Michael Kornmann, Autor bei QS Kornmann

Ransomware-Abwehr 2026: Neue Bedrohungen, bewährte Schutzmaßnahmen

Cyber Resilience Act: Neue Sicherheitspflichten für Produkte mit digitalen Elementen

Von IoT-Geräten bis zu Industriesteuerungen – wer Produkte in der EU verkauft, muss handeln.

27 Februar 2026

Der EU Cyber Resilience Act (CRA) tritt 2026 schrittweise in Kraft und verpflichtet Hersteller von Produkten mit digitalen Elementen zu umfassenden Cybersicherheitsmaßnahmen. Von IoT-Geräten bis zu Industriesteuerungen – wer Produkte in der EU verkauft, muss handeln.

Der CRA gilt für alle Produkte mit digitalen Elementen – von Smart-Home-Geräten über Industrieroboter bis zu medizinischen Geräten. Ausgenommen sind nur Produkte, die bereits durch sektorspezifische Regelungen (z.B. MDR, Kfz-Typgenehmigung) abgedeckt sind. Die Verordnung verfolgt einen risikobasierten Ansatz: Produkte werden in drei Klassen eingeteilt (Standard, wichtig, kritisch), je nach Risiko für Cybersicherheit.

Zentrale Anforderungen für Hersteller: Security by Design und Security by Default ab Entwicklungsbeginn, Schwachstellenmanagement über den gesamten Produktlebenszyklus (mindestens 5 Jahre), Meldepflicht für aktiv ausgenutzte Schwachstellen innerhalb von 24 Stunden, sichere Software-Updates und Patch-Management sowie CE-Kennzeichnung mit Cybersicherheitsnachweis.

Besonders kritisch: Die Haftungsregelungen. Hersteller haften für Schäden durch Sicherheitslücken. Bußgelder bei Verstößen können bis zu 15 Mio. Euro oder 2,5% des weltweiten Jahresumsatzes betragen. Die Übergangsfrist läuft – Hersteller sollten jetzt mit der Implementierung beginnen.

Fazit

Der Cyber Resilience Act ändert die Spielregeln für Produkthersteller grundlegend. Security by Design wird zur Pflicht, nicht zur Option. Wer jetzt nicht handelt, riskiert nicht nur Bußgelder, sondern auch den Marktzugang in der EU. Eine frühzeitige Vorbereitung ist unverzichtbar.

Top 5 Empfehlungen:

1. Betroffenheit prüfen: Analysiere dein Produktportfolio – welche Produkte fallen unter den CRA?

2. Security by Design implementieren: Integriere Cybersicherheit von Anfang an in den Entwicklungsprozess.

3. Schwachstellenmanagement aufbauen: Etabliere Prozesse zur Identifikation, Bewertung und Behebung von Sicherheitslücken.

4. Update-Strategie entwickeln: Plane langfristige Software-Updates (mindestens 5 Jahre Support) und automatische Patch-Mechanismen.

5. Dokumentation sicherstellen: Erstelle die erforderliche technische Dokumentation für die CE-Kennzeichnung frühzeitig.

ISO 9001 und Risikomanagement: Die unterschätzte Verbindung

Risikomanagement ist seit der ISO 9001:2015 fester Bestandteil des Qualitätsmanagements – wird aber in der Praxis oft stiefmütterlich behandelt.

20 Februar 2026

Risikomanagement ist seit der ISO 9001:2015 fester Bestandteil des Qualitätsmanagements – wird aber in der Praxis oft stiefmütterlich behandelt. Dabei bietet ein gut aufgebautes Risikomanagement echte Mehrwerte für die Organisation.

Die ISO 9001 fordert in Kapitel 6.1 die Identifikation und Bewertung von Risiken und Chancen, die die Erreichung der QM-Ziele beeinflussen können. Viele Unternehmen erfüllen diese Anforderung nur oberflächlich – etwa mit einer jährlichen Risikobewertung in der Managementbewertung. Dabei geht es um mehr: Risikomanagement soll systematisch in alle Prozesse integriert werden.

Praktische Umsetzung bedeutet: Risiken und Chancen bei Prozessänderungen bewerten, Lieferantenrisiken systematisch erfassen und bewerten, Produktrisiken in der Entwicklung berücksichtigen sowie Compliance-Risiken (DSGVO, NIS-2, Lieferkettengesetz) integrieren. Die Verzahnung von QM und Risikomanagement schafft Synergien – etwa bei der Vorbereitung auf Audits oder der Erfüllung gesetzlicher Anforderungen.

Ein häufiger Fehler: Risikomanagement wird als separate Excel-Tabelle geführt, ohne Anbindung an das QM-System. Besser: Integration in bestehende Prozesse, etwa in Managementbewertungen, interne Audits oder Lieferantenbewertungen.

Fazit

Risikomanagement nach ISO 9001 ist mehr als eine Pflichtübung. Wer Risiken systematisch identifiziert und bewertet, schafft echte Mehrwerte: bessere Entscheidungsgrundlagen, frühzeitige Problemerkennung und höhere Rechtssicherheit. Die Integration in bestehende QM-Prozesse spart Zeit und erhöht die Akzeptanz.

Top 5 Empfehlungen:

1. Risikomanagement in Prozesse integrieren: Bewerte Risiken und Chancen systematisch bei Prozessänderungen, nicht nur einmal jährlich.

2. Compliance-Risiken berücksichtigen: Integriere DSGVO, NIS-2 und andere gesetzliche Anforderungen in dein Risikomanagement.

3. Lieferantenrisiken bewerten: Erfasse systematisch Risiken in der Lieferkette (z.B. Lieferkettengesetz, Abhängigkeiten).

4. Digitale Tools nutzen: Excel-Tabellen sind ein Anfang – professionelle QM-Software erleichtert die Integration erheblich.

5. Chancen nicht vergessen: Risikomanagement heißt auch Chancenmanagement – nutze systematische Bewertungen für strategische Entscheidungen.

Gemeinsame Verantwortlichkeit (Joint Controllership): Das oft übersehene Risiko

Viele Unternehmen übersehen, dass sie bei bestimmten Datenverarbeitungen gemeinsam mit anderen Stellen verantwortlich sind.

13 Februar 2026

Viele Unternehmen übersehen, dass sie bei bestimmten Datenverarbeitungen gemeinsam mit anderen Stellen verantwortlich sind. Die gemeinsame Verantwortlichkeit (Joint Controllership) nach Art. 26 DSGVO wird häufig falsch eingeschätzt – mit rechtlichen Folgen.

Gemeinsame Verantwortlichkeit liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam Zwecke und Mittel der Verarbeitung festlegen. Klassische Fälle: Fanpage-Betreiber auf Social Media (EuGH-Rechtsprechung), gemeinsame Nutzung von CRM-Systemen durch verbundene Unternehmen, Kooperationen bei Marketing-Aktionen mit geteilten Kundendatenbanken oder Plattformbetreiber und Händler bei Marktplätzen.

Art. 26 DSGVO schreibt vor: Die gemeinsam Verantwortlichen müssen in einer Vereinbarung ihre jeweiligen Verantwortlichkeiten festlegen – insbesondere für die Erfüllung von Betroffenenrechten und Informationspflichten. Diese Vereinbarung muss den Betroffenen in wesentlichen Teilen zur Verfügung gestellt werden. Fehlt eine solche Vereinbarung, haften beide Verantwortliche gesamtschuldnerisch.

Das Risiko wird oft unterschätzt: Ohne Joint-Controller-Agreement fehlt die Rechtsgrundlage für die Datenverarbeitung. Aufsichtsbehörden können Bußgelder verhängen, und Betroffene können sich an jeden der Verantwortlichen wenden – unabhängig davon, wer tatsächlich die Daten verarbeitet.

Fazit

Joint Controllership wird in der Praxis häufig übersehen oder falsch eingeordnet. Wer mit anderen Stellen gemeinsam Daten verarbeitet, sollte prüfen, ob eine gemeinsame Verantwortlichkeit vorliegt. Eine schriftliche Vereinbarung nach Art. 26 DSGVO ist nicht nur Pflicht, sondern schützt auch vor Haftungsrisiken.

Top 5 Empfehlungen:

1. Kooperationen prüfen: Analysiere alle Datenverarbeitungen mit externen Partnern auf gemeinsame Verantwortlichkeit.

2. Joint-Controller-Agreement abschließen: Schließe schriftliche Vereinbarungen mit allen gemeinsam Verantwortlichen ab.

3. Verantwortlichkeiten klar definieren: Lege fest, wer für welche DSGVO-Pflichten zuständig ist (Auskunft, Löschung, Informationspflichten).

4. Betroffene informieren: Stelle die wesentlichen Inhalte der Vereinbarung transparent zur Verfügung (z.B. in der Datenschutzerklärung).

5. Social-Media-Fanpages beachten: Auch als Fanpage-Betreiber bist du gemeinsam mit dem Plattformbetreiber verantwortlich – prüfe die Vereinbarungen.

Datenschutz-Folgenabschätzung (DSFA): Wann sie wirklich Pflicht ist

Wir zeigen, in welchen Fällen Sie nicht um eine DSFA herumkommen.

06 Februar 2026

Viele Unternehmen sind unsicher, wann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Dabei ist die Rechtslage klarer als oft angenommen. Wir zeigen, in welchen Fällen Sie nicht um eine DSFA herumkommen.

Eine DSFA ist nach Art. 35 DSGVO verpflichtend, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzkonferenz (DSK) hat eine „Muss-Liste“ veröffentlicht, die konkrete Verarbeitungsvorgänge benennt. Dazu gehören: umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten), systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung) und automatisierte Entscheidungen mit Rechtswirkung (z.B. Scoring, Profiling).

Typische Fälle aus der Praxis: Einführung einer HR-Software mit umfangreicher Mitarbeiterdatenverarbeitung, Einsatz von KI-gestützten Bewerbermanagementsystemen, Videoüberwachung mit biometrischer Gesichtserkennung oder umfangreiches Tracking von Nutzerverhalten auf Websites. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und die Risiken sowie geplante Schutzmaßnahmen dokumentieren.

Wichtig: Bei Unsicherheit gilt die Faustregel – lieber eine DSFA zu viel als eine zu wenig. Die Nichtdurchführung einer erforderlichen DSFA kann zu Bußgeldern führen und gilt als Verstoß gegen die Rechenschaftspflicht.

Fazit

Die DSFA ist kein bürokratisches Übel, sondern ein wirksames Instrument zur Risikominimierung. Wer unsicher ist, ob eine DSFA erforderlich ist, sollte die Muss-Liste der DSK konsultieren oder im Zweifelsfall eine durchführen. Die Dokumentation schützt nicht nur Betroffene, sondern auch das Unternehmen bei Kontrollen.

Top 5 Empfehlungen:

1. Muss-Liste der DSK prüfen: Gleiche deine Verarbeitungsvorgänge mit der offiziellen Liste der Datenschutzkonferenz ab.

2. DSFA vor Verarbeitungsbeginn durchführen: Die Folgenabschätzung muss abgeschlossen sein, bevor du mit der Datenverarbeitung startest.

3. Risiken dokumentieren: Beschreibe konkret, welche Risiken für Betroffene bestehen und wie du diese minimierst.

4. Datenschutzbeauftragten einbeziehen: Hole den DSB frühzeitig in den Prozess ein – seine Stellungnahme ist Pflicht.

5. Regelmäßig aktualisieren: Bei wesentlichen Änderungen der Verarbeitung muss die DSFA überarbeitet werden.

Vereinsmitglieder und E-Mail-Adressen: Was das BGH-Urteil bedeutet

Das Urteil stärkt die Mitgliederrechte – wirft aber auch datenschutzrechtliche Fragen auf.

30 Januar 2026

Der BGH hat entschieden: Vereinsmitglieder haben ein berechtigtes Interesse an den E-Mail-Adressen anderer Mitglieder, wenn sie vor einer Mitgliederversammlung Kontakt aufnehmen wollen. Das Urteil stärkt die Mitgliederrechte – wirft aber auch datenschutzrechtliche Fragen auf.

Im Urteil vom 10.12.2025 (Az. II ZR 132/24) stellte der BGH klar: Ein Vereinsmitglied hat Anspruch auf Mitteilung der E-Mail-Adressen anderer Mitglieder, wenn es vor einer Mitgliederversammlung Kontakt aufnehmen will, um auf deren Abstimmungsverhalten Einfluss zu nehmen. Das berechtigte Interesse des Mitglieds überwiegt in diesem Fall das Datenschutzinteresse der anderen Mitglieder.

Die Entscheidung basiert auf der Überlegung, dass die demokratische Willensbildung innerhalb eines Vereins die Kommunikation zwischen Mitgliedern erfordert. Der Verein muss daher die E-Mail-Adressen herausgeben, sofern keine besonderen Gründe dagegensprechen – etwa eine ausdrückliche Sperrung durch einzelne Mitglieder.

Für Vereinsvorstände bedeutet dies: Sie müssen zwischen den Mitgliederrechten auf demokratische Teilhabe und dem Datenschutz abwägen. Eine pauschale Verweigerung der Herausgabe ist nicht zulässig. Zugleich sollten Mitglieder die Möglichkeit haben, der Weitergabe ihrer Kontaktdaten zu widersprechen.

Fazit

Das BGH-Urteil stärkt die demokratischen Rechte von Vereinsmitgliedern, erfordert aber eine sorgfältige Abwägung durch den Vorstand. Vereine sollten ihre Satzungen und Datenschutzhinweise anpassen und Mitgliedern transparente Widerspruchsmöglichkeiten einräumen.

Top 5 Empfehlungen:

1. Satzung anpassen: Nimm eine Regelung zur Weitergabe von Kontaktdaten an Mitglieder in die Vereinssatzung auf.

2. Widerspruchsrecht einräumen: Gib Mitgliedern die Möglichkeit, der Weitergabe ihrer E-Mail-Adresse zu widersprechen.

3. Transparenz schaffen: Informiere bei der Aufnahme ins Vereinsregister über die mögliche Weitergabe von Kontaktdaten.

4. Zweckbindung beachten: Die Weitergabe darf nur für vereinsinterne demokratische Prozesse erfolgen – nicht für externe Werbung.

5. Dokumentation sicherstellen: Halte Anfragen und Entscheidungen zur Herausgabe von E-Mail-Adressen schriftlich fest.

Meta Business-Tools: OLG Dresden verurteilt zu 1.500 € Schadensersatz

Die Urteile sind rechtskräftig – Meta verzichtete auf Revision.

23 Januar 2026

Das OLG Dresden hat in vier Parallelverfahren den Meta-Konzern zur Zahlung von je 1.500 € immateriellem Schadensersatz nach Art. 82 DSGVO verurteilt. Die Urteile sind rechtskräftig – Meta verzichtete auf Revision. Ein wichtiges Signal für Betroffenenrechte.

Gegenstand der Verfahren waren die sogenannten „Meta Business-Tools“ – Tracking-Technologien, die Meta auf zahlreichen externen Websites einsetzt, um Nutzerdaten zu sammeln. Der 4. Zivilsenat des OLG Dresden entschied am 03.02.2026, dass die Weiterverarbeitung dieser Daten ohne wirksame Einwilligung rechtswidrig war.

Das Gericht verurteilte Meta nicht nur zur Zahlung von Schadensersatz, sondern auch zur Unterlassung der Weiterverarbeitung der so gewonnenen personenbezogenen Daten. Die Urteile sind rechtskräftig, da Meta keine Revision einlegte. Dies ist bemerkenswert, da viele ähnliche Verfahren in der Vergangenheit durch lange Instanzenwege gekennzeichnet waren.

Die Entscheidung zeigt: Auch große Tech-Konzerne müssen sich an die DSGVO halten. Für Website-Betreiber, die Meta-Pixel oder ähnliche Tracking-Tools einsetzen, bedeutet dies: Ohne wirksame Einwilligung drohen nicht nur Bußgelder, sondern auch Schadensersatzforderungen von Betroffenen.

Fazit

Das OLG Dresden stärkt die Rechte Betroffener gegen unrechtmäßiges Tracking. Die rechtskräftigen Urteile zeigen, dass immaterieller Schadensersatz nach Art. 82 DSGVO auch gegen große Konzerne durchsetzbar ist. Website-Betreiber sollten ihre Tracking-Tools und Einwilligungsprozesse dringend überprüfen.

Top 5 Empfehlungen:

1. Meta-Pixel und Tracking-Tools überprüfen: Prüfe, ob du wirksame Einwilligungen für den Einsatz von Meta Business-Tools einholst.

2. Consent-Management sicherstellen: Nutze eine rechtssichere Consent-Management-Plattform (CMP) mit dokumentierten Einwilligungen.

3. Datenweitergabe an Meta dokumentieren: Stelle sicher, dass die Weitergabe personenbezogener Daten an Meta durch AVV und rechtliche Grundlagen abgesichert ist.

4. Betroffenenrechte ernst nehmen: Reagiere schnell auf Auskunfts- und Löschanfragen – ignorierte Rechte führen zu Schadensersatzforderungen.

5. Alternative Tracking-Lösungen prüfen: Erwäge datenschutzfreundlichere Alternativen zu Meta-Tools, um Haftungsrisiken zu minimieren.

Wahlwerbung per Post: So widersprichst du der Melderegister-Auskunft

Woher haben die meine Adresse?

16 Januar 2026

Vor Wahlen flattern oft Werbebriefe von Parteien ins Haus. Viele fragen sich: Woher haben die meine Adresse? Die Antwort: Vom Melderegister. Doch wer keine Wahlwerbung möchte, kann dem unkompliziert widersprechen.

Nach dem Bundesmeldegesetz dürfen Meldebehörden politischen Parteien in den sechs Monaten vor einer Wahl bestimmte Daten von Wahlberechtigten übermitteln – Name, Vorname, akademischer Grad und Anschrift. Diese Sonderregelung beruht auf der verfassungsrechtlich vorgesehenen herausgehobenen Bedeutung politischer Parteien für die demokratische Willensbildung.

Der Widerspruch gegen die Weitergabe ist formfrei, kostenlos und zeitlich unbefristet. Er kann beim zuständigen Bürgerbüro oder Meldeamt eingelegt werden – eine Begründung ist nicht erforderlich. Wichtig: Der Widerspruch muss vor der Datenübermittlung eingelegt werden, um wirksam zu sein.

Die Übermittlung ist beschränkt auf Adressdaten von Wahlberechtigten innerhalb einer altersmäßig eingegrenzten Zielgruppe (z.B. alle Erstwähler:innen). Personen mit eingetragener Auskunftssperre sind ausgeschlossen. Die Parteien dürfen die Daten ausschließlich für Wahlwerbung nutzen und müssen sie spätestens einen Monat nach der Wahl löschen.

Fazit

Wahlwerbung per Post ist gesetzlich legitimiert, aber kein Zwang. Wer keine Werbebriefe möchte, kann formlos beim Meldeamt widersprechen. Der Widerspruch gilt unbefristet und kostet nichts. Parteien dürfen die Daten nur zur Wahlwerbung nutzen und müssen sie nach der Wahl zeitnah löschen.

Top 5 Empfehlungen:

1. Widerspruch frühzeitig einlegen: Gib deinen Widerspruch beim Meldeamt ab, bevor die Parteien die Daten anfordern.

2. Formfrei widersprechen: Eine E-Mail, ein Brief oder ein persönlicher Besuch beim Bürgerbüro genügen – keine Begründung nötig.

3. Widerspruch gilt unbefristet: Einmal eingelegt, bleibt der Widerspruch dauerhaft bestehen.

4. Auskunftssperre nutzen: In besonderen Fällen (z.B. bei Gefährdung) kann eine Auskunftssperre im Melderegister beantragt werden.

5. Löschung prüfen: Falls du trotz Widerspruch Wahlwerbung erhältst, kontaktiere die Partei und fordere die sofortige Löschung deiner Daten.

Consenter-Tool: Erster anerkannter Dienst zur Einwilligungsverwaltung – Cookie-Banner adé?

Nach einem „Silent Release“ Ende 2025 ist seit Januar 2026 der erste offiziell anerkannte Dienst zur Einwilligungsverwaltung verfügbar.

09 Januar 2026

Nach einem „Silent Release“ Ende 2025 ist seit Januar 2026 der erste offiziell anerkannte Dienst zur Einwilligungsverwaltung verfügbar. Der „Consenter“ wurde von der Bundesbeauftragten für Datenschutz und Informationsfreiheit anerkannt und verspricht: Nie wieder Cookie-Banner manuell klicken.

Das Tool ermöglicht die zentrale Aussteuerung und automatische Beantwortung individueller Cookie-Präferenzen. Nutzer legen ihre Einstellungen einmalig fest – das Browser-Plug-In übernimmt dann die automatische Kommunikation mit allen besuchten Websites. Solche Dienste werden auch als „Personal Information Management Systems“ (PIMS) bezeichnet.

Das Browser-Plug-In ist aktuell nur für Google Chrome verfügbar, Safari und Firefox sollen zeitnah folgen. Neben der automatischen Einwilligungsverwaltung bietet das Tool weitere Funktionen, etwa für die Erstellung von Einwilligungsbannern durch Website-Betreiber.

Die Anerkennung erfolgte auf Grundlage der Rechtsverordnung nach § 26 Abs. 2 TDDDG mit Wirkung zum 17.10.2025. Der Dienst wird seitdem im öffentlichen Register geführt. Für Website-Betreiber bedeutet dies: Technische Schnittstellen zu solchen PIMS werden künftig immer wichtiger, um die Nutzerfreundlichkeit zu erhöhen.

Fazit

Der Consenter ist ein erster Schritt in Richtung nutzerfreundlicherer Einwilligungsverwaltung. Für Website-Betreiber wird es zunehmend wichtig, ihre Consent-Management-Plattformen (CMPs) mit anerkannten PIMS kompatibel zu gestalten. Die zentrale Verwaltung von Cookie-Präferenzen könnte langfristig zum Standard werden.

Top 5 Empfehlungen:

1. CMP-Kompatibilität prüfen: Stelle sicher, dass deine Consent-Management-Plattform mit anerkannten PIMS wie Consenter kompatibel ist.

2. Technische Schnittstellen vorbereiten: Bereite deine Website auf die automatische Kommunikation mit PIMS-Tools vor.

3. Nutzerfreundlichkeit im Blick behalten: Tools wie Consenter erhöhen die Erwartungen an einfache, zentrale Einwilligungsverwaltung.

4. Entwicklung beobachten: Weitere Browser-Versionen (Safari, Firefox) und ähnliche Tools werden folgen – bleib informiert.

5. TDDDG-Konformität sicherstellen: Überprüfe, ob deine Cookie-Banner und Einwilligungsprozesse den aktuellen gesetzlichen Anforderungen entsprechen.

Rechnungsversand per E-Mail: Warum Verschlüsselung entscheidend ist

Ein aktuelles Urteil des Schleswig-Holsteinischen Oberlandesgerichts zeigt, wie wichtig sichere Kommunikationswege im digitalen Geschäftsverkehr sind. Der Fall einer manipulierten Rechnung verdeutlicht, welche Konsequenzen unzureichende Sicherheitsmaßnahmen haben können. weiterlesen…

19 Mai 2025

Das Schleswig-Holsteinische Oberlandesgericht hat einem Kunden Schadensersatz in Höhe von 15.000 Euro zugesprochen, weil eine per E-Mail versandte Rechnung nicht ausreichend verschlüsselt war (Az.: 12 U 9/24). Der Fall wirft die Frage auf, ob nun jede Rechnungsübermittlung verschlüsselt erfolgen muss.

Im zugrunde liegenden Fall hatte ein Unternehmen eine Rechnung per E-Mail an einen privaten Kunden gesandt. Die E-Mail wurde manipuliert, indem die Bankverbindung geändert wurde. Der Kunde überwies den Betrag auf das falsche Konto und verweigerte eine erneute Zahlung. Das Gericht entschied, dass die vom Unternehmen verwendete Transportverschlüsselung unzureichend war. Nur eine Ende-zu-Ende-Verschlüsselung hätte die Rechnung vor Manipulationen schützen können.

Dieses Urteil ist jedoch kein genereller Aufruf zur Verschlüsselung aller E-Mails. Es zeigt vielmehr, dass Unternehmen haftbar gemacht werden können, wenn unzureichende Sicherheitsmaßnahmen zu einem Schaden führen. Besonders bei sensiblen Daten oder hohen Beträgen sollten Unternehmen daher ihre Schutzmaßnahmen überdenken.

Die praktische Umsetzung bleibt eine Herausforderung: Ende-zu-Ende-Verschlüsselung ist technisch anspruchsvoll und erfordert auch auf Kundenseite entsprechende Lösungen. Dennoch könnte sie in sicherheitskritischen Fällen zur neuen Norm werden – insbesondere im Hinblick auf die schrittweise eingeführte elektronische Rechnungspflicht.

Fazit:

Das Urteil des OLG Schleswig unterstreicht die Bedeutung sicherer Kommunikationswege im digitalen Geschäftsverkehr. Unternehmen sollten sorgfältig prüfen, welche Schutzmaßnahmen angemessen sind, um Haftungsrisiken zu minimieren und das Vertrauen ihrer Kunden zu stärken. Eine Ende-zu-Ende-Verschlüsselung mag nicht immer praktikabel sein, doch bei hohen Risiken ist sie eine sinnvolle Investition in die Datensicherheit. Eine Signatur der E-Mail könnte Ihr eine Lösung darstellen.

Wer tiefer in das Thema einsteigen will, empfehlen wir den Podcast von Heise: https://open.spotify.com/episode/4SQskqwYCqmJPVM1Mgnff8?si=5CCHlZUZRMOATuUBRVHJXA

Top 5 Empfehlungen:

1. Ende-zu-Ende-Verschlüsselung prüfen: Nutzen Sie diese Methode für sicherheitskritische Dokumente wie Rechnungen mit hohen Beträgen.
2. Transportverschlüsselung ergänzen: Stellen Sie sicher, dass zusätzlich Maßnahmen wie elektronische Signaturen oder gesicherte PDF-Dokumente eingesetzt werden.
3. Alternative Zustellmethoden anbieten: Ermöglichen Sie Kunden den Download von Rechnungen über gesicherte Portale oder entscheiden Sie sich für Postversand in Ausnahmefällen.
4. Kunden sensibilisieren: Informieren Sie Ihre Kunden über potenzielle Risiken und bieten Sie transparente Optionen für den Rechnungsversand an.
5. Prüfen Sie auch die Nutzung eines digitalen Signaturverfahrens, damit würde eine Manipulation von Inhalten sichtbar werden.