Wie behält man im Geflecht aus Verordnungen, Gesetzen und Zertifikaten rund um DSGVO, NIS2, DORA, C5-Testat und Co den Überblick, ohne hohe Bußgelder zu riskieren? Im Gespräch diskutieren Richard Werner von Trend Micro und Rechtsanwalt Dr. Thomas Stögmüller die wichtigsten Neuerungen und Aspekte und erklären, wie Unternehmen ihre Compliance gewährleisten können – ohne in Verwirrung zu geraten.
Viele Unternehmen fragen sich, wie sie im Dickicht der vielfältigen nationalen, europäischen und internationalen Verordnungen, Gesetze und Zertifikate noch den Durchblick behalten sollen.
(Bild: Firefly / KI-generiert)
Richard Werner, Trend Micro: Datenschutzgrundverordnung, NIS2, DORA und so weiter – selbst Experten verlieren bei den ständigen Neuerungen schnell den Durchblick, vor allem wenn es um tiefere Detailfragen geht. Deshalb war es höchste Zeit, unseren juristischen Leitfaden für Cybersicherheit und IT-Compliance im Unternehmen zu überarbeiten und zu aktualisieren. Und wir sind natürlich froh, Sie auch für die achte Auflage wieder als Partner gewonnen zu haben.
Thomas Stögmüller, TCI Rechtsanwälte: Herzlichen Dank. In der Tat ist juristische Klarheit für die Sicherheitsverantwortlichen äußerst wichtig – gerade in Bezug auf Datenschutz und Compliance. Das prägnanteste Thema, das die Branche gerade umtreibt, ist wohl NIS2. Aus IT-Security-Sicht ist man sich jedoch, denke ich, generell einig, dass die überarbeiteten Anforderungen sinnvoll und angemessen sind.
Werner: Dem stimme ich zu. Rein technisch gesehen beinhaltet die neue Regulierung auch nicht viel Neues. Im Grunde geht es um Systeme und Werkzeuge zur Angriffserkennung und die Implementierung von Cyberrisikomanagement. Das sollte eigentlich alles bereits Standard sein. Das heißt jedoch nicht, dass diese Anforderungen so manches Unternehmen nicht doch vor gewisse Herausforderungen stellen können. Hat man aber IT-Security in den letzten drei bis vier Jahren gewissenhaft betrieben und moderne Technologien sinnvoll implementiert, hat man auch den Großteil der Anforderungen bereits abgedeckt. Wenn nicht, sollte man sich schleunigst daransetzen.
Stögmüller: Aus juristischer Perspektive finde ich vor allem erwähnenswert, dass die bereits bestehende Geschäftsführerhaftung weiter verschärft wurde. Zudem können nun, selbst wenn keine konkreten Sicherheitsvorfälle passiert sind, empfindliche Bußgelder ausgesprochen werden. Aus dem Grund, dass sozusagen die „Verkehrstüchtigkeit“ der IT-Umgebung nicht gegeben ist – also eine Art TÜV für die IT-Security. Dass die Unternehmensleitungen zudem aufgefordert werden, sich selbst fortzubilden, um im Bereich Cybersecurity informierte Entscheidungen treffen zu können, ist ebenfalls ein bemerkenswerter Schritt, den ich sehr begrüße. Speziell für den Finanzsektor und seine IKT-Dienstleister gilt zudem ab dem 17. Januar 2025 die neue DORA-Verordnung. Auch in diesem Bereich haben wir den juristischen Leitfaden aktualisiert, immerhin sieht diese Gesetzgebung hier noch wesentlich strengere Regeln vor.
Werner: Etwas, was nicht nur die Finanzbranche, sondern alle Unternehmen betrifft, die Cybersecurity betreiben müssen, ist natürlich die Datenschutzgrundverordnung. Denn diese gilt auch für den Einsatz von Cybersicherheitslösungen. Hier herrscht regelmäßig große Verunsicherung. Der Konflikt zwischen Datenschutzbeauftragten und IT-Teams führt oft schnell zu dicken Hälsen. Sicherheitsverantwortliche verstehen häufig die Problemstellungen der Datenschützer nicht und man kann sich somit leicht auf „verlorenem Posten“ fühlen. Dadurch kommt es vor, dass sinnvolle Geschäftsentscheidungen wie zum Beispiel der Umstieg auf eine SaaS-Lösung verzögert oder gar verhindert werden, weil man etwa bei Fragen wie „Sind da dann unsere Daten in der Cloud?“ ins Schlingern kommt. Was noch dazu kommt: Moderne Cybersecurity-Lösungen wie Extended Detection and Response (XDR) sammeln personenbezogenen Daten wie etwa verdächtige Web-Aktivitäten oder Dateizugriffshistorien. Diese Daten müssen selbstverständlich nach den Grundsätzen des Datenschutzes verarbeitet werden. Unternehmen sollten dabei die Integrität und Vertraulichkeit der personenbezogenen Daten durch geeignete technische und organisatorische Maßnahmen gewährleisten können. Auch hier herrscht also einiges an Verunsicherung, was in Hinsicht auf Compliance zu leisten ist.
Stögmüller: In der Tat war es uns wichtig, bei der Konfliktzone Cybersecurity – Datenschutz mehr Klarheit zu schaffen. Immerhin ist, wie Sie richtig angesprochen haben, die Verarbeitung von personenbezogenen Daten nur unter bestimmten Voraussetzungen zulässig. Auch wenn es um Cybersecurity geht. Hier muss eine Interessenabwägung stattfinden. Das Unternehmen kann dabei aber sehr wohl ein berechtigtes Interesse beanspruchen, wenn es um die Gewährleistung der Netz- und Informationssicherheit, die Abwehr von Angriffen, Störungen, widerrechtlichen Eingriffen und Betrugs und den Schutz vor Beeinträchtigung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit geht. Die DSGVO einzuhalten, hat natürlich Priorität, aber die IT-Sicherheit steht dem ja auch nicht entgegen! Sie ist vielmehr Mittel zum Zweck. Um diese beiden Aspekte in Einklang zu bringen, braucht es neben rechtlicher Klarheit vor allem eine gute Kommunikation zwischen den Abteilungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Werner: Ein weiteres wichtiges Thema bezüglich Compliance und Datenschutz ist die Cloud. Cloud-Computing gilt mittlerweile als Standard in vielen Unternehmen, wird aber datenschutz- und sicherheitstechnisch oft kritisch gesehen. Es ist also kaum verwunderlich, dass auch hier der Gesetzgeber strikte Vorgaben umsetzen will.
Stögmüller: Hier spielt der Cloud Computing Compliance Criteria Catalogue (C5) eine immer wichtigere Rolle. Dieser Kriterienkatalog des BSI spezifiziert Mindestanforderungen an sicheres Cloud-Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter sowie deren Prüfer und Kunden. Als Mindestanforderung ist C5 inzwischen für Gesundheitseinrichtungen und Bundesbehörden Vorschrift.
Werner: Der Katalog erfüllt aus der Perspektive der Cybersecurity eine nützliche Übersichtsfunktion, würde ich sagen. Er katalogisiert praktisch alle wichtigen Fragen, die Kunden in Zusammenhang mit Compliance stellen müssen und standardisiert sowie dokumentiert deren Beantwortung. Das nimmt insbesondere größeren Unternehmen viel Arbeit ab. Abschließend möchte ich mich noch einmal bei Ihnen bedanken, dass wir Sie wieder als Partner für dieses wichtige Projekt gewinnen konnten und dass Sie auch Zeit für dieses Gespräch hatten.
Stögmüller: Ich bedanke mich bei Ihnen.
Zwei Experten im Gespräch
Richard Werner bringt als Security Advisor IT-Sicherheitsverantwortlichen die Strategie Trend Micros näher, speziell im Hinblick auf aktuelle Cyberbedrohungen. In dieser Rolle hält Werner zudem Vorträge und kommuniziert mit der Presse. Werner, der seit 2000 im Unternehmen ist, verantwortete davor als Regional Solution Manager die Einführung insbesondere der Cloud- und Rechenzentrumslösungen.
Bildquelle: Trend Micro
Dr. Thomas Stögmüller, LL.M. (Berkeley) ist Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Gründungspartner von TCI Rechtsanwälte München. Er berät deutsche und internationale Unternehmen zu IT-, Cloud, Outsourcing- und Projektverträgen sowie in den Bereichen Cybersicherheit und IT-Compliance, Datenschutz, Künstliche Intelligenz (KI), E-Commerce, Telekommunikationsrecht, Urheberrecht und Kartellrecht.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/47/37/4737fe2a0a330ea82f207a71bd63af53/0112150345v1.jpeg "Wir klären, wie die DPRK auf dem Arbeitsmarkt nach Devisen und Einfluss strebt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/36/d1/36d1f30d8a9f4ba961cc10100c4d049e/0112150345v1.jpeg "Zum Jubiläum liefert der Security-Insider Podcast den bisher umfassendsten Blick auf die aktuellen Security-Trends . (Bild: Vogel IT-Medien)")