Die Bedrohung durch Cyberangriffe ist so hoch wie noch nie. Nicht mehr nur große finanzstarke Unternehmen werden zum Opfer von Cyberkriminalität, sondern die Angreifer nehmen zunehmend kleinere und mittlere Betriebe ins Visier – es gibt kein Unternehmen mehr, das für die Cyber- Kriminellen nicht interessant wäre. Um der gestiegenen Bedrohungslage durch Cyberangriffe Rechnung zu tragen hat die EU die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (kurz „NIS-2-Richtlinie“) verabschiedet.

Mit der steigenden Relevanz von KI und maschinellem Lernen steigt auch das Bedürfnis, vulnerable Wirtschaftsbereiche und Unternehmen vor neuen Gefahren für die IT-Sicherheit zu schützen. Mit der NIS2-Richtlinie will der europäische Gesetzgeber das Gesamtniveau der Cybersicherheit erhöhen. Die Richtlinie muss bis zum 17.10.2024 in nationales Recht umgesetzt sein. Hierzu liegt in Deutschland bislang der Entwurf des NIS2UmsuC-Gesetzes vor (Stand: 03.07.2023), der durch das Diskussionspapier vom 27.09.2023 und den sog. Werkstattbericht vom 26.10.2023 weiter an Kontur gewonnen hat. Auf viele Unternehmen und ihre Geschäftsleiter werden erhebliche neue, sanktionsbewehrte Pflichten zukommen:

Im Anschluss an eine Vorabentscheidung des EuGH hat das BAG in seinem Urteil vom 6.6.2023 (9 AZR 621/19) entschieden, dass die nach der DSGVO erforderliche Zuverlässigkeit des Datenschutzbeauftragten nicht vorliegt, wenn er gleichzeitig als Betriebsratsvorsitzender über die Methoden und den Umfang der Datenverarbeitung entscheidet.

Seit 10.07.2023 können personenbezogene Daten wieder auf Grundlage eines Angemessenheitsbeschlusses gemäß Art. 45 DSGVO an zertifizierte Unternehmen in den USA übermittelt werden. Nachdem die Vorgängerbeschlüsse "Safe Harbour" und "EU-US-Privacy-Shield" vom Gerichtshof der Europäischen Union (EuGH) im Oktober 2015 bzw. Juli 2020 für unwirksam erklärt worden waren, gibt es nun das "EU-US Data Privacy Framework".

Wenn eine Person von einem Unternehmen (oder sonst datenschutzrechtlich Verantwortlichen) Auskunft nach Art. 15 DSGVO über die konkreten Empfänger seiner personenbezogenen Daten verlangt, muss diese offengelegt werden. Nach unserer Auffassung besteht aber aktuell keine Pflicht in Datenschutzinformationen gemäß Art. 13 und 14 DSGVO über die konkreten Empfänger zu informieren.

In: NJ 10/2012, 413 ff. (mit Nagel)