Datenschutzwoche
Bundestag beschließt NIS-2-Umsetzungsgesetz
Nach einer halbstündigen Debatte hat der Bundestag am 13. November 2025 das Gesetz „zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ angenommen. Nur drei Tage zuvor hatten die Fraktionen der CDU/CSU und der SPD einen Änderungsantrag eingereicht. Darin wurde die Ausnahmeregelung für vernachlässigbare Geschäftstätigkeiten in § 28 Abs. 3 BSIG bekräftigt. Zudem wurde die Ausnahmeregelung bei einer drohenden Doppelaufsicht durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesnetzagentur (BNetzA) gemäß § 28 Abs. 5 BSIG adressiert. Statt vernachlässigbarer Tätigkeiten sollen nun sämtliche Nebentätigkeiten ausgenommen sein.
Mit dem Gesetz werden die verschärften Cybersicherheitsanforderungen der NIS-2-Richtlinie in deutsches Recht umgesetzt. Bemerkenswert an der Umsetzung ist das dreistufige Melderegime für Sicherheitsvorfälle, welches das bislang geltende einstufige Verfahren ersetzt. Demnach sind besonders wichtige und wichtige Einrichtungen zukünftig verpflichtet, nach einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden, 72 Stunden bzw. einem Monat Meldungen mit spezifischen Informationen an eine vom Bundesamt für Sicherheit in der Informationstechnik und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe eingerichtete gemeinsame Meldestelle zu melden.
Zudem wird das Bundesamt für Sicherheit in der Informationstechnik mit erweiterten Aufsichtsbefugnissen ausgestattet. Innerhalb der Bundesverwaltung soll ein zentraler Koordinator („CISO Bund“) künftig die Umsetzung einheitlicher Informationssicherheitsstandards steuern.
HBDI Hessen: „Microsoft 365 kann datenschutzkonform genutzt werden“
Die Diskussion rund um den Einsatz von M365 in der öffentlichen Verwaltung hat eine neue Facette dazugewonnen. Am 14. November 2025 hat die hessische Datenschutzaufsichtsbehörde einen 137 Seiten langen Bericht mit der Überschrift „Microsoft 365 kann datenschutzkonform genutzt werden“ veröffentlicht.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel äußert sich dort folgendermaßen: „Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten.“
Die Datenschutzkonferenz (DSK) hatte im Jahr 2022 kritisiert, dass das damalige Vertragswerk, insbesondere der Datenschutznachtrag, nicht den Anforderungen von Art. 28 DSGVO entsprach. Diese sieben Kritikpunkte bildeten die Grundlage für die nun abgeschlossene Neubewertung. Laut HBDI haben sich die Rahmenbedingungen seitdem deutlich verändert. Durch das EU-US Data Privacy Framework, die Ausweitung der EU-Datengrenze, überarbeitete Dokumentationen sowie Anpassungen des Datenschutznachtrags seien zentrale Bedenken ausgeräumt worden.
Abschließend formuliert der Bericht Handlungsempfehlungen für öffentliche und private Stellen in Hessen. Diese sollen einzelne M365-Dienste weiterhin im Einzelfall prüfen, können diese bei entsprechender Ausgestaltung jedoch datenschutzkonform nutzen.
Internationale Nachrichten
- Europäischer Datenschutzbeauftragter (EDPS): Der Europäische Datenschutzbeauftragte (EDPS) hat eine Leitlinie für das Risikomanagement von KI-Systemen veröffentlicht. Der Bericht hebt hervor, dass KI-gestützte Datenverarbeitung besondere Risiken für die Rechte und Freiheiten von Betroffenen mit sich bringt und daher ein systematisches Risikomanagement erforderlich ist. Die Leitlinien geben einen Überblick über gängige KI-Entwicklungs- und Beschaffungsprozesse, betonen die Bedeutung von Interpretierbarkeit und Erklärbarkeit und beschreiben zentrale Risikobereiche wie Fairness, Genauigkeit, Datenminimierung und Sicherheit. Zudem nennt der Bericht mögliche technische Maßnahmen, mit denen EU-Einrichtungen datenschutzrechtliche Anforderungen besser einhalten können.
- Kroatien: Die kroatische Datenschutzbehörde hat am 14. November 2025 ein Telekommunikationsunternehmen mit einem Bußgeld von 4,5 Mio. Euro belegt. Das Unternehmen übermittelte personenbezogene Daten an einen Konzern-Dienstleister in Serbien ohne gültige Garantien und ohne ausreichende Information der Betroffenen. Zudem wurden Kopien von Mitarbeiter-Ausweisen und Führungszeugnissen ohne Rechtsgrundlage verarbeitet.
Aktuelle Gerichtsentscheidungen:
- BGH, Urteil vom 14.10.2025, Az. VI ZR 431/24 (Volltext): Wirtschaftsauskunfteien – Die Übermittlung personenbezogener Positivdaten (hier: zum Identitätsabgleich erforderliche Stammdaten der Verbraucher sowie die Information, dass ein Vertragsverhältnis mit diesen begründet oder beendet wurde) seitens eines Mobilfunkdiensteanbieters an eine Wirtschaftsauskunftei kann gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO durch das Interesse an einer Betrugsprävention gerechtfertigt sein.
- VG Berlin, Urteil vom 14.10.2025, Az. 1 K 74/24 (juris): Lettershop – Ein Unternehmen, für das eine Adresshändlerin im sogenannten Lettershop-Verfahren Direktwerbung versendet, wobei der Werbetreibende Kundenkategorien vorgibt, aber keinen Zugriff auf die genutzten Adressen erhält, ist datenschutzrechtlich für die Datenverarbeitung in Gestalt des Auswählens und Verwendens der Adressdaten nicht gemeinsam mit der Adresshändlerin im Sinne von Art. 4 Nr. 7, Art. 26 Abs. 1 Satz 1 DSGVO verantwortlich.
- EuGH, Urteil vom 13.11.2025, Rs. C-654/23 (Volltext): Direktwerbung – Bereits die Registrierung für ein kostenloses Nutzerkonto kann ausreichen, um ohne Einwilligung Newsletter zu Werbezwecken zu verschicken.
Neuigkeiten aus den Aufsichtsbehörden:
- Datenschutzaufsicht Sachsen: „Neuer Leitfaden unterstützt sächsische Verwaltung bei der Nutzung der Transparenzplattform“ – Mitteilung vom 09.11.2025
- Datenschutzaufsicht Mecklenburg-Vorpommern: „Gesundheitsforschung datenschutzkonform voranbringen“ – Mitteilung vom 10.11.2025
- Datenschutzaufsicht Nordrhein-Westfalen: „Einsatz von App-gesteuerter Klingelanlage: Ohne Einwilligung der Mieter*innen geht es nicht“ – Mitteilung vom 11.11.2025
- Datenschutzaufsicht Baden-Württemberg: „Hinweis zu Megatipp Emergency Call Services: Auffällige Abbuchungen“ – Mitteilung vom 14.11.2025
- Datenschutzaufsicht Hessen: „Bericht veröffentlicht: HBDI: Microsoft 365 kann datenschutzkonform genutzt werden“ – Mitteilung vom 14.11.2025
- Datenschutzaufsicht Niedersachsen: „KI-Symposium des LfD Niedersachsen: 150 Teilnehmer diskutieren rechtssichere KI-Nutzung“ – Mitteilung vom 14.11.2025