Die Europäische Datenstrategie will die EU an die Spitze einer datengesteuerten Gesellschaft bringen. Ein Binnenmarkt für Daten soll dazu eine EU-weite und branchenübergreifende Datenweitergabe möglich machen. Ohne die richtige Security wird dies aber nicht gelingen. Deshalb sollten Security-Verantwortliche die Datenstrategie der EU genau in den Blick nehmen.
Bei der Datensicherheit geht es nicht nur um die Sicherheit personenbezogener Daten, sondern um alle zu schützenden Daten. Auch für Daten ohne jeden Personenbezug müssen die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sein.
(Bild: mixmagic - stock.adobe.com)
Wie eng Security-Konzepte und rechtliche Vorgaben zusammenhängen, zeigt sich beispielhaft an der Datenschutz-Grundverordnung (DSGVO) der EU. Viele Unternehmen in Deutschland haben ihre IT-Sicherheitsstrategie überprüft und ergänzt, um den Anforderungen der DSGVO gerecht zu werden.
So ist es nicht verwunderlich, wenn nicht nur die Datenschutzbeauftragten in den Unternehmen die DSGVO auf ihrer Agenda haben, sondern auch die Security-Verantwortlichen. Allerdings ist es für die Security-Abteilung zu wenig, den Datenschutz als rechtliche Vorgabe zu berücksichtigen.
Bekanntlich geht es bei Datensicherheit nicht nur um die Sicherheit personenbezogener Daten, sondern um alle zu schützenden Daten. Auch für Daten ohne jeden Personenbezug müssen die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit gewährleistet sein.
Entsprechend sollten Security-Verantwortliche neben der DSGVO auch die gesamte Datenstrategie der EU berücksichtigen, um daraus mögliche Anforderungen an die Datensicherheit abzuleiten. Hier sind insbesondere der Data Governance Act und der Data Act zu nennen.
Der European Data Governance Act
Die EU-Kommission möchte mit Vorschriften für Daten-Governance dafür sorgen, dass in einem vertrauenswürdigen europäischen Rahmen das Potenzial der ständig wachsenden Datenbestände besser ausgeschöpft werden kann. Der Data Governance Act soll den unionsweiten Datenaustausch erleichtern und so den gesellschaftlichen Wohlstand mehren, sowohl den Bürgerinnen und Bürgern als auch den Unternehmen mehr Kontrolle über ihre Daten geben und deren Vertrauen stärken und als Alternative zur Praxis der großen Technologieplattformen ein alternatives europäisches Modell für den Umgang mit Daten bieten, wie die EU-Kommission erklärt.
Dazu die Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter, Margrethe Vestager: „Sie müssen nicht alle Daten teilen. Aber wenn Sie Daten teilen und diese sensibel sind, sollten Sie die Möglichkeit haben, dies in einer Weise zu tun, in der die Vertrauenswürdigkeit und der Schutz der Daten gewährleistet werden. Wir wollen Unternehmen, aber auch Bürgerinnen und Bürgern die Instrumente an die Hand geben, mit denen sie die Kontrolle über ihre Daten behalten. Auch wollen wir das Vertrauen schaffen, dass Daten im Einklang mit den europäischen Werten und Grundrechten behandelt werden.“
Wie in der Datenstrategie angekündigt, soll die Verordnung die Grundlage für eine neue europäische Art der Daten-Governance schaffen, die mit den Werten und Grundsätzen der EU, wie dem Schutz personenbezogener Daten (DSGVO), dem Verbraucherschutz und den Wettbewerbsvorschriften, im Einklang steht. Sie bietet eine Alternative zur Datenpraxis der großen Technologieplattformen, die sich mit ihren Geschäftsmodellen, die sich auf die Kontrolle großer Datenmengen stützen, eine große Marktmacht aneignen können.
Für Security-Verantwortliche ist es wichtig zu wissen, dass die Verordnung unter anderem vorsieht: eine Reihe von Maßnahmen zur Stärkung des Vertrauens in die gemeinsame Nutzung von Daten, da fehlendes Vertrauen derzeit ein großes Hindernis darstellt und hohe Kosten verursacht, die neuartige Funktion von Datenmittlern als vertrauenswürdige Organisatoren der gemeinsamen Datennutzung, sowie Mittel und Wege, mit denen Europäerinnen und Europäer die Kontrolle über die Nutzung der von ihnen erzeugten Daten erlangen können.
Offensichtlich kann ohne Security kein Vertrauen gestärkt werden, es kann keine vertrauenswürdigen Datenmittler geben und auch keine zuverlässige Kontrolle über die selbst erzeugten Daten.
Mit dem Daten-Governance-Gesetz werden deshalb Schutzvorkehrungen für Daten des öffentlichen Sektors und Datenvermittlungsdienste getroffen, um die unrechtmäßige internationale Übertragung nicht personenbezogener Daten oder den unrechtmäßigen internationalen Zugang von Regierungsorganisationen dazu zu vermeiden. Für personenbezogene Daten gibt es in der EU bereits ähnliche Schutzvorkehrungen im Rahmen der DSGVO.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Insbesondere kann die EU-Kommission auch hier Angemessenheitsbeschlüsse erlassen, mit denen erklärt wird, dass bestimmte Drittländer angemessene Sicherheitsvorkehrungen für die Nutzung von aus der EU übertragenen nicht personenbezogenen Daten bieten. Diese Beschlüsse würden den Angemessenheitsbeschlüssen für personenbezogene Daten im Rahmen der DSGVO ähneln.
Der European Data Act
Das Datengesetz (Data Act) ist ein weiterer Pfeiler der europäischen Datenstrategie. Die neuen Maßnahmen sollen die im November 2020 vorgeschlagene Verordnung über die Data Governance ergänzen. Während die Data Governance-Verordnung die Prozesse und Strukturen schafft, stellt das Datengesetz klar, wer aus den Daten und unter welchen Bedingungen Mehrwerte schaffen kann. Das Datengesetz soll Fairness gewährleisten, indem Regeln für die Nutzung von Daten festgelegt werden, die von Internet of Things (IoT)-Geräten generiert werden.
Margrethe Vestager, die für das Ressort „Ein Europa für das digitale Zeitalter“ zuständige Exekutiv-Vizepräsidentin der EU-Kommission, erklärte dazu: „Wir wollen Verbrauchern und Unternehmen noch mehr Mitspracherecht darüber einräumen, was mit ihren Daten geschehen darf, indem klargestellt wird, wer zu welchen Bedingungen Zugang zu den Daten hat. Dies ist ein zentraler Digitalgrundsatz, der zur Schaffung einer robusten und fairen datengesteuerten Wirtschaft beitragen und Leitsatz für den digitalen Wandel bis 2030 sein wird.“
Security-Verantwortliche sollten wissen: Das Datengesetz beinhaltet insbesondere Mittel für Behörden für den Zugang zu und die Nutzung von Daten im Besitz des Privatsektors, die unter besonderen Umständen und vor allem bei öffentlichen Notständen wie Überschwemmungen und Waldbränden benötigt werden oder aber zur Wahrnehmung eines rechtlichen Mandats, sofern Daten nicht anderweitig verfügbar sind, ebenso neue Vorschriften, damit Kunden effektiv wechseln können zwischen Anbietern von Cloud-Diensten, zudem führt der Data Act Schutzmaßnahmen gegen unrechtmäßige Datenübermittlungen ein.
Auch hier sind Security-Maßnahmen gefragt, um die Ziele des Data Acts auch erreichen zu können. Es zeigt sich: Die rechtlichen Vorgaben, die sich aus der Datenstrategie der EU ergeben, wie der Data Governance Act und der Data Act, sind genau wie die DSGVO ein Auftrag an die Security, denn nur mit den Maßnahmen der Datensicherheit kann man gewährleisten, dass Dritte nicht das verhindern, was man eigentlich in der EU erreichen will, eine selbstbestimmte Datenkontrolle und eine faire Datennutzung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/e4/fe/e4fedb09712f3edc9ad904fe22de2896/0128519765v1.jpeg "Der Data Act schafft neue Datenzugangsrechte. Unternehmen müssen technische Schutzmaßnahmen, DSGVO-Anforderungen und einheitliche TOMs verzahnen, um Datenbewegungen abzusichern. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/1c/db1c91cdd92a3c540a8a73e4ec127a59/0125796845v2.jpeg "Der EU Data Act schafft neue Möglichkeiten für den Datenzugang. Unternehmen und Behörden müssen jetzt den Zugang zu Daten gewähren und dabei zugleich die Datenschutzbestimmungen einhalten. (Bild: © sam richter - stock.adobe.com)")