News
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
„Systeme zur Angriffserkennung“ sind nach der Definition in § 2 Abs. 9b BSIG durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die eingesetzten Systeme nutzen kontinuierlich geeignete Parameter und Merkmale aus dem laufenden Betrieb und erfassen die Auswertungen automatisch. Damit sollen Bedrohungen stets identifiziert und abgewendet werden können. Unter Angriffskennungssysteme fallen sowohl technische als auch organisatorische Maßnahmen, die zur Erkennung dienen.
Betreiber Kritischer Infrastrukturen sind verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen. Betreibern von Energieversorgungsnetzen und Energieanlagen, die zur kritischen Infrastruktur zählen (§ 11 Abs. 1f EnWG) sind verpflichtet, ihre Anlagen zu registrieren und eine Kontaktstelle zu benennen. Zudem sind technische Störungen dem BSI zu melden.
Anforderungen an die Systeme zur Angriffserkennung
Das BSI hat eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht (PDF). Dort beschreibt das BSI, welche Anforderungen an derartige Systeme gestellt werden. Im Wesentlichen basiere die technische Funktionalität eines solchen Systems auf Abläufen, die sich den Bereichen Protokollierung, Detektion und Reaktion zuordnen lassen. Das BSI empfiehlt hierbei den Unternehmen ganz grundsätzlich, ein (Informations-)Sicherheitsmanagementsystem (ISMS) zu etablieren.
Hinsichtlich der Protokollierung verlangt das BSI, dass der Betreiber alle zur wirksamen Angriffserkennung auf System- bzw. Netzebene notwendigen Protokoll- und Protokollierungsdaten erheben, speichern und für die Auswertung bereitstellen muss, um sicherheitsrelevante Ereignisse erkennen und bewerten zu können. Natürlich gibt es hierbei auch Überschneidungen zum Datenschutzrecht, etwa wenn in den protokollierten Daten IP-Adressen enthalten sind. Auch das BSI geht davon aus, dass die Protokollierung teilweise auch datenschutzrechtlich relevante Datensätze beinhalten kann. Eventuell ist in der Praxis auch eine (teilweise) Anonymisierung bzw. Pseudonymisierung der Protokoll- und Protokollierungsdaten möglich.
Nachweispflicht
Für verpflichtete Stellen besteht eine Nachweispflicht. Alle zwei Jahre müssen regulierte Bertreiber dem BSI ihre Nachweise vorlegen. Zusätzlich sind Erläuterungen zu den Umsetzungen, wie die Angriffserkennungssysteme eingesetzt werden, beizufügen. Auch Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, unterliegen der Nachweispflicht und haben zum 1. Mai 2023 erstmalig ihren Einsatz von Angriffserkennungssysteme darzustellen und ab dann alle zwei Jahre.
Den Nachweis hat der jeweilige Genehmigungsinhaber zu erbringen. Die Pflicht kann nicht auf die Betriebsführung übergeben werden, auch wenn die Betriebsführung ausgelagert wurde.
Formulare für den verpflichtenden Nachweis
In den Formularen zur Erbringung von Nachweisen für Betreiber von kritischer Infrastruktur können die Angaben über den Einsatz von Systemen zur Angriffserkennung in den neu eingefügten Abschnitten erbracht werden. Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur gelten, wurden eigene Formulare veröffentlicht. Bisher können die Nachweise über den Einsatz von Systemen zur Angriffserkennung per E-Mail versendet werden.
Fristverlängerung
Eine Fristverlängerung um wenige Woche kann mit Begründung beim BSI angefragt werden, wenn der Beweis geführt werden kann, dass es durch Änderungen der Prüfmodalitäten auf Seite des BSI zu einer Verzögerung gekommen ist.
Hilfreiche Informationen finden sich auch in den FAQ des BSI.
News
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.
Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde
Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.
DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK
Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.
Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.
Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites
In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.
In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.
Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren
Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.
Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.
Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.