News
Pflicht zum Einsatz von Systemen zur Angriffserkennung für Betreiber kritischer Infrastruktur gilt seit dem 1. Mai 2023
Seit dem 1. Mai 2023 sind Betreiber von kritischer Infrastruktur und Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, gesetzlich gemäß § 8a Abs. 1a BSIG und § 11 Abs. 1e EnWG dazu verpflichtet, Systeme zur Angriffserkennung einzusetzen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) alle zwei Jahre Nachweise darüber zu liefern (vgl. § 8a Abs. 3 BSIG).
„Systeme zur Angriffserkennung“ sind nach der Definition in § 2 Abs. 9b BSIG durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf informationstechnische Systeme. Die eingesetzten Systeme nutzen kontinuierlich geeignete Parameter und Merkmale aus dem laufenden Betrieb und erfassen die Auswertungen automatisch. Damit sollen Bedrohungen stets identifiziert und abgewendet werden können. Unter Angriffskennungssysteme fallen sowohl technische als auch organisatorische Maßnahmen, die zur Erkennung dienen.
Betreiber Kritischer Infrastrukturen sind verpflichtet, Systeme zur Angriffserkennung nach dem geltenden Stand der Technik einzusetzen. Betreibern von Energieversorgungsnetzen und Energieanlagen, die zur kritischen Infrastruktur zählen (§ 11 Abs. 1f EnWG) sind verpflichtet, ihre Anlagen zu registrieren und eine Kontaktstelle zu benennen. Zudem sind technische Störungen dem BSI zu melden.
Anforderungen an die Systeme zur Angriffserkennung
Das BSI hat eine Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht (PDF). Dort beschreibt das BSI, welche Anforderungen an derartige Systeme gestellt werden. Im Wesentlichen basiere die technische Funktionalität eines solchen Systems auf Abläufen, die sich den Bereichen Protokollierung, Detektion und Reaktion zuordnen lassen. Das BSI empfiehlt hierbei den Unternehmen ganz grundsätzlich, ein (Informations-)Sicherheitsmanagementsystem (ISMS) zu etablieren.
Hinsichtlich der Protokollierung verlangt das BSI, dass der Betreiber alle zur wirksamen Angriffserkennung auf System- bzw. Netzebene notwendigen Protokoll- und Protokollierungsdaten erheben, speichern und für die Auswertung bereitstellen muss, um sicherheitsrelevante Ereignisse erkennen und bewerten zu können. Natürlich gibt es hierbei auch Überschneidungen zum Datenschutzrecht, etwa wenn in den protokollierten Daten IP-Adressen enthalten sind. Auch das BSI geht davon aus, dass die Protokollierung teilweise auch datenschutzrechtlich relevante Datensätze beinhalten kann. Eventuell ist in der Praxis auch eine (teilweise) Anonymisierung bzw. Pseudonymisierung der Protokoll- und Protokollierungsdaten möglich.
Nachweispflicht
Für verpflichtete Stellen besteht eine Nachweispflicht. Alle zwei Jahre müssen regulierte Bertreiber dem BSI ihre Nachweise vorlegen. Zusätzlich sind Erläuterungen zu den Umsetzungen, wie die Angriffserkennungssysteme eingesetzt werden, beizufügen. Auch Betreiber von Energieversorgungsnetzen und Energieanlagen, die als Kritische Infrastruktur gelten, unterliegen der Nachweispflicht und haben zum 1. Mai 2023 erstmalig ihren Einsatz von Angriffserkennungssysteme darzustellen und ab dann alle zwei Jahre.
Den Nachweis hat der jeweilige Genehmigungsinhaber zu erbringen. Die Pflicht kann nicht auf die Betriebsführung übergeben werden, auch wenn die Betriebsführung ausgelagert wurde.
Formulare für den verpflichtenden Nachweis
In den Formularen zur Erbringung von Nachweisen für Betreiber von kritischer Infrastruktur können die Angaben über den Einsatz von Systemen zur Angriffserkennung in den neu eingefügten Abschnitten erbracht werden. Für Betreiber von Energieversorgungsnetzen und von solchen Energieanlagen, die als Kritische Infrastruktur gelten, wurden eigene Formulare veröffentlicht. Bisher können die Nachweise über den Einsatz von Systemen zur Angriffserkennung per E-Mail versendet werden.
Fristverlängerung
Eine Fristverlängerung um wenige Woche kann mit Begründung beim BSI angefragt werden, wenn der Beweis geführt werden kann, dass es durch Änderungen der Prüfmodalitäten auf Seite des BSI zu einer Verzögerung gekommen ist.
Hilfreiche Informationen finden sich auch in den FAQ des BSI.
News
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).
NIS-2-Richtlinie konkretisiert: Was die Durchführungsverordnung 2024/2690 für Cloud-Computing-Dienste und Managed Service Provider bedeutet
Die NIS-2-Richtlinie und das diese umsetzende deutsche BSIG gelten seit dem 16. Januar 2023 sowie seit dem 6. Dezember 2025. Für betroffene Stellen stellt sich in der Praxis eher abstrakt gehaltener Pflichten oft die Frage, wie eine Umsetzung konkret erfolgen muss.
Die NIS-2-Richtlinie sieht in Kapitel VIII die Möglichkeit zum Erlass delegierter Rechtsakte und Durchführungsrechtsakte vor.
Delegierte Rechtsakte (Art. 290 AEUV) ändern oder ergänzen nicht-wesentliche Teile von EU-Normen, während Durchführungsrechtsakte (Art. 291 AEUV) einheitliche Bedingungen für die Anwendung von Rechtsakten schaffen.
Auskunftsansprüche von Beschäftigten nach Kündigung: Welche Ausnahmen greifen?
Erhält ein Arbeitnehmer die Kündigung, folgt häufig ein Auskunftsersuchen nach Art. 15 DSGVO. Wird der Anspruch nicht auf bestimmte Datenverarbeitungen oder Zeiträume beschränkt, sind grundsätzlich sämtliche betreffenden personenbezogenen Daten zu beauskunften – darunter E-Mails, Gesprächsnotizen, Beurteilungen und sonstige auf die Person bezogene Unterlagen. In der Praxis handelt es sich dabei selten um eine datenschutzrechtliche Routineanfrage. Häufig ist das Ersuchen taktisch motiviert: Es dient der Informationsgewinnung für einen anschließenden Kündigungsschutzprozess, dem Aufbau von Verhandlungsdruck oder der Überprüfung interner Untersuchungsmaßnahmen.