Ismaning, 30. März 2026

Hallo ,

da ich nicht weiß, ob ich rechtzeitig wieder einen Newsletter schreibe, hier schon mal der Hinweis: am 25. Mai 2026 - also in genau acht Wochen am Pfingstmontag, feiern wir Datenschützer:innen 10 Jahre DSGVO! Ja, 10 Jahre und nicht erst acht. Denn die DSGVO wurde am 04.  Mai 2016 im ABl. L 119 vom 04.05.2016 veröffentlicht und ist am 25. Mai 2016 in Kraft getreten. Gültig wurde sie dann zwei Jahre später. Ich denke, dass ist ein guter Anlass, sich wieder einmal bewusst zu werden, wenn und was die DSGVO schützt (Art. 1 Abs. 2 DSGVO):

"Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten."

Zu diesen Grundrechten gehören insbesondere - aber nicht nur - die Grundrechte aus Artikel 7 (Achtung des Privat- und Familienlebens) und 8 (Schutz personenbezogener Daten) der Charta der Grundrechte und Grundfreiheiten der Europäischen Union (Grundrechtecharta – GrCh)“ - https://eur-lex.europa.eu/eli/treaty/char_2016/oj/deu -, sondern auch die anderen dort genannten Grundrechte. Ein Blick in die GrCH ist immer mal wieder empfehlenswert. In meinem Vortrag "Warum personalisiertes Online-Marketing datenschutzrechtlich unzulässig ist und die Zukunft dem kontextbasierten Online-Marketing gehört", den ich am 21. März bei einer Datenschutzveranstaltung in Fulda gehalten habe, habe ich auch die weiteren Grundrechte verwiesen. 

Inhalt

  1. Handout zu meinem Vortrag "Warum personalisiertes Online-Marketing datenschutzrechtlich unzulässig ist und die Zukunft dem kontextbasierten Online-Marketing gehört"
  2. Windows Lifecycle-Ende
  3. Jahr-2038-Problem
  4. NIS-2: Umsetzung der EU-Richtlinie in Deutschland
  5. KRITIS-Dachgesetz
  6. Die Bayerische "Cyberfestung"
  7. Datenschutzaufsicht als verantwortliche Stelle und auskunftspflichtig?
  8. Wenn Sie diesen Newsletter gut finden...

1. Handout zu meinem Vortrag "Warum personalisiertes Online-Marketing datenschutzrechtlich unzulässig ist und die Zukunft dem kontextbasierten Online-Marketing gehört"

Falls Sie sich für meinen Vortrag interessieren, können Sie vorab das Handout als PDF-Datei gerne per E-Mail bei mir anfordern. Eventuell erstelle ich noch einen Reader, der dann auch viele Literaturhinweise enthält, aber da kann ich noch nicht sagen, ob und wann das passiert. Von daher ist das Handout für einen ersten Eindruck sicher eine gute Basis.

2. Windows Lifecycle-Ende

Okay, dass der Windows10-Lifecycle-Ende bereits am 14. Oktober 2025 und die einjährige Periode der erweiterten Sicherheitsupdates am 14. Oktober (also in  sechseinhalb Monaten) ausläuft, ist für Sie sicherlich nicht neu. Nichtsdestotrotz ist es mir eine Erwähnung wert, verbunden mit dem Hinweis, dass es Alternativen zu Microsofts Betriebssystem Windows aber auch zu Microsoft 365 gibt. Immer mehr Institutionen und auch Firmen steigen um. Sicher ist der Umstieg auf Linux, LibreOffice, Nextcloud (oder ander Alternativen) mit Aufwand verbunden. Aber es lohnt sich, mittelfristig auch monetär. Weniger Abhängigkeit von den "Global playern" in den USA ist ein weiterer Vorteil. Und die TIA für Datenübermittlungen in die USA fällt auch weg.  

3. Jahr-2038-Problem

"Das Jahr-2038-Problem von EDV-Systemen (Numeronym: Y2K38) entsteht aus einem Überlauf der Unixzeit, wenn diese als vorzeichenbehaftete 32-Bit-Ganzzahl abgelegt ist. Mögliche Folgen sind Fehlfunktionen und Ausfälle von IT-Systemen durch falsch gelesene Zeitstempel. "  (Quelle: https://de.wikipedia.org/wiki/Jahr-2038-Problem).

Okay, es sind noch 11 Jahre, 9 Monate und 20 Tage bis es am 19. Januar 2038, 03:14:08 Uhr UTC zu einem Überlauf bei Computersystemen, welche die Unixzeit in einer vorzeichenbehafteten 32-Bit-Variable speichern, kommen. Und ja, auch viele andere Systeme nutzen die Unixzeit (selbst) Windows. Im Sinne des Grundsatzes der Verfügbarkeit könnte es sinnvoll sein, zumindest bei Neubeschaffungen oder Neuentwicklungen, sicher zu stellen, dass dieses Problem nicht auftritt. 

4. NIS-2: Umsetzung der EU-Richtlinie in Deutschland

Das NIS2-Umsetzungsgesetz wurde am 05. Dezember 2025 im Bundesgesetzblatt 2025 I Nr. 301 
https://www.recht.bund.de/bgbl/1/2025/301/VO.html 
veröffentlicht und ist am 06. Dezember 2026 in Kraft getreteten.

"Die NIS-2-Richtlinie verpflichtet mehr Unternehmen und Branchen zu einheitlich europäischen Sicherheitsstandards und setzt strengere Sicherheitsanforderungen voraus." (Quelle: s.u. Link zur Information derBundesregierung)

Auch Unternehmen, die nicht der NIS-2-Richtlinie unterliegen finden in dem Gesetz und den weiterführenden Informationen hilfreiche Anregungen zur Erhöhung der eigenen "Cybersicherheit"

Hier sind noch einige Links informtive bzw. hilfreiche Links:

5. KRITIS-Dachgesetz

Das "Gesetz zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen" ist am 16. März 2026 im Bundesgesetzblatt 2026 I 66 - https://www.recht.bund.de/bgbl/1/2026/66/VO - verkündet worden und im wesentlichen am 17. März 2026 in Kraft getreten. Ein wesentlicher Teil ist im Artikel 1 das "Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen (KRITIS-Dachgesetz – KRITISDachG)". Die weiteren Artikel ändern das andere Gesetze und regeln das Inkrafttreten des Gesetzes und das Außerkraftreten von bisherigen Verordnung.

Zum einen legt das KRITIS-DachG legt bundesweit einheitlich fest, welche Unternehmen und Einrichtungen zur KRITischen InfraStruktur gehören. Zudem werden sektorübergreifende Mindeststandards für den Schutz dieser kritischer Infrastrukturen vorgegeben. 

Auch hier gibt es zwei Links zur weiteren Information:

6. Die Bayerische "Cyberfestung"

Und als ob das nicht ausreichen würde baut der Freistaat Bayern seine eigene "Cyberfestung". Im Rahmen einer neuen bayerischen Cybersicherheitsstrategie hat das Bayrische Landesamt für Datenschutzaufsich (BayLDA) "zentrale Maßnahmen zum Schutz vor Cyberattacken für bayrische nicht-öffentliche Stellen“ veröffentlich. Ja, Bayern hat ja bekanntlich immer noch getrennte Datenschutzaufsichtsbehörden für nicht-öffentliche Stelle und öffentliche Stellen:

"Als historisches Vorbild orientiert sich das BayLDA dafür an dem Bild der schier uneinnehmbaren Festung, bei der durch gezielte Maßnahmen die Hürden für Angreifer um ein Vielfaches erhöht wurden. Gleiches kann im IT-Umfeld im eigenen Betrieb gelingen. Hierfür stellt das BayLDA eine Checkliste eines Maßnahmenkatalogs zur Verfügung, der sich schwerpunktmäßig technischen und organisatorischen Themen widmet." (Quelle: https://www.lda.bayern.de/de/cyberfestung.html). Die Historie lehrt uns allerdings auch, dass so manche auf den ersten Blick als "uneinnehmbar" scheinende Festung dann doch eingenommen wurde und sei es mit einer List, wie dem trojanischem Pferd, das als "Trojaner" auch seinen sprachlichen Einzug in die IT-Sicherheit gefunden hat.

Weiterhelfen sollen zwei Dokumente zum Download:

7. Datenschutzaufsicht als verantwortliche Stelle und auskunftspflichtig?

Die Frage, welche Behörde den in Sachen Datenschutz die Datenschutzaufsichtsbehörde kontrolliert wird sich so manche:r schon mal hypothetisch gestellt haben. In Bayern wäre es aus meiner Sicht für das BayLDA (da öffentliche Stelle) der Bayerische Landesbeauftragte für den Datenschutz. Und eigentlich dachte ich, dass es klar ist, dass auch eine Datenschutz-Aufsichtsbehörde eine verantwortliche Stelle, z.B. für die Verarbeitung personenbezogener Daten im Rahmen des Beschwerdeverfahrens ist. Somit sollte doch klar sein, dass auch eine Datenschutz-Aufsichtsbehörde zur Auskunft gemäß Art. 15 DSGVO verpflicht sei. Da haben wir aber die Rechnung ohne das Bayerische Datenschutzgesetz und dessen Art. 20 gemacht. Dort ist laut BayLDA geregelt, dass "Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nicht bestünden". Das sah die betroffene Person (also der Beschwerdeführer) anders und klagt vor dem Verwaltungsgericht Ansbach auf Auskunft. Das VG Ansbach war (nicht) faul und legte mit Beschluss  vom 19.02.2025 dem EuGH zwei entsprechende Fragen vor: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2025-N-3839 

  1. "Ist Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 dahingehend auszulegen, dass eine Aufsichtsbehörde nach Art. 4 Nr. 21 VO (EU) 2016/679, die im Rahmen eines von einer betroffenen Person eingeleiteten Beschwerdeverfahrens nach Art. 77 VO (EU) 2016/679 tätig wird, gleichzeitig im Sinne von Art. 15 VO (EU) 2016/679 i.V.m. Art. 4 Nr. 7 VO (EU) 2016/679 „Verantwortlicher“ und damit auf Grundlage des Art. 15 VO (EU) 2016/679 gegenüber der betroffenen Person zur Auskunft verpflichtet ist?
  2. Für den Fall, dass Frage 1 mit „ja“ beantwortet wird:
    Ist das Unionsrecht, insbesondere Art. 23 VO (EU) 2016/679, dahingehend auszulegen, dass es einer nationalen Regelung – wie dem im Ausgangsverfahren streitigen Art. 20 Abs. 2 BayDSG – entgegensteht, wonach Auskunfts- oder Einsichtsrechte hinsichtlich Akten und Dateien der Aufsichtsbehörden nach Art. 4 Nr. 21 VO (EU) 2016/679 pauschal nicht bestehen?"

Ich bin ja mal gespannt, wie hier der EuGH entscheiden wird. 

8. Wenn Sie diesen Newsletter gut finden...

... gibt es ein paar Möglichkeiten, dies auszudrücken:

  1. Sie können noch bis bis zum 2. April 2026, 12 Uhr beim Zukunftspreis der Sparkasse Chemnitz für den Standort Chemnitz des Computertruhe e.V.  abstimmen:
    https://s-zukunftspreis.de/projekte/69add5f487d03630c78f7dbd - je Mobilnummer ist eine Stimme möglich. Die Sparkasse Chemnitz sichert zu, dass die Mobilnummer nur für die Zusendung des SMS-Codes und zur Sicherstellung, dass jede Nummer nur einmal teilnimmt genutzt wird. Auch wenn ich selbst am Standort München bin, unterstütze ich diese Abstimmung!
  2. Sie können diesen Newsletter weiterempfehlen, indem Sie diesen Link https://dsgvo.expert/wp/NEWSLweiterreichen
  3. Sie können dem gemeinnützigen Verein Computertruhe e.V., in dem ich aktiv bin, eine Spende - https://computertruhe.de/spenden/ - zukommen lassen. Da wir immer häufiger Rechner ohne Festplatten erhalten, müssen wir entsprechende SSD zukaufen. Dafür benötigen wir Spenden. Falls Sie spenden möchten, wäre es toll, wenn Sie als Verwendungszweck "Spende - Standort München" angeben würden (München ist der Standort, an dem ich aktiv bin, Rechner aufbereite und an bedürftige Personen und gemeinnützige Organisationen weitergebe)
  4. Falls Sie eigentlich schon längst auf echten Öko-Strom wechseln wollten, können Sie über diesen Link zu Naturstrom wechseln: https://links.naturstrom.de/mq1u
  5. Sie können mich für Vorträge, Workshops und Seminare buchen.

Viele Grüße,

Werner Hülsmann

Werbung in eigener Sache: Falls Sie noch ein Unternehmen kennen, dass noch eine Meldestelle nach § 12 HinschG benötigt: Ein Festpreisangebot (mit konkreten Preisen und einem Auftragsformular) für Unternehmen bis 2.499 Beschäftigten für die Einrichtung und den Betrieb der Meldestelle nach § 12 HinSchG finden Sie hier als PDF-Datei: https://daschuwi.de/meldestellenangebot - oder als Langurl: https://datenschutzwissen.de/wp/wp-content/uploads/2023/12/2023-12-Angebot-Unternehmen.pdf – Die Links dürfen Sie gerne weitergeben (oder selbst nutzen) vgl. auch https://daschuwi.de/HinSchG-DL.

Werbung für einen gemeinnützigen Verein: Falls bei Ihnen (im Unternehmen oder privat) funktiosnfähige Hardware abzugeben ist, lege ich Ihnen den gemeinnützigen Verein Computertruhe e.V. ans Herz, der gebrauchte Computer entgegennimmt, diese aufbereite und an bedürftige Menschen und gemeinnützige Organisationen kostenlos weitergibt. Zur Unterstützung der Tätigkeit werden Geld-, Zeit- und Materialspenden gerne entgegen genommen - https://computertruhe.de/spenden/ - Und ja, ich bin „befangen“, da ich selbst dort aktiv bin, zum einem als Beisitzer im Vorstand - https://computertruhe.de/verein/vorstand/ - ein bißchen weiter unten ... - und zum anderen in der Region ("am Standort") München. Dort beschäftige ich mich mit der Entgegennahme, Aufbereitung und Ausgabe von in erster Linie Laptops aber auch Desktops. Es ist immer wieder schön, die freudigen Gesichter zu sehen, wenn ich einen Laptop oder einen Desktop ausgeben kann.

 

_________________________________________________
Um Ihre Newsletter-Einstellungen zu ändern oder Ihre Daten zu berichtigen, bitte hier klicken. - Um Ihre Daten zu Auskunftszwecken gemäß Art. 15 der EU-Datenschutz-Grundverordnung (DSGVO) oder zum Zwecke der Datenübertragbarkeit gemäß Art. 20 DSGVO herunterzuladen,  bitte hier klicken - Sollten Sie Ihre Einwilligung widerrufen und sich wieder abmelden wollen, dann bitte hier klicken  - Die Datenschutzerklärung finden Sie hier


-----------------------------------------------
Meine  Infoseite  zur Europäischen Datenschutz-
grundverordnung (DSGVO): <https://dsgvo.expert>
-----------------------------------------------

-- 

Datenschutzwissen.de - Dipl. Inform. Werner Hülsmann
- Datenschutzgutachter - Datenschutzexperte -

* Münchener Str. 101 - Gebäude 1 / 1. OG -  D-85737 Ismaning
  FAX.: 089 / 51 30 569-8  
* Pappelhof 12 - D-14478 Potsdam
Mobil: 0177 / 28 28 681 
E-Mail: wh@datenschutzwissen.de - http://www.datenschutzwissen.de