Datenschutz-Newsletter März 2026

16.03.2026, 09:37 Uhr

NIS-2: Die Frist zur Registrierung beim BSI endete am 6. März – handeln Sie jetzt, wenn Ihnen Ihre Betroffenheit noch nicht klar sein sollte.

Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Deutschland in Kraft und erweitert die Anforderungen an die Cybersicherheit deutlich. Während bisher nur etwa 4.500 Organisationen unter entsprechende Regelungen fielen, betrifft die neue Gesetzgebung nun rund 29.500 Einrichtungen. Besonders Unternehmen aus Bereichen, die für die Grundversorgung der Bevölkerung relevant sind, müssen künftig strengere Sicherheitsvorgaben einhalten.

Dazu gehören unter anderem umfangreiche Maßnahmen zur IT-Sicherheit und zum Risikomanagement. Ziel ist es, Störungen von IT-Systemen möglichst zu verhindern und im Ernstfall deren Auswirkungen zu begrenzen. Dabei geht es insbesondere um den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit von IT-Systemen, die für die Erbringung von Dienstleistungen benötigt werden. Ein weiterer Bestandteil der Vorgaben betrifft organisatorische Maßnahmen wie die Festlegung von Verantwortlichkeiten, die Einrichtung von Meldeprozessen für IT-Vorfälle und die regelmäßige Überprüfung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen.

Eine wichtige Verpflichtung besteht zudem in der Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Unternehmen, die unter die Regelungen fallen, mussten sich innerhalb von drei Monaten nach Inkrafttreten des Gesetzes registrieren. Die Frist endete am 6. März 2026. Ist die Anmeldung nicht rechtzeitig erfolgt, können Bußgelder verhängt werden. Die Registrierung erfolgt über das BSI-Portal und erfordert eine digitale Identität über das Unternehmenskonto sowie ein ELSTER-Organisationszertifikat.

Für viele Unternehmen stellt sich zunächst die Frage, ob sie überhaupt von den neuen Regelungen betroffen sind. In einigen Branchen, etwa bei Betreibern kritischer Infrastrukturen wie Energieversorgern oder Krankenhäusern, ist die Einordnung meist eindeutig. Schwieriger kann die Bewertung für Unternehmen sein, die in mehreren Geschäftsbereichen tätig sind oder deren Aktivitäten nur teilweise in die gesetzlich definierten Sektoren fallen. In solchen Fällen empfiehlt sich eine genauere Prüfung der Betroffenheit.

Hierbei unterstützten wir Sie gerne durch unser Tool zur Betroffenheitsprüfung (NIS-2 Betroffenheitsprüfung mit Prüfbescheinigung | W+ST) und unsere fachliche Beratung. Sprechen Sie uns gerne an!

Die praktische Umsetzung des Art. 15 DSGVO: Schwärzen ist erlaubt

Der Auskunftsanspruch nach Art. 15 DSGVO gehört zu den wichtigsten Rechten betroffener Personen im Datenschutzrecht. Er ermöglicht es Einzelpersonen zu erfahren, ob und welche personenbezogenen Daten über sie gespeichert und verarbeitet werden. Dieses Recht bildet zugleich die Grundlage für weitere Datenschutzrechte, etwa auf Berichtigung oder Löschung von Daten. Gerade in Unternehmen, in denen über längere Zeiträume viele Informationen über Mitarbeitende oder Kunden gesammelt werden, kann die Bearbeitung solcher Anfragen sehr aufwendig sein.

Eine besondere Herausforderung besteht darin, eine sogenannte Kopie der gespeicherten Daten bereitzustellen. In der Praxis liegen personenbezogene Informationen häufig in verschiedenen Systemen, Dokumenten und Datenbanken vor. Verantwortliche müssen deshalb zunächst alle relevanten Daten identifizieren und zusammenstellen. Gleichzeitig müssen sie sicherstellen, dass dabei keine Informationen offengelegt werden, die andere Personen betreffen oder als Betriebsgeheimnis gelten. Diese Abwägung zwischen Transparenz für die betroffene Person und dem Schutz anderer Interessen führt häufig zu Unsicherheiten.

Mit dieser Problematik befasste sich auch das Verwaltungsgericht Düsseldorf in einem Urteil aus dem vom 28.01.2026 (zum Urteil). In dem Verfahren verlangte eine Klägerin Einsicht in sämtliche Dokumente, die sie betreffen, und forderte eine vollständige und ungeschwärzte Kopie der Unterlagen. Der Hintergrund war unter anderem ein Hausbesuch sowie eine Begutachtung durch das Gesundheitsamt. Die Behörde hatte der Klägerin bereits eine datenschutzrechtliche Auskunft erteilt und mehrere Dokumente zur Verfügung gestellt, allerdings mit teilweise geschwärzten Passagen. Diese betrafen vor allem personenbezogene Daten von Behördenmitarbeitern sowie die Identität der Person, die den Vorfall gemeldet hatte.

Die Klägerin hielt diese Schwärzungen für unzulässig und verlangte eine vollständige Offenlegung. Das Gericht wies die Klage jedoch ab. Nach seiner Auffassung war der Auskunftsanspruch bereits erfüllt, da die Behörde alle relevanten Informationen über die Verarbeitung der personenbezogenen Daten bereitgestellt hatte.

In seiner Begründung stellte das Gericht klar, dass sich das Recht auf eine Kopie nicht auf das gesamte Dokument bezieht, sondern ausschließlich auf die darin enthaltenen personenbezogenen Daten der betroffenen Person. Diese müssen vollständig und korrekt wiedergegeben werden, damit die betroffene Person nachvollziehen kann, wie ihre Daten verarbeitet werden. Gleichzeitig ist es zulässig, Informationen zu schwärzen, die andere Personen betreffen und keinen direkten Bezug zur anfragenden Person haben. Voraussetzung ist, dass durch die Schwärzungen weder der Inhalt noch der Zusammenhang der eigenen Daten verfälscht wird. Darüber hinaus betonte das Gericht, dass das Auskunftsrecht lediglich den Zugang zu gespeicherten Daten gewährt. Es beinhaltet jedoch keinen Anspruch darauf, die Inhalte der Dokumente im Rahmen der Auskunft zu korrigieren oder zu ändern. Sollten Betroffene die Richtigkeit von Informationen anzweifeln, müssen sie dafür andere Datenschutzrechte geltend machen. Das Urteil verdeutlicht, dass der Auskunftsanspruch zwar weitreichend ist, aber klare Grenzen hat. In der Praxis bedeutet dies, dass Dokumente sorgfältig geprüft und gegebenenfalls teilweise geschwärzt werden müssen, um sowohl Transparenz als auch die Rechte Dritter zu gewährleisten.

Training der Meta KI-Brillen erfolgt manuell durch Mitarbeitende

Der Einsatz von KI-Brillen des US-Technologiekonzerns Meta wirft Fragen zu Datenschutz und Arbeitsbedingungen auf. Die Geräte werden als praktische Helfer im Alltag vermarktet. Sie können ihre Umgebung analysieren, Fragen beantworten, Gespräche übersetzen oder Videos aufnehmen. Obwohl diese Funktionen als Ergebnis künstlicher Intelligenz präsentiert werden, sind tatsächlich zahlreiche Menschen daran beteiligt, die Systeme zu trainieren und zu überprüfen.

Eine Recherche zweier schwedischer Zeitungen beleuchtet die Arbeit von sog. Datenannotatoren in Nairobi, die für das Unternehmen ‚Sama‘ tätig sind, welche als Dienstleister für Meta arbeitet und in Kenia zahlreiche Menschen beschäftigt, die Videomaterial aus den Smart Glasses sichten und mit Schlagworten versehen. Mehr als dreißig aktuelle und ehemalige Beschäftigte berichteten über ihre Aufgaben. Ihre Arbeit besteht darin, Inhalte zu kategorisieren, damit die KI die Umgebung und Situationen besser erkennen kann.

Dabei stoßen die Beschäftigten häufig auf sehr persönliche oder sensible Aufnahmen. Laut den Aussagen der Arbeiter zeigen manche Videos Menschen in privaten Situationen, etwa beim Umziehen oder auf der Toilette. Teilweise seien auch nackte Körper oder intime Momente zu sehen. Darüber hinaus tauchten in den Aufnahmen auch Kreditkarten oder andere persönliche Daten auf. Einige Nutzerinnen und Nutzer tragen die Brillen offenbar sogar beim Konsum pornografischer Inhalte oder während sexueller Handlungen. Viele Betroffene seien sich vermutlich nicht bewusst, dass solche Szenen aufgezeichnet und später von fremden Personen betrachtet werden.

Neben der Analyse von Bildmaterial prüfen die Datenarbeiter auch Textabschriften von Gesprächen. Dabei kontrollieren sie, ob der KI-Assistent der Brille die gestellten Fragen korrekt beantwortet hat. In diesen Chats tauchen neben alltäglichen Themen teilweise auch Diskussionen über Straftaten oder politische Proteste auf.

In den Nutzungsbedingungen weist Meta darauf hin, dass Interaktionen mit der KI sowohl automatisch als auch durch Menschen überprüft werden können. Gleichzeitig wird Nutzern geraten, keine sensiblen Informationen zu teilen.

Datenschutzorganisationen sehen darin ein Problem. Kritisiert wird vor allem, dass viele Menschen möglicherweise nicht erkennen, wann genau Aufnahmen entstehen oder welche Daten verarbeitet werden. Sollte eine solche Praxis in Europa stattfinden, könnten rechtliche Grundlagen und ausreichende Transparenz fehlen. Meta selbst äußerte sich auf Nachfrage nicht ausführlich und verwies lediglich auf seine Datenschutzrichtlinien. Dadurch bleibt unklar, in welchem Ausmaß Nutzer wissen, wer ihre Aufnahmen tatsächlich zu sehen bekommt.

Neues zum Thema Omnibus: Eine Lockerung des Begriffs der personenbezogenen Daten ist nicht in Sicht und Transparenz ist alles

In der Europäischen Union zeichnet sich eine klare Entwicklung im Datenschutz ab: Statt umfassender Reformen setzt die EU verstärkt auf eine konsequente Durchsetzung der bestehenden Datenschutz-Grundverordnung. Besonders im Jahr 2026 rücken dabei die Transparenzpflichten der DSGVO in den Mittelpunkt der Aufsicht. Unter Koordination des Europäischen Datenschutzausschusses führen die Datenschutzbehörden eine gemeinsame Prüfaktion durch. Ziel ist es zu kontrollieren, wie Unternehmen Menschen über die Verarbeitung ihrer personenbezogenen Daten informieren. Dabei sollen vor allem unklare Datenschutzerklärungen, komplizierte Formulierungen oder schwer nachvollziehbare Datenpraktiken stärker überprüft werden.

Unternehmen müssen künftig noch genauer darlegen, welche Daten sie erheben, zu welchem Zweck sie verarbeitet werden, wie lange sie gespeichert bleiben und an welche Empfänger sie weitergegeben werden. Zusätzlich erleichtert eine neue europäische Verfahrensregelung seit Beginn des Jahres die Zusammenarbeit der Behörden bei grenzüberschreitenden Fällen. Dadurch können Untersuchungen schneller durchgeführt werden, was den Druck auf international tätige Unternehmen deutlich erhöht.

Parallel zu dieser strengeren Kontrolle hatte die EU-Kommission ursprünglich geplant, mit dem sogenannten Digital-Omnibus-Paket Unternehmen zu entlasten und bürokratische Hürden zu reduzieren. Ein zentraler Vorschlag bestand darin, den Begriff der personenbezogenen Daten enger zu definieren. Informationen, die sich nicht ohne Weiteres einer bestimmten Person zuordnen lassen, sollten demnach teilweise aus dem Schutzbereich der DSGVO herausfallen. Diese Reform stieß jedoch auf starken Widerstand. Sowohl der Europäische Datenschutzausschuss als auch der Europäische Datenschutzbeauftragte warnten vor möglichen Risiken für Grundrechte.

Ein kürzlich geleakter Entwurf des EU-Rates zeigt, dass die Mitgliedstaaten die geplanten Änderungen nicht mittragen. Die umstrittene Neudefinition personenbezogener Daten wurde gestrichen, ebenso eine geplante Regelung zu pseudonymisierten Daten. Damit bleibt die DSGVO vorerst offenbar in ihrer bisherigen, weitreichenden Auslegung bestehen. Für Unternehmen bedeutet das weiterhin einen breiten Anwendungsbereich des Datenschutzrechts.

Die Diskussion zeigt auch unterschiedliche Erwartungen zwischen Politik und Wirtschaft. Während die EU-Kommission mehr Flexibilität schaffen wollte, wünschen sich viele Unternehmen vor allem klare und eindeutige Regeln. Eine Umfrage der Datenschutzorganisation NOYB ergab, dass eine große Mehrheit der Befragten konkrete Positiv- und Negativlisten für zulässige Datenverarbeitungen bevorzugen würde. Solche Listen könnten Unsicherheiten reduzieren und den Bedarf an juristischer Beratung verringern. Gleichzeitig zeigen aktuelle Fälle, dass Datenschutzbehörden Verstöße konsequent sanktionieren. So wurden in Europa bereits mehrere Organisationen mit hohen Geldbußen belegt, etwa wegen unzureichender Sicherheitsmaßnahmen oder mangelhaften Schutzes sensibler Daten. Für Unternehmen ergibt sich daraus ein klares Bild: Die EU hält voraussichtlich an ihrem strengen Datenschutzrahmen fest und verstärkt gleichzeitig die Kontrollen. Organisationen sollten daher ihre Datenschutzpraxis, insbesondere die Transparenz ihrer Informationspflichten und die Dokumentation von Datenverarbeitungen, sorgfältig überprüfen. Eine vorausschauende Compliance-Strategie mit klaren Prozessen und hoher Datensicherheit wird damit zu einem entscheidenden Faktor für die rechtssichere Tätigkeit im europäischen Digitalmarkt.