Das Gericht verurteilt die Kommission, einem Besucher der Website der Konferenz zur Zukunft Europas, die von der Kommission betrieben wird, den durch die Übermittlung personenbezogener Daten an die Vereinigten Staaten entstandenen Schaden zu ersetzen.
Mit dem auf der Website von „EU Login“ angezeigten Hyperlink „Sign in with Facebook“ hat die Kommission die Voraussetzungen dafür geschaffen, dass die IP-Adresse des Betroffenen an das amerikanische Unternehmen Meta Platforms, Inc. übermittelt wurde.
Ein in Deutschland lebender Bürger wirft der Kommission vor, sein Recht auf Schutz seiner personenbezogenen Daten verletzt zu haben, als er 2021 und 2022 die von der Kommission betriebene Website der Konferenz zur Zukunft Europas besucht habe. Er hatte sich über diese Website zu der Veranstaltung „GoGreen“ angemeldet und hierzu den Authentifizierungsdienst „EU Login“ der Kommission verwendet, bei dem er sich für die Anmeldeoption „Mit Facebook anmelden“ entschieden hatte.
Der Betroffene meint, bei seinen Besuchen der Website der Konferenz zur Zukunft Europas seien ihn betreffende personenbezogene Daten an Empfänger in den Vereinigten Staaten übermittelt worden, insbesondere seine IP-Adresse sowie Browser- und Geräteinformationen.
Ihn betreffende personenbezogene Daten seien zum einen an das amerikanische Unternehmen Amazon Web Services übermittelt worden, das das Content Delivery Network „Amazon CloudFront“ betreibe, über das die betreffende Website laufe, und zum anderen an das amerikanische Unternehmen Meta Platforms, Inc., nämlich bei seiner Anmeldung zu der Veranstaltung „GoGreen“ über sein Facebook-Konto.
Die Vereinigten Staaten hätten aber kein angemessenes Schutzniveau. Die ihn betreffenden personenbezogenen Daten seien deshalb der Gefahr eines Zugriffs durch die Sicherheits- und Nachrichtendienste der Vereinigten Staaten ausgesetzt. Die Kommission habe keine geeigneten Schutzmaßnahmen genannt, die die Datenübermittlungen zu rechtfertigen vermöchten.
Der Betroffene beantragt als Ersatz des immateriellen Schadens, der ihm durch die streitigen Datenübermittlungen entstanden sei, 400 Euro.
Er beantragt ferner, die Übermittlungen der ihn betreffenden personenbezogenen Daten für nichtig zu erklären, festzustellen, dass die Kommission es rechtswidrig unterlassen habe, zu einem Antrag auf Auskunft Stellung zu nehmen, und die Kommission zu verurteilen, an ihn als Ersatz des immateriellen Schadens, der ihm durch die Verletzung seines Auskunftsrechts entstanden sei, 800 Euro zu zahlen.
Das Gericht weist den Antrag auf Nichtigerklärung als unzulässig ab und stellt fest, dass der Rechtsstreit, was den Antrag auf Feststellung der Untätigkeit angeht, in der Hauptsache erledigt ist. Es weist auch den auf die Verletzung des Auskunftsrechts gestützten Schadensersatzantrag zurück, weil der behauptete immaterielle Schaden nicht vorliegt.
Den auf die streitigen Datenübermittlungen gestützten Schadensersatzantrag weist das Gericht zurück, soweit es um die Datenübermittlungen über „Amazon CloudFront“ geht.
Das Gericht stellt insoweit fest, dass bei einer der streitigen Verbindungen die Daten nicht an die Vereinigten Staaten, sondern nach dem Prinzip der Proximität an einen Server in München übermittelt worden sind. Nach dem Vertrag, den die Kommission mit dem Betreiber von „Amazon CloudFront“, der luxemburgischen Gesellschaft Amazon Web Services EMEA SARL, geschlossen hat, musste Letztere gewährleisten, dass die Daten im Ruhezustand und bei der Übermittlung in Europa bleiben.
Bei einer anderen Verbindung ist die Weiterleitung an Server in den Vereinigten Staaten, die durch den RoutingMechanismus von „Amazon CloudFront“ erfolgte, auf das Verhalten des Betroffenen selbst zurückzuführen. Dieser gab sich nämlich mit Hilfe einer technischen Einstellung für jemanden aus, der sich in den Vereinigten Staaten befand.
Soweit es um Anmeldung des Betroffenen zu der Veranstaltung „GoGreen“ geht, stellt das Gericht hingegen fest, dass die Kommission mit dem Hyperlink „Sign in with Facebook“, der auf der Website von „EU Login“ angezeigt wird, die Voraussetzungen für die Übermittlung der IP-Adresse des Betroffenen an Facebook geschaffen hat. Die IP- Adresse des Betroffenen gehört zu den personenbezogenen Daten. Sie wurde mit dem Hyperlink „Sign in with Facebook“ an die Meta Platforms, Inc., eine Gesellschaft mit Sitz in den Vereinigten Staaten, übermittelt. Diese Datenübermittlung ist der Kommission zuzurechnen.
Zum Zeitpunkt dieser Datenübermittlung (30. März 2022) gab es aber keinen Beschluss, mit dem festgestellt worden wäre, dass die Vereinigten Staaten für die personenbezogenen Daten der Unionsbürger ein angemessenes Schutzniveau geboten hätten. Die Kommission hat auch nicht dargetan, ja nicht einmal behauptet, dass es eine geeignete Garantie gegeben hätte, etwa eine Standarddatenschutzklausel oder eine Vertragsklausel5. Für die Anzeige des Hyperlinks „Sign in with Facebook“ auf der Website von „EU Login“ galten schlicht und einfach die Nutzungsbedingungen von Facebook. Mithin hat die Kommission die Voraussetzungen für die Übermittlung personenbezogener Daten an ein Drittland durch ein Organ, eine Einrichtung oder eine Stelle der Union nicht beachtet.
Das Gericht stellt fest, dass die Kommission einen hinreichend qualifizierten Verstoß gegen eine Rechtsnorm, die bezweckt, dem Einzelnen Rechte zu verleihen, begangen hat. Der Betroffene hat auch einen immateriellen Schaden erlitten.
Er befindet sich nämlich in einer Lage, in der er nicht sicher ist, wie die ihn betreffenden personenbezogenen Daten, insbesondere seine IP-Adresse, verarbeitet werden. Außerdem besteht zwischen dem von der Kommission begangenen Verstoß und dem immateriellen Schaden, der dem Betroffenen entstanden ist, ein hinreichend unmittelbarer Kausalzusammenhang.
Da die Voraussetzungen der außervertraglichen Haftung der Union erfüllt sind, verurteilt das Gericht die Kommission, an den Betroffenen, wie von ihm beantragt, 400 Euro zu zahlen.
Urteil des Gerichts in der Rechtssache T-354/22 | Bindl / Kommission Quelle: Pressemitteilung des EuGH v. 08.01.2025
Hinweis Link:
curia.europa.eu/juris/document/document.jsf?text=&docid=294090&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=186107

Das Manipulieren von Rechnungen nimmt zu. Wir berichteten www.datenschutz-notizen.de/rechnungsversand-per-e-mail-birgt-erhebliche-risiken-fuer-unternehmen-5752384/ vor Kurzem über ein Urteil des OLG Schleswig vom 18.12.2024 (Az. 12 U 9/24). Ein Kunde hatte über 15.000 Euro auf ein falsches Konto überwiesen, weil Unbekannte die Rechnung des Handwerksbetriebs manipuliert und die Bankverbindung geändert hatten. Die gefälschte Rechnung wich optisch von früheren Rechnungen ab. Das OLG entschied zugunsten des Kunden: Zwar erfüllte die Zahlung auf das falsche Konto die Schuld nicht, doch der Kunde konnte Schadensersatz nach Art. 82 DSGVO verlangen. Das Gericht sah in der fehlenden Ende-zu-Ende-Verschlüsselung der E-Mail einen Verstoß des Handwerksbetriebs gegen die DSGVO.
In einem vergleichbaren Fall musste nunmehr das LG Rostock (Urteil vom 20.11.2024, Az. 2 O 450/24 www.landesrecht-mv.de/bsmv/document/NJRE001600257) entscheiden.
Sachverhalt
Am 08.11.2023 um 14:14 Uhr versandte ein Handwerksbetrieb eine E-Mail mit einer PDF-Datei, die die erste Abschlagsrechnung und die korrekte Bankverbindung enthielt. Um 14:35 Uhr erhielt der Kunde eine fast identische E-Mail mit einer gefälschten PDF-Datei, die eine abweichende Bankverbindung auswies. Während die PDF-Datei „optisch nahezu identisch“ mit der richtigen PDF-Datei war (abgesehen von den Bankverbindungsdaten), enthielt die E-Mail Hinweise auf eine fehlerhafte HTML-Formatierung.
Der Kunde kannte die richtige Bankverbindung aus einer früheren Geschäftsbeziehung und hatte bereits darauf Zahlungen geleistet. Der Handwerksbetrieb behauptet, die Rechnung sei nicht beglichen worden und der Kunde hätte die falsche Bankverbindung erkennen müssen. Der Kunde gibt an, nur die manipulierte E-Mail erhalten zu haben, die auf ein kompromittiertes System des Handwerksbetriebs zurückzuführen sei. Ein Zeuge bestätigte dies durch eine Untersuchung.
Der Kunde machte geltend, dass der Handwerksbetrieb durch mangelnde IT-Sicherheit die Ursache für die Fälschung gesetzt habe und daher hafte.
Entscheidung des Gerichts
Das Gericht verurteilte den Kunden zur erneuten Zahlung. Die Überweisung auf die falsche Bankverbindung führte nicht zur Erfüllung der Schuld. Zudem habe der Handwerksbetrieb nicht schuldhaft verursacht, dass der Kunde auf das falsche Konto zahlte.
Das Gericht prüfte nicht, ob die Mailsysteme des Handwerksbetriebs gehackt wurden, sondern konzentrierte sich auf vertragliche Schutzpflichten und ein mögliches Verschulden des Kunden. Eine Schutzpflichtverletzung verneinte es: Beide Parteien hatten sich auf E-Mail-Kommunikation geeinigt, obwohl deren Unsicherheiten allgemein bekannt sind. Es gibt keine festen Sicherheitsvorgaben für den E-Mail-Verkehr. Zudem sei unklar, ob der Handwerksbetrieb seine Systeme besser hätte absichern können oder ob ein höheres Sicherheitsniveau den Angriff verhindert hätte.
Auch aus der DSGVO ergibt sich keine Pflichtverletzung, da sie nur den Schutz personenbezogener Daten betrifft.
Das Gericht sah ein erhebliches Verschulden des Kunden. Er ignorierte deutliche Hinweise auf eine Manipulation der E-Mail. Die gefälschte Nachricht wies auffällige Zeichenfehler auf. So sind die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern als Zeichen wie bspw. „Ü“ für „Ü“ oder „ “ für ein „geschütztes Leerzeichen“. Zudem hätte dem Kunden auffallen müssen, dass sich die Bankverbindung gegenüber früheren Zahlungen geändert hatte – insbesondere der Wechsel von „B …kasse“ zu „B Bank“ in den Niederlanden. Diese Unstimmigkeiten waren so ungewöhnlich, dass der Kunde vor der Überweisung die Richtigkeit der Kontodaten hätte prüfen müssen.

Fazit
Im Gegensatz zum OLG Schleswig verfolgt das LG Rostock einen klaren Ansatz: Wer angreifbare Kommunikationsmittel nutzt, muss auch mit den Folgen klarkommen. Das ist grundsätzlich richtig. Allerdings sind sich die Beteiligten der möglichen Folgen nicht immer bewusst.
Dass E-Mails oft mit Postkarten verglichen werden, die jeder mit technischem Know-how lesen kann, ist allgemein bekannt. Weniger bekannt ist jedoch, dass abgefangene E-Mails auch manipuliert werden können. Daher ist eine transparente Aufklärung über die Risiken unerlässlich.
Nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ist ein Verzicht auf Ende-zu-Ende-Verschlüsselung in der E-Mail-Kommunikation, von absoluten Ausnahmen abgesehen, unzulässig (DSK-Beschluss vom 24.11.2021 www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf). Im Land Bremen vertreten der LfDI und die Rechtsanwaltskammer unterschiedliche Positionen. Der LfDI Bremen folgt dem DSK-Beschluss und fordert, dass jegliche Kommunikation zwischen Anwält*innen und Klient*innen verschlüsselt sein muss. Angesichts der Manipulationsgefahr gerichtsrelevanter Informationen ist das zumindest nachvollziehbar. Die Rechtsanwaltskammer sieht diese Forderungen als überzogen an und sucht nach einer gerichtlichen Entscheidung.
Demgegenüber verlangt § 87a Abs. 1 Satz 4 AO, dass Finanzbehörden steuergeheime Daten verschlüsseln müssen. Eine Ausnahme gilt, wenn alle betroffenen Personen schriftlich in eine unverschlüsselte Übermittlung einwilligen. Ein Verzicht auf Ende-zu-Ende-Verschlüsselung ist also nicht grundsätzlich ausgeschlossen. So war es auch in einem Fall des OLG Düsseldorf (Urteil vom 28.10.2021, Az. 16 U 275/20), bei dem eine Gesundheitsakte auf Wunsch einer Krankenversicherten per E-Mail an sie verschickt wurde – jedoch leider an eine falsche E-Mail-Adresse. Eine Einwilligung in den unverschlüsselten Versand von E-Mails ist möglich, wenn die betroffene Person einwilligt und es Alternativen gibt, also z. B. der Versand per Post auch angeboten wird (wir berichteten www.datenschutz-notizen.de/unverschluesselte-e-mails-mit-einwilligung-moeglich-3933793/).
Doch zurück zu dem Versand von Rechnungen per E-Mail. Beide Verfahren (LG Rostock und OLG Schleswig) zeigen: Manipulationen gehen Angriffen auf Mail-Systeme voraus – eine permanente Gefahr besteht nicht. Unternehmen sollten ihre Systeme sorgfältig überwachen und keine Webmailer nutzen, was jedoch gerade bei Kleinunternehmen noch gängige Praxis ist. Im Falle einer Kompromittierung müssen Kunden sofort und umfassend informiert sowie gewarnt werden.
Kunden wiederum sollten Rechnungsmails kritisch prüfen, insbesondere Layout und Zeichensetzung. Je höher der Rechnungsbetrag, desto sorgfältiger sollte die Überprüfung erfolgen.
Quelle: www.datenschutz-notizen.de/wieder-manipulierte-rechnung-dieses-mal-mit-gluecklichem-ausgang-fuer-den-handwerker-5652518/

Neuste Technik hält auch in Wohnimmobilien Einzug. Beliebt bei Vermieter*innen sind derzeit vor allem Rauchwarnmelder, die mit der Zusatzfunktion des Klima-Monitorings ausgestattet sind. Sie erheben Daten zur Raumtemperatur und Luftfeuchtigkeit und sind in der Lage, diese Daten dann an Smart Reader im Haus und weiter an externe Dienstleister zu übermitteln, die die Daten analysieren und weiter aufbereiten. Das Ergebnis dieser Analysen kann schließlich an die Bewohner*innen zurückgespielt werden, beispielsweise in Form von Lüftungsempfehlungen. Doch was geschieht mit den Daten, die von solchen Geräten gesammelt werden – und müssen Mieter*innen die Datensammlung hinnehmen?
Die Landesbeauftrage für Datenschutz und Informationsfreiheit in NRW (LDI NRW) erreichen derzeit Beschwerden von Mieter*innen, die mit dem Einbau solcher Geräte nicht einverstanden sind. Aus diesem Anlass erklärt die LDI NRW:
Haben Mieter*innen vor der Installation nicht in die Datenverarbeitung eingewilligt, dürfen Geräte mit solchen Zusatzfunktionen nur ausgeschaltet installiert werden. Bieten Rauchwarnmelder Funktionsmöglichkeiten, die über die gesetzlich vorgeschriebene reine Rauchwarnmeldung hinausgehen, müssen Nutzer*innen selbst entscheiden können, ob sie diese zusätzlichen Funktionen nutzen und dann einschalten wollen. Für einen Mieter*innen-Wechsel heißt das, dass eingeschaltete Geräte vor dem Einzug ausgeschaltet sein müssen, es sei denn, die neuen Bewohner*innen haben zuvor in die Datenverarbeitung eingewilligt. Diese Einwilligung ist allerdings nur wirksam, wenn sie freiwillig erteilt wurde. Das bedeutet vor allem, dass der Abschluss des Mietvertrages keinesfalls davon abhängig gemacht werden darf, dass eine Einwilligung in das Klimamonitoring erteilt wird.
Dabei ist zusätzlich zu beachten: Bereits mit dem Einschalten der Geräte werden personenbezogene Daten gesammelt und damit verarbeitet. Verfügen Geräte über zwei Aktivierungsmöglichkeiten, eine zum Einschalten der Zusatzfunktion, die andere zur Datenweiterleitung, müssen folglich beide Funktionen beim Einbau ausgeschaltet sein.
Entsprechend berät die LDI NRW Vermieter*innen, die solche Geräte derzeit einbauen oder einzubauen planen. Die LDI NRW als Datenschutzaufsichtsbehörde für NRW beobachtet die aktuelle Situation intensiv und rät Vermieter*innen, sich an die genannten Vorgaben zu halten. Sofern sie Dienstleister*innen mit dem Einbau der Geräte beauftragen oder bereits beauftragt haben, müssen sie dafür Sorge tragen, dass diese die datenschutzrechtlichen Vorgaben beachten. Verstöße können mit empfindlichen Bußgeldern geahndet werden.
Quelle: www.ldi.nrw.de/Rauchwarnmelder

Dürfen Personen im Rahmen von Vertragsabschlüssen verpflichtet werden, ihre Anrede („Herr“ oder „Frau“) anzugeben? Der EuGH (Urteil vom 09.01.2025, Az. C‑394/23 curia.europa.eu/juris/document/document.jsf;jsessionid=5634E7A7CBC28B54352871D19FA5773A?text=&docid=294110&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=23753959) meint: Nein.
Die Abfrage darf grundsätzlich nur dann verpflichtend erfolgen, wenn es für die ordnungsgemäße Erfüllung des Vertrags „objektiv unerlässlich“ ist.
Ein datenschutzrechtlicher Klassiker wurde damit nun auch höchstrichterlich entschieden.
Der Fall
Das französische Bahnunternehmen SNCF Connect hatte seine Kunden beim Online-Kauf von Fahrscheinen verpflichtet, ihre Anrede – „Monsieur“ oder „Madame“, also „Herr“ oder „Frau“ anzugeben. Diese Praxis beanstandete der Verband „Mousse“, der sich gegen sexuelle Diskriminierung einsetzt, bei der französischen Datenschutzbehörde „CNIL“.
Nach Ansicht von Mousse verstoße diese Verpflichtung gegen die Datenschutz-Grundverordnung (DSGVO), insbesondere im Hinblick auf den Grundsatz der Datenminimierung, da die Anrede, die einer Geschlechtsidentität entspreche, keine für den Erwerb eines Fahrscheins erforderliche Angabe sei.
Die französische Datenschutzbehörde (!) sah das anders und erließ einen Bescheid, wonach die Erhebung rechtmäßig sei, da sie für die Erfüllung des betreffenden Vertrags über die Erbringung von Beförderungsdienstleistungen erforderlich sei. Diese Verarbeitung entspreche auch dem Grundsatz der Datenminimierung, da die persönliche Ansprache von Kunden unter Verwendung ihrer Anrede der allgemeinen Verkehrssitte in der geschäftlichen, privaten und behördlichen Kommunikation entspreche.
Der Verband Mousse wandte sich daraufhin an den französischen Staatsrat (Funktion vergleichbar mit dem Bundesverwaltungsgericht), um den Bescheid der CNIL für nichtig erklären zu lassen.
Der Staatsrat legte die Angelegenheit wiederum dem EuGH vor, um im Rahmen eines Vorabentscheidungsverfahrens insbesondere klären zu lassen, ob die Abfrage einer Anrede als „Herr“ oder „Frau“ erforderlich für eine Vertragsdurchführung ist, wenn diese der allgemeinen Verkehrssitte in der geschäftlichen, privaten und behördlichen Kommunikation entspreche.
Das Urteil
Der EuGH weist (wie zuletzt häufiger) darauf hin, dass die DSGVO eine erschöpfende und abschließende Liste der Fälle enthalte, in denen eine Verarbeitung personenbezogener Daten als rechtmäßig angesehen werden kann. In Betracht kämen hier insoweit nur:
1. die Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 S. 1. lit. b DSGVO), oder 2. die Wahrung berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Im Ergebnis sieht der EuGH beide Rechtsgrundlagen nicht als erfüllt an.
Was die Rechtsgrundlage „Vertragserfüllung“ angeht, müsse die Verarbeitung von Daten für die ordnungsgemäße Erfüllung des Vertrags objektiv unerlässlich sein, damit sie für die Erfüllung eines Vertrags als erforderlich angesehen werden kann. Die Personalisierung geschäftlicher Kommunikation durch eine geschlechtliche Anrede ist jedoch nicht objektiv unerlässlich, um die ordnungsgemäße Erfüllung eines Schienentransportvertrags zu ermöglichen. Viel mehr könnte stattdessen auch auf allgemeine und „inklusive“ Höflichkeitsformeln zurückgegriffen werden, für die das Geschlecht des Fahrgastes nicht bekannt sein muss.
In Bezug auf die Rechtsgrundlage „berechtigte Interessen“ stellt der Gerichtshof noch einmal seine einschlägige und ständige Rechtsprechung dar und führt dazu aus, dass die geschlechtliche Anrede nicht auf „berechtigte Interessen“ gestützt werden, wenn den Kunden bei der Erhebung ihrer Daten nicht das verfolgte berechtigte Interesse mitgeteilt wurde, die Verarbeitung nicht unbedingt notwendig ist, oder überwiegende Interessen der Kunden dem berechtigten Interesse des Unternehmens entgegenstehen. Ein solches überwiegendes Kundeninteresse könne sich insbesondere aus der Gefahr einer Diskriminierung aufgrund der Geschlechtsidentität ergeben.
Im Ergebnis habe daher keine Rechtsgrundlage für die Erhebung der Anrede bestanden. Diese war somit datenschutzwidrig erfolgt.

Bedeutung für die Praxis
Das Urteil ist nicht sonderlich überraschend. Dass eine „geschlechtliche Ansprache“ zur Durchführung eines Vertrags meistens nicht erforderlich ist, dürfte auch schon zuvor anerkannt gewesen sein. Unumstritten war diese Meinung aber bisher nicht, was auch daran zu erkennen ist, dass selbst die französische Datenschutzbehörde die geschlechtliche Ansprache hier ursprünglich als zulässig erachtet hatte. Klarheit herrscht nun zudem dahingehend, dass eine geschlechtliche Ansprache im Regelfall auch nicht auf „berechtigte Interessen“ gestützt werden kann. Diese Ansicht ließ sich bislang zumindest vertreten.
Für die Praxis ergeben sich daraus insbesondere Konsequenzen für die Gestaltung von Datenmasken auf Webseiten, wie z. B. von Kontakt- oder Bestellformularen. Hier ist regelmäßig davon auszugehen, dass Datenfelder, die „nur“ dazu dienen, Daten für eine vermeintlich persönlich(er)e Ansprache zu erheben, wie z. B. „Anrede“, nicht als Pflichtfelder ausgestaltet sein dürfen. Gänzlich verzichtet werden muss auf solche Datenfelder zwar nicht; es ist aber darauf hinzuweisen, dass eine Angabe freiwillig ist und auf welcher Rechtsgrundlage (im Regelfall Einwilligung) die Verarbeitung erfolgt (zur Gestaltung eines Datenfelds „Anrede“ verweisen wird zudem auch auf diesen Blogbeitrag www.datenschutz-notizen.de/datenschutz-datenrichtigkeit-und-das-dritte-geschlecht-was-der-beschluss-des-bundesverfassungsgerichts-fuer-datenverarbeitende-stellen-bedeutet-3819615/).
Allgemein zeigt das Urteil, dass der Begriff der „Erforderlichkeit“ eng auszulegen ist und dass personenbezogene Daten immer nur dann verarbeitet werden dürfen, wenn dies zwingend ist, um einen verfolgten Zweck erfüllen zu können.
Quelle: www.datenschutz-notizen.de/eugh-erfassung-des-geschlechts-nur-dann-wenn-es-zwingend-erforderlich-ist-0251782/

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Dokument „Reife- und Umsetzungsgradbewertung im Rahmen der Nachweisprüfung (RUN)“ veröffentlicht. Es legt fest, wie Reife- und Umsetzungsgrade im Kontext der § 8a BSIG-Nachweisprüfung bewertet werden. Die neuen Kriterien schaffen mehr Transparenz und vereinheitlichen die Nachweiserbringung gegenüber dem BSI.
Die aktuellen KRITIS-Nachweise beinhalten bereits eine Bewertung der Reifegrade der Managementsysteme zur Informationssicherheit (ISMS) und Geschäftskontinuität (BCMS) sowie des Umsetzungsgrades der eingesetzten Systeme zur Angriffserkennung, die jeweils durch die prüfende Stelle vorgenommen wird.
Im Zusammenhang mit der neu vorgestellten Methode zur Ermittlung von Reife- und Umsetzungsgraden kommen folgende Themenbereiche hinzu, für die im Rahmen der turnusmäßig zu erbringenden Nachweise künftig ebenfalls der jeweilige Umsetzungsgrad festgestellt werden soll:
* Organisatorische Maßnahmen (OrgM) * Personenbezogene Maßnahmen (PerM) * Physische Maßnahmen (PhyM) * Technische Maßnahmen (TecM). Den neuen Themenbereichen wurden konkrete Maßnahmen zugeordnet, wobei Spielraum für individuelle oder sektorspezifische Anpassungen bleibt.
Mit der Einführung der RUN verfolgt das BSI das Ziel, den Betreibern bzw. prüfenden Stellen eine einheitliche Bewertungsgrundlage zu bieten und Handlungsbedarfe gezielt aufzuzeigen.
Die neuen Vorgaben gelten für Prüfungen mit einem Ende der Prüfung nach dem 1. April 2025.
Quelle: www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/RUN_Reifegrade_Kritispruefungen_250110.html