-Mail-Adresse in das Suchfenster ein, vergleicht HIBP diese automatisch mit allen bekannten, in der Datenbank hinterlegten Leaks.

Vor kurzem wurde der Datenbestand um 1,3 Milliarden neue Zugangsdaten aus der Synthient-Sammlung erweitert. Diese Daten stammen aus frei zugänglichen Cloudspeichern sowie Telegram-Gruppen und erhöhen die Relevanz einer Überprüfung deutlich.

Es ist daher absolut empfehlenswert, die eigenen Zugangsdaten erneut über HIBP zu prüfen, um mögliche Risiken frühzeitig zu erkennen.

 
INFORMATIONSSICHERHEIT

Cyberangriffe im November

Laut einer Bitkom-Studie war fast jedes dritte Unternehmen in Deutschland innerhalb eines Jahres direkt oder indirekt von Angriffen auf Zulieferer betroffen. Selbst wenn Sie intern hohe Sicherheitsstandards umsetzen, können Angreifer über vernetzte Systeme oder ungeschützte Geschäftsdaten bei Partnern erfolgreich eindringen. Daher als Reminder: Supply-Chain-Security darf kein blinder Fleck bleiben. Wer vernetzt arbeitet, muss auch vernetzt schützen!

 

Die Stadtwerke Detmold wurden diesen Monat Opfer einer Cyberattacke. Der daraus entstandene großflächige IT-Ausfall legte für einige Tage die telefonische Erreichbarkeit und Teile der Online-Services lahm. Die Versorgung der Kunden blieb aber jederzeit gesichert. Ob Kundendaten betroffen sind, wird noch geprüft.

 

Hackern ist es gelungen in die IT-Systeme des Münchner Radiosenders Arabella einzudringen und Schadsoftware zu installieren. Sie hinterließen eine zynische Nachricht "Schönen Nachmittag. Wie Sie sehen, wurden Sie gehackt." Die Folge: Die Moderatorin konnte plötzlich nicht mehr live senden. Drei Stunden lief nur Musik vom Band. Die Zuhörer reagierten prompt und meldeten sich beim Sender. Kurz darauf fiel aber auch die Telefonanlage komplett aus.

 

Ob es sich bei dem Vorfall bei der Stadt Ludwighafen um einen gezielten Hackerangriff oder einen unberechtigten externen Angriff handelte, wird derzeit noch geprüft. Sicher ist: Der Betrieb kam ins Stocken. Viele Mitarbeitende konnten nicht digital arbeiten und die Bürger erreichten die Verwaltung nur eingeschränkt. Erst drei Wochen nach dem Vorfall sind die Bürgerbüros wieder geöffnet und die Verwaltung wieder erreichbar.

 

Das Medizinische Versorgungszentrum Nordoberpfalz musste nach einem Cyberangriff zwei seiner Standorte - Tirschenreuth und Kemnath - vorübergehend vom Netz nehmen und den Betrieb vollständig einstellen. Sämtliche Operationen wurden abgesagt. Die Kliniken sowie der Standort Weiden blieben hingegen verschont und konnten weiterarbeiten. Derzeit wird das Ausmaß des Schadens analysiert.

 

Auch das Miniatur Wunderland in Hamburg hat es getroffen. Offenbar konnte eine eingeschleuste Schadsoftware bereits vor mehreren Monaten Daten abgreifen. Besonders brisant: Bei Kreditkartenzahlungen wurden sensible Informationen an externe Zahlungsdienstleister weitergeleitet. Die betroffenen Server wurden vollständig neu aufgesetzt und rund 35.000 potenziell Betroffene informiert.

 

WIR UNTERSTÜTZEN SIE GERNE

 

Die digitale Bedrohungslage verschärft sich kontinuierlich, wie die jüngsten Angriffe in diesem Monat erneut eindrücklich zeigen. Angreifer organisieren sich immer professioneller und nutzen Sicherheitslücken immer schneller aus. Expert:innen sind sich einig: Es ist keine Frage, ob der Cyberangriff kommt, sondern eigentlich nur, wann!

Zurück

Über uns

Die EDV-Unternehmensberatung Floß GmbH zählt deutschlandweit zu einem kleinen Kreis von Consultants, die sich auf die technischen, juristischen und organisatorischen Aspekte des Datenschutzes sowie der Informationssicherheit spezialisiert haben. Wir arbeiten für Unternehmen und Institutionen aller Art und Größe, für Gerichte und Staatsanwaltschaften ebenso wie für Versicherungen.

Logo MINT für Kinder & Jugendliche fördern
Logo Allianz für Cyber-Sicherheit

Kontakt

EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold

05423  96490-0

info@floss-consult.de

Regionale Schwerpunkte

Kostenloser Erstkontakt

Mit dem Absenden des Kontaktformulars erklären Sie sich damit einverstanden, dass Ihre Daten zur Bearbeitung Ihrer Anfrage verwendet werden (Weitere Informationen und Widerrufshinweise finden Sie in der Datenschutzerklärung).

Was ist die Summe aus 3 und 5?

Copyright 2026. Alle Rechte vorbehalten. By mayfeld.de

Newsletter Downloads Jobs AGB Impressum Datenschutzerklärung