DSGVO – Deine-Datenschuetzer.de

16. Oktober 2025

Cyber Resilience Act: BSI wird marktüberwachende Behörde

Gute Nachrichten:

Der Cyber Resilience Act (CRA) wird den Markt für IT-Produkte und Geräte mit digitalen Elementen grundlegend verändern. Denn die IT-Sicherheitseigenschaften der Produkte werden künftig ein entscheidendes Kriterium für den Marktzugang in der EU. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde nun von der Bundesregierung als notifizierende und marktüberwachende Behörde gegenüber der Europäischen Kommission benannt. Damit kommen dem BSI neue Aufgaben zu: Als notifizierende Behörde wird das BSI Drittstellen bewerten und notifizieren, damit diese IT-Produkte unabhängig auf die Anforderungen des CRA prüfen können. Als marktüberwachende Behörde kann das BSI stichprobenartig oder gezielt IT-Produkte auf Cybersicherheit überprüfen und bei Verstößen Sanktionen und Bußgelder (bis zu 15 Mio. EUR bzw 2,5% des weltweiten Umsatzes vom vorangegangenen Geschäftsjahres) verhängen. Dem BSI wird in dieser Rolle auch die Möglichkeit eingeräumt, Produkte mit digitalen Elementen vom Markt zu nehmen, wenn sie den Anforderungen des CRA nicht gerecht werden.

BSI-Präsidentin Claudia Plattner: „Der CRA ist ein Gamechanger für die Sicherheit digitaler Produkte! Wir steigern damit das Cybersicherheitsniveau zahlreicher Geräte in Europa. Das BSI wird seine Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können.“

Als marktüberwachende Behörde kann das BSI im Rahmen des CRA aktiv und reaktiv tätig werden. Aktiv bedeutet, dass im Rahmen der Marktüberwachungsstrategie Produkte anlasslos überprüft werden können. Reaktiv kann das BSI auf Informationen durch Dritte eingehen und Ursachen und Auswirkungen von Vorfällen, Mängeln oder Schwachstellen analysieren und geeignete Maßnahmen ergreifen.

Um unter dem CRA als Konformitätsbewertungsstelle tätig werden und Produkte prüfen zu dürfen, müssen Prüfstellen die in Art. 39 des CRA gelisteten Anforderungen erfüllen. Die notwendigen Verfahren für die CRA-Notifizierung werden durch das BSI in den kommenden Monaten erarbeitet.

Für den CRA hat das BSI weitreichende Informationen zur Verfügung gestellt. Diese werden kontinuierlich ausgebaut.

Im Rahmen der IT-Sicherheitsmesse it-sa, die vom 7. bis 9. Oktober in Nürnberg stattfindet, stellt das BSI vielfältige Informationen zum CRA bereit. Daneben bietet das BSI auf der it-sa ein umfangreiches Programm und gezielte Informationen zur NIS-2-Richtlinie, zum Grundschutz++ und vielen anderen Themen der IT-Sicherheit.

Quelle: BSI

26. März 202426. März 2024

Tausende Microsoft-Exchange-Server durch kritische Schwachstellen verwundbar

Mindestens 17.000 Instanzen von Microsoft-Exchange-Servern in Deutschland sind durch eine oder mehrere kritische Schwachstellen verwundbar. Hinzu kommt eine Dunkelziffer an Exchange-Servern in vergleichbarer Größe, die potenziell verwundbar sind. Das geht aus einer aktuellen Untersuchung des Bundesamts für Sicherheit in der Informationstechnik (BSI) hervor.

Das BSI ruft die Betreiber der Instanzen dazu auf, aktuelle Exchange-Versionen einzusetzen, verfügbare Sicherheitsupdates einzuspielen und die Instanzen sicher zu konfigurieren. Weitere Informationen stellt das BSI in einer heute veröffentlichen Warnung zur Verfügung.

Cyberkriminelle sowie staatliche Akteure nutzen mehrere dieser Schwachstellen bereits aktiv zur Verbreitung von Schadsoftware, zu Cyberspionage oder für Ransomware-Angriffe aus. Betroffen sind insbesondere Schulen und Hochschulen, Kliniken, Arztpraxen, Pflegedienste und andere medizinische Einrichtungen, Rechtsanwälte und Steuerberater, Kommunalverwaltungen sowie viele mittelständische Unternehmen.

Dazu sagt Claudia Plattner, Präsidentin des BSI: „Dass es in Deutschland von einer derart relevanten Software zigtausende angreifbare Installationen gibt, darf nicht passieren. Unternehmen, Organisationen und Behörden gefährden ohne Not ihre IT-Systeme und damit ihre Wertschöpfung, ihre Dienstleistungen oder eigene und fremde Daten, die womöglich hochsensibel sind. Cybersicherheit muss endlich hoch oben auf die Agenda. Es besteht dringender Handlungsbedarf!“

Rund 45.000 Microsoft-Exchange-Server in Deutschland sind derzeit ohne Beschränkungen aus dem Internet erreichbar. Nach aktuellen Erkenntnissen des BSI sind etwa zwölf Prozent davon so veraltet, dass für sie keine Sicherheitsupdates mehr angeboten werden. Rund 25 Prozent aller Server werden zwar mit aktuellen Versionen Exchange 2016 und 2019 betrieben, verfügen aber über einen veralteten Patch-Stand. In beiden Fällen sind die Server für mehrere kritische Schwachstellen anfällig. Damit sind mindestens 37 Prozent aller offen aus dem Internet erreichbaren Microsoft-Exchange-Server verwundbar.

Für weitere 48 Prozent der Exchange-Server kann keine eindeutige Aussage hinsichtlich der Verwundbarkeit für die kritische Schwachstelle CVE-2024-21410 getroffen werden. Diese Systeme sind noch verwundbar, sofern die Betreiber nicht die seit August 2022 zur Verfügung stehende Extended Protection aktiviert oder andere Schutzmaßnahmen getroffen haben. Inwieweit dies zutrifft, können nur die jeweiligen Betreiber beurteilen.

Darüber hinaus besteht eine weitere Schwachstelle in Microsoft Exchange, für die jüngst Sicherheitsupdates zur Verfügung gestellt wurden. Werden diese Updates nicht eingespielt, erhöht sich die Bedrohungslage weiter. Das CERT-Bund des BSI informiert Netzbetreiber in Deutschland bereits seit längerer Zeit tagesaktuell automatisiert per E-Mail zu IP-Adressen in ihren Netzen, unter denen sich bekannte verwundbare Exchange-Server befinden.

15. Februar 202415. Februar 2024

„Betroffen“ von der „Network and Information Security“-Richtlinie?

Die NIS2-Richtlinie ist die EU-weite Gesetzgebung zur Cybersicherheit. Sie enthält rechtliche Maßnahmen zur Steigerung des Gesamtniveaus der Cybersicherheit in der EU.

Die NIS-2 Richtlinie gilt ab Oktober 2024. Sie ersetzt die NIS Direktive von 2016 und zielt auf ein gemeinsames und einheitliches Cybersicherheitsniveau ab.

Wer ist von der NIS-2 Richtline und der Umsetzung „betroffen“?

Sektoren mit hoher Kritikalität (Anhang I der NIS-2):

Energie
Verkehr
Bankwesen
Finanzmarktinfrastrukturen
Gesundheitswesen
Trinkwasser
Abwasser
Digitale Infrastruktur
Verwaltung von IKT-Diensten (B2B)
Öffentliche Verwaltung
Weltraum

Sonstige kritische Sektoren (Anhang II der NIS-2):

Post- und Kurierdienste
Abfallbewirtschaftung
Produktion, Herstellung und Handel mit chemischen Stoffen
Produktion, Verarbeitung und Vertrieb von Lebensmitteln
Verarbeitendes Gewerbe/Herstellung von Waren
Anbieter digitaler Dienste
Forschung

Hier finden Sie die ganze Novelle als PDF

7. Februar 202415. Februar 2024

KI im Datenschutz – Analyse mit KI datenschutztechnisch relevant?

Aber JA!

Wir müssen uns der Bedeutung von KI in verschiedenen Bereichen des Lebens bewußt sein.

So kann KI, ohne dass es unsere Absicht ist, ein Scoring-ähnliches Ergebnis liefern. Z.B. bei der Verkehrüberwachung in den kommenden „Smart Cities“ im Bereich von Gefahren- und Kriminalitätsprevention Personen „kategorisieren“ und damit eine Bewertung durchführen.

Die EU hat sich im Dezember letzten Jahres auf die weltweit ersten Regeln für den Einsatz von Künstlicher Intelligenz geeinigt – den AI Act. Während die Mitgliedsstaaten des EU-Rats versucht hatten, insbesondere bei der Videoüberwachung, möglichst weitgehende Überwachungsmechanismen durchzusetzen, hielt das EU-Parlament lange an seiner bürgerrechtsfreundlicheren Position fest. Ein Kompromiss war die logische Konsequenz. Es bleibt abzuwarten, ob der AI Act letzten Endes tatsächlich zu einer angemessenen und einheitlichen Balance zwischen Sicherheit, Innovation und Grundrechten sowie der Stärkung von Betroffenenrechten beiträgt.

7. Februar 202415. Februar 2024

Werbe Email ohne Einwilligung – Nein danke

Und täglich grüßt das Murmeltier. Immer noch versenden Unternehmen unter dem Deckmantel des Umweltschutzes Werbe Emails ohne die Einwilligung des Kunden. Die Argumentation, dass es ja überhaupt nicht mehr möglich sei Werbung beim Kunden zu betreiben, ist hier nicht tauglich.

Dann zur Vermeidung einer E-Mail-Flut an belästigender Werbung i.S.d. § 7 UWG muss vor dem Versand einer Werbe-E-Mail eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt werden. Um eine Einwilligung rechtssicher zu generieren, muss diese im Double-Opt-in eingeholt werden und die Anforderungen an eine informierte Einwilligung gewahrt werden.

Auch hier kann die Kommunikation mit den Kunden und damit Betroffenen helfen. Ein nettes Telefongespräch kann ja beiläufig in der Frage münden, ob man schon von der ein oder anderen Neuerung gehört hat. Bei Verneinung ist ein Hinweis auf Newsletter oder Werbung erlaubt.

Anmelden muss sich der Kunde aber noch selbst!

7. Februar 202415. Februar 2024

Keine Reaktion ist auch eine Reaktion

Einem Betroffenenbegehr nicht oder zu spät Folge zu leisten ist selten eine gute Idee. Die „Vogel-Strauss-Methode“ sollte man sich hier verkneiffen, offen und kooperativ auf den Betroffenen und seine Anfrage reagieren.

Auch hier gab es in der Vergangenheit schon empfindliche Strafen, wenn die Betroffenenrechte nicht anerkannt, beantwortet oder bearbeitet wurden.

Ein Guter Stil im Unternehmen zeigt sich auch in der Kommunikationskultur und hilft auch wogen zu glätten.

7. Februar 202415. Februar 2024

Werbecookies und immer wieder Werbecookies

Ein Werbecookie allein, macht noch keine Einwilligung. Das Banner aufpoppen zu lassen und sich ohne weitere Erläuterung zunächst mal pauschal alles auf ausgewählt zu setzen reicht nicht aus, um den gesetzlichen Anforderungen genüge zu tun.

Bei der Einwilligung ist unter Anderem die Freiwilligkeit maßgebend. Und wenn ich bei einem Cookiebanner keine Auswahl auf direktem Wege bekomme kann das die Aufsichtsbehörde empfindlich ahnden. Denn nach der DSGVO liegt es in der rechtlichen Verantwortung der Eigentümer und Betreiber von Websites, sicherzustellen, dass personenbezogene Daten rechtmäßig erhoben und verarbeitet werden.

So muss auch die Änderung der Einwilligung sowie die Information über die Betroffenenrechte gegeben sein. Also Info, Info, Info und Änderungsmöglichkeiten sowie Transparenz machen ein gutes Werbecookie aus.

7. Februar 202415. Februar 2024

Videoüberwachung unzulässig bei Leistungs- und Verhaltenskontrollen

Eine Videoüberwachung kann empfindliche Strafen nach sich ziehen, wenn diese zur Leistungs- und Verhaltenskontrolle genutzt wird.

Addiert man dann noch eine Priese Scoring (z.b. die Zeit der Verarbeitung eines Arbeitsschritts oder die Ermittlung durchschnittlicher Durchlaufzeiten von Artikeln bei einem Mitarbeiter) hinzufügt, kann das ganz schnell mal eine 2-Stellige Millionensumme kosten.Je nach Jahresumsatz der betroffenen Firma.

Wir reden hier über Verstöße gegen Art. 5 Abs. 1 lit. c, Art. 6, Art. 12, Art. 13, Art. 32 DSGVO

Die Aufsichtsbehörden überprüfen hier immer genauer. Bei Videoüberwachung sollte also die Auswahl der Erwägungsgründe genau überdacht werden. Mit einem „persönlichen“ Interesse kommen Sie in der Diskussion bei Verstößen maximal bis zum „Guten morgen“