Der aktuelle 31. Tätigkeitsbericht der LDI NRW zeigt, dass Datenschutzverstöße weiterhin zum Alltag vieler Organisationen gehören. 2025 gingen mehr als 12.500 Beschwerden bei der Aufsichtsbehörde ein – ein Anstieg von über 67 Prozent gegenüber dem Vorjahr.

Für Aufmerksamkeit sorgen die geschilderten Praxisfälle: Patientendaten in sozialen Medien, die werbliche Nutzung von Urlaubsvideos ohne Einwilligung oder die Weitergabe von Gesundheitsdaten per WhatsApp. Zugleich warnt die Landesdatenschutzbeauftragte vor einer zu pauschalen Nutzung von KI durch Sicherheitsbehörden. Der Bericht macht deutlich, wie wichtig ein verantwortungsvoller Umgang mit personenbezogenen Daten gerade im Zeitalter neuer Technologien bleibt.

Das BSI hat eine aktualisierte Handreichung zur Schulungspflicht von Geschäftsleitungen nach dem BSIG veröffentlicht. Die Vorgaben richten sich an wichtige und besonders wichtige Einrichtungen nach NIS-2 und konkretisieren Anforderungen an Inhalte, Formate und Nachweise der Schulungen.

Geschäftsleitungen müssen Risiken aktiv überwachen und können diese Verantwortung nicht delegieren. Das BSI empfiehlt regelmäßige Schulungen sowie praxisnahe Formate wie Tabletop Exercises oder Audit-Simulationen.

Der Europäische Datenschutzausschuss (EDSA) hat ein europaweit einheitliches Muster für Datenschutz-Folgenabschätzungen (DSFA) veröffentlicht. Das Template soll künftig eine konsistente Dokumentation nach Art. 35 DSGVO ermöglichen und von den nationalen Aufsichtsbehörden übernommen werden.

Besonders hervorzuheben ist die strukturierte Risikobetrachtung, die zwischen verarbeitungsbedingten Risiken und Risiken durch Sicherheitsvorfälle unterscheidet. Unternehmen konnten das Muster bereits testen und sich bis zum 9. Juni 2026 an der öffentlichen Konsultation beteiligen.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat in seinem am 15. November 2025 veröffentlichten Bericht bestätigt, dass Microsoft 365 unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden kann.

Hintergrund der Bewertung sind frühere datenschutzrechtliche Bedenken gegenüber dem Vertragswerk von Microsoft. Nach Angaben des HBDI hat Microsoft sein Datenschutzkonzept inzwischen weiterentwickelt. Dazu zählen insbesondere die sogenannte „EU-Datengrenze“, die eine Verarbeitung personenbezogener Daten überwiegend innerhalb des Europäischen Wirtschaftsraums ermöglichen soll, ein überarbeitetes Vertragswerk (DPA) sowie ergänzende Compliance-Hilfen wie das „M365-Kit“.

Die Einschätzung des HBDI ist jedoch an klare Bedingungen geknüpft: Verantwortliche müssen die aktualisierten Vertragsbedingungen abschließen und Microsoft 365 datenschutzgerecht konfigurieren und betreiben. Eine pauschale oder technisch abschließende Prüfung aller Dienste ersetzt der Bericht ausdrücklich nicht.

Für Unternehmen und öffentliche Stellen bedeutet dies vor allem eine stärkere rechtliche Orientierung bei der Nutzung von Microsoft 365. Die Stellungnahme des HBDI ersetzt jedoch weder eine eigene Risikoanalyse noch die individuelle datenschutzrechtliche Bewertung des jeweiligen Einsatzszenarios.

Microsoft hat im November 2025 neue Dokumentations- und Compliance-Hilfen für die datenschutzkonforme Nutzung von Microsoft 365, Copilot und weiteren Cloud-Diensten vorgestellt. Ziel ist es, Unternehmen und Behörden bei der Umsetzung datenschutzrechtlicher Anforderungen zu unterstützen.

Zum Paket gehören ein „M365-Kit“ mit Vorlagen und Mustertexten für zentrale Dokumentationspflichten nach der DS-GVO – etwa für Verarbeitungstätigkeiten, Rechtsgrundlagen und Datenschutzhinweise – sowie ein überarbeitetes „Cloud Compendium“ mit Antworten zu Datenschutz- und Compliance-Fragen rund um Cloud- und KI-Dienste wie Copilot oder Azure. Ergänzend stellt Microsoft anpassbare Vorlagen für Datenschutz-Folgenabschätzungen (DSFA) bereit.

Nach Angaben des Unternehmens sollen die Materialien insbesondere den Nachweis der DS-GVO-Konformität und die Erfüllung von Rechenschaftspflichten erleichtern. Microsoft verweist dabei auf den Austausch mit Datenschutzaufsichtsbehörden bei der Entwicklung der Unterlagen.

Für Datenschutzverantwortliche bieten die neuen Hilfen eine praxisnahe Grundlage, um Cloud- und KI-gestützte Verarbeitungsvorgänge systematischer zu dokumentieren und Compliance-Prozesse zu unterstützen. Sie können die individuelle rechtliche Prüfung jedoch nicht ersetzen und sollten als Bestandteil einer umfassenden Cloud- und Datenschutz-Governance eingesetzt werden.

Mit Urteil vom 2. Dezember 2025 (Rs. C-492/23 – Russmedia) hat der EuGH entschieden, dass Betreiber von Online-Marktplätzen und Hosting-Plattformen datenschutzrechtlich als Verantwortliche gelten können – auch für von Nutzer*innen veröffentlichte Inhalte.

Plattformbetreiber müssen künftig bereits vor der Veröffentlichung prüfen, ob sensible personenbezogene Daten enthalten sind und ob eine wirksame Einwilligung vorliegt. Auch Identität und Berechtigung der einstellenden Person sind zu kontrollieren und zu dokumentieren.

Für Betreiber von Marktplätzen, Foren und Hosting-Diensten steigt damit der Prüf- und Dokumentationsaufwand deutlich. Das bisher häufig angenommene Hosting-Privileg entbindet nicht von den Anforderungen der DSGVO. Datenschutzverantwortliche sollten bestehende Prozesse und technische Schutzmaßnahmen daher überprüfen.

Google stellt seinen Bot-Schutzdienst reCAPTCHA zum 2. April 2026 datenschutzrechtlich um: Künftig tritt Google nicht mehr als Verantwortlicher, sondern als Auftragsverarbeiter auf. Damit werden Websitebetreiber, die reCAPTCHA einsetzen, selbst zu datenschutzrechtlich Verantwortlichen im Sinne der DS-GVO.

Die Verarbeitung erfolgt künftig auf Grundlage des Google Cloud Data Processing Addendum und nicht mehr unter den bisherigen Datenschutz- und Nutzungsbedingungen von Google. Entsprechend entfernt Google bestehende Verweise auf seine Datenschutzerklärung im reCAPTCHA-Badge.

Für Websitebetreiber und Datenschutzverantwortliche entsteht daraus konkreter Prüfungs- und Anpassungsbedarf. Datenschutzerklärungen, Cookie-Hinweise und technische Einbindungen sollten daraufhin überprüft werden, ob Verweise auf Googles bisherige Datenschutzrolle angepasst oder entfernt werden müssen. Zudem empfiehlt sich die Prüfung beziehungsweise Aktualisierung eines Auftragsverarbeitungsvertrags nach Art. 28 DS-GVO.

In der Datenschutz-Community wird die Änderung zugleich kritisch diskutiert. Zwar übernehmen Websitebetreiber formal die Rolle des Verantwortlichen, Zweck und Ausgestaltung der Verarbeitung bleiben jedoch weiterhin weitgehend durch Google vorgegeben. Ob damit tatsächlich eine vollumfängliche Weisungsbefugnis gegenüber Google besteht, bleibt bislang offen.

Mit der Verkündung am 5. Dezember 2025 ist das NIS-2-Umsetzungsgesetz am 6. Dezember 2025 in Kraft getreten. Damit wird das BSI-Gesetz umfassend reformiert und der Kreis der betroffenen Einrichtungen erheblich erweitert.

Künftig fallen voraussichtlich rund 30.000 private und öffentliche Einrichtungen unter die neuen Vorgaben – deutlich mehr als bislang. Betroffen sind unter anderem Organisationen aus den Bereichen Energie, Gesundheit, Transport, IT, Finanzwesen, Lebensmittelversorgung und weitere kritische Sektoren. Auch Teile der Bundesverwaltung werden erstmals verbindlich einbezogen.

Mit dem Inkrafttreten gelten umfangreiche neue Pflichten: Betroffene Einrichtungen müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren, ein dokumentiertes Risiko- und Informationssicherheitsmanagement etablieren sowie erhebliche IT-Sicherheitsvorfälle nach einem neuen Melderegime anzeigen. Zudem wird die Verantwortung der Leitungsebene ausdrücklich gesetzlich verankert; regelmäßige Schulungen zur Risiko- und Sicherheitsbewertung werden verpflichtend.

Für Unternehmen und Datenschutzverantwortliche bedeutet dies erheblichen Handlungsbedarf. Insbesondere Registrierung, Risikomanagement, Vorfallsmeldungen und technische Schutzmaßnahmen erfordern klare Zuständigkeiten und strukturierte Compliance-Prozesse. Organisationen sollten daher zeitnah prüfen, ob sie unter den Anwendungsbereich fallen und bestehende Sicherheits- und Governance-Strukturen anpassen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet die IT-Sicherheitslage in Deutschland in seinem Jahresbericht 2025 weiterhin als angespannt. Trotz Fortschritten bei der Cyberresilienz bleibt Deutschland nach Einschätzung der Behörde ein attraktives Ziel für Cyberkriminelle und staatlich gesteuerte Angriffe.

Im Berichtszeitraum von Juli 2024 bis Juni 2025 stieg die Zahl neu entdeckter Sicherheitslücken deutlich an. Besonders kritisch bleiben Webanwendungen, Serverkonfigurationen und bekannte, nicht geschlossene Schwachstellen. Fehlendes Patch-Management und unsichere Standardkonfigurationen zählen weiterhin zu den häufigsten Einfallstoren.

Zu den zentralen Bedrohungen gehören Ransomware-Angriffe, gezielte Attacken durch staatlich unterstützte Gruppen, Zero-Day-Schwachstellen sowie Angriffe auf Dienstleister mit Auswirkungen entlang ganzer Lieferketten. Gleichzeitig vergrößern sich die Angriffsflächen in Unternehmen, bei Dienstleistern und in der öffentlichen Verwaltung kontinuierlich.

Zwar beobachtet das BSI eine steigende Widerstandsfähigkeit – insbesondere bei großen Unternehmen und kritischen Infrastrukturen –, diese Entwicklung verläuft jedoch ungleichmäßig. Gerade kleine und mittlere Unternehmen sowie Teile der öffentlichen Verwaltung bleiben weiterhin besonders verwundbar.

Für Datenschutz- und Sicherheitsverantwortliche unterstreicht der Bericht die Bedeutung eines wirksamen Schwachstellen- und Patch-Managements, sicherer Systemkonfigurationen sowie belastbarer Monitoring- und Incident-Response-Prozesse. Auch Schulungen und die Absicherung von Dienstleistern und Lieferketten gewinnen weiter an Bedeutung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen seines Digitalen Verbraucherschutz-Berichts die Sicherheit gängiger E-Mail-Programme untersucht. Im Fokus standen insbesondere Verschlüsselung, Schutz vor Schadsoftware und Phishing sowie der Umgang mit lokal gespeicherten Daten.

Die Analyse zeigt, dass viele E-Mail-Clients zwar eine Transportverschlüsselung über TLS unterstützen, die Umsetzung weitergehender Sicherheitsmechanismen – etwa für Ende-zu-Ende-Verschlüsselung mittels S/MIME oder OpenPGP – jedoch erheblich variiert. Auch Funktionen zur Erkennung von Spam, Phishing und Tracking sind je nach Software unterschiedlich ausgeprägt.

Darüber hinaus bewertet das BSI, wie E-Mails und Zugangsdaten lokal gespeichert werden und welche Risiken sich daraus beispielsweise bei Geräteverlust ergeben. Nicht alle Programme bieten hier ein gleichermaßen hohes Schutzniveau.

Für Unternehmen und Behörden verdeutlicht die Untersuchung, dass die Wahl und sichere Konfiguration von E-Mail-Programmen wesentlichen Einfluss auf Datenschutz und Informationssicherheit haben. Das BSI empfiehlt daher, neben der Transportverschlüsselung auch zusätzliche Schutzmaßnahmen wie starke Authentifizierung und E-Mail-Verschlüsselung einzusetzen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer Marktanalyse die Sicherheit gängiger Passwortmanager untersucht. Bewertet wurden zehn verbreitete Lösungen unterschiedlicher Typen – von browserbasierten Angeboten bis hin zu Apps und Open-Source-Produkten.

Die Untersuchung zeigt deutliche Unterschiede im Sicherheitsniveau der Anbieter. Nach Einschätzung des BSI ermöglichen einzelne Konzepte oder technische Implementierungen theoretisch einen Herstellerzugriff auf gespeicherte Daten. Zudem bieten nur wenige Produkte eine durchgängige Verschlüsselung einschließlich sicherer Neuverschlüsselung nach Änderung des Masterpassworts.

Neben der kryptographischen Ausgestaltung bewertet der Bericht auch Phishing-Schutz, Backup-Konzepte und Maßnahmen zur Begrenzung von Hersteller- oder Cloud-Zugriffen. Diese Faktoren gelten als entscheidend für die Widerstandsfähigkeit gegenüber realen Angriffsszenarien.

Trotz festgestellter Schwächen betont das BSI den hohen praktischen Nutzen von Passwortmanagern: Die Nutzung starker und individueller Passwörter reduziert Sicherheitsrisiken deutlich gegenüber wiederverwendeten oder schwachen Zugangsdaten.

Für Datenschutz- und Sicherheitsverantwortliche empfiehlt das BSI daher eine sorgfältige Produktauswahl. Wichtige Kriterien sind vollständige Verschlüsselung, transparente Sicherheitskonzepte, minimierte Herstellerzugriffe sowie regelmäßige Updates und belastbare Backup-Verfahren. Bei cloudbasierten Lösungen sollten zudem Speicherort und datenschutzrechtliche Rahmenbedingungen geprüft werden.

Die Darstellung von Anwesenheits- und Abwesenheitsinformationen in Zeiterfassungssystemen ist datenschutzrechtlich nur unter bestimmten Voraussetzungen zulässig. Entscheidend ist, dass Unternehmen dabei den Grundsatz der Datenminimierung und Zweckbindung nach der DS-GVO einhalten.

Grundsätzlich dürfen Vorgesetzte und berechtigte Stellen nur die Informationen erhalten, die für ihre Aufgabe erforderlich sind – etwa Arbeitszeiten oder den Status „anwesend/abwesend“. Detaillierte Gründe für Abwesenheiten (z. B. Krankheit oder private Termine) sind hingegen besonders schutzwürdig und dürfen nicht ohne Weiteres für alle einsehbar sein.

Für eine datenschutzkonforme Umsetzung empfiehlt sich daher eine gestufte Rechtevergabe im Zeiterfassungssystem. Während Führungskräfte in der Regel eine übersichtliche Anwesenheits- oder Zeitkontenansicht erhalten, sollten sensible Detailinformationen nur der Personalabteilung oder entsprechend berechtigten Stellen zugänglich sein.

Unternehmen sollten ihre Zeiterfassungssysteme daher so konfigurieren, dass nur die jeweils erforderlichen Informationen angezeigt werden und interne Zugriffe klar geregelt sind. Dies reduziert Datenschutzrisiken und unterstützt eine rechtssichere Organisation der Arbeitszeiterfassung.