Unser Datenschutz-Update im Mai 2026
In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den Mai 2026.
1. Nachrichten aus der Welt des Datenschutzes
C5 Kriterienkatalog 2026 – Was kleine IT-Unternehmen jetzt wissen müssen
Das BSI hat den C5-Kriterienkatalog grundlegend überarbeitet. Was für Großkonzerne eine Pflichtübung ist, wird für wachsende KMU im Cloud-Bereich zunehmend zum entscheidenden Wettbewerbsvorteil, oder zur Einstiegshürde.
Seit dem 7. April 2026 ist er da: der Cloud Computing Compliance Criteria Catalogue in der Version 2026, kurz C5:2026. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat damit den bisher gültigen Katalog von 2020 abgelöst – und das nicht ohne Grund. NIS-2, ISO/IEC 27001:2022, neue Bedrohungslagen: Die Cloud-Welt hat sich gedreht, der Kriterienkatalog zieht nach.
Für viele kleine und mittlere IT-Unternehmen klingt „C5-Testat“ nach einer Angelegenheit, die nur AWS, Azure und Co. betrifft. Falsch gedacht. Wer als SaaS-Anbieter, Softwarehaus oder kleiner Cloud-Dienstleister an Unternehmenskunden oder öffentliche Auftraggeber verkaufen will, stößt früher oder später auf eine schlichte Frage in der Ausschreibung: „Verfügen Sie über ein C5-Testat?“
Wer ist eigentlich gemeint?
Der C5 richtet sich explizit an Cloud-Anbieter – also an alle, die Cloud-Dienste bereitstellen. Das schließt ein:
SaaS-Anbieter: Sie betreiben eine Plattform, auf der Kundendaten liegen? Dann sind Sie ein Cloud-Anbieter im Sinne des C5.
Softwareentwickler: Wer Managed Services, APIs oder Dev-Plattformen für Unternehmenskunden hostet, fällt in den Geltungsbereich.
Kleine Cloud-Unternehmen: Nischen-IaaS, Hosting-Spezialisten oder Infrastrukturanbieter für regulierte Branchen – C5 ist hier oft die Zugangsvoraussetzung.
Was hat sich im C5:2026 konkret geändert?
Die Überarbeitung ist umfangreich. Besonders relevant für KMU sind diese Bereiche:
Asset Management (neu): Hard- und Softwareinventare müssen systematisch geführt werden. Kein Nice-to-have mehr, sondern ein Pflichtkriterium.
Physische Sicherheit: Auch Homeoffice und kleine Büros sind jetzt explizit erfasst – Zugangskontrollen, Sichtschutz und sichere Entsorgung stehen im Fokus.
Entwicklungsprozesse (DEV): Es gibt neue Kriterien zu Outsourcing, Testumgebungen, Drittkomponenten und zur Transparenz über eingesetzte Software (SBOM).
Vorfallsmanagement: Pläne für Sicherheitsvorfälle müssen dokumentiert vorgehalten werden. Es reicht nicht mehr, dass sie nur „im Kopf existieren“.
Dienstleisterkontrolle: Datenflüsse zu Sub-Dienstleistern müssen transparent gemacht und kontrolliert werden. Extrem relevant für alle, die auf AWS, Azure oder anderen Hyperscalern aufbauen.
Container Management: Wer Docker, Kubernetes und Co. einsetzt, findet nun dedizierte Kriterien. Es werden klare Richtlinien und deren Implementierung gefordert.
Muss ich jetzt sofort ein C5-Testat beantragen?
Nein. Aber Sie sollten wissen, was auf Sie zukommt.
Ein C5-Testat ist keine gesetzliche Pflicht. Es ist ein Nachweis, den Kunden und Auftraggeber zunehmend einfordern. Besonders in der öffentlichen Verwaltung, im Gesundheitswesen und bei regulierten Finanzunternehmen.
Wer heute schon ein C5:2020-Testat hat, bekommt vom BSI eine Übergangsfrist eingeräumt. Die wichtigsten Meilensteine laut Migrationsleitfaden:
Jetzt (April/Mai 2026): Der C5:2026 ist offiziell erschienen. Da er stark auf internationale Kompatibilität (wie das europäische EUCS-Schema) setzt, liegt er aktuell nur auf Englisch vor. Die deutsche Übersetzung sowie die offiziellen Kreuzreferenztabellen folgen im Laufe von Q2/2026.
28. Februar 2027: Ab hier müssen bei laufenden Prüfungen zusätzliche Informationen über den geplanten Kriterienwechsel bereitgestellt werden.
1. Juni 2027: Harter Stichtag – Typ-1-Testate müssen auf C5:2026 umgestellt sein; Typ-2-Betrachtungszeiträume müssen nach dem neuen Standard starten.
Was man wissen sollte: Eine Mischung aus C5:2020- und C5:2026-Kriterien innerhalb eines Testats ist nicht zulässig.
Was bedeutet das praktisch für Ihr Unternehmen?
Gerade für KMU mit begrenzten Ressourcen lohnt sich ein strategischer Blick: Viele der neuen C5:2026-Anforderungen überschneiden sich stark mit den Anpassungen der ISO/IEC 27001:2022. Wer ohnehin plant, ein ISMS aufzubauen oder seine ISO-Zertifizierung zu erneuern, kann beide Vorhaben effizient zusammendenken und Synergien nutzen.
Konkrete Empfehlungen für den Einstieg:
Gap-Analyse durchführen: Prüft eure aktuellen Prozesse gegen die C5:2026-Kriterien – viele Anforderungen erfüllen Sie vielleicht schon informell.
Datenflüsse dokumentieren: Wo fließen Kundendaten hin? Welche Sub-Dienstleister sind beteiligt? Das ist jetzt explizit Pflicht.
Policies schriftlich fassen: Viele KMU leben von implizitem Wissen. Der C5 verlangt dokumentierte Richtlinien für Kryptografie, Vorfälle, Entwicklung und mehr.
Fazit: Chance oder Pflicht?
Der C5:2026 ist mehr als ein reines Compliance-Dokument. Er spiegelt wider, was professionelle Cloud-Sicherheit im Jahr 2026 bedeutet. Für KMU, die in größere Ökosysteme hineinwachsen wollen, sei es als Zulieferer von Enterprise-Kunden, als Auftragnehmer der öffentlichen Hand oder als Teil regulierter Lieferketten, ist die Auseinandersetzung mit dem Katalog keine Kür mehr.
Die gute Nachricht: Ein C5-Testat ist kein Sprint, sondern ein strukturierter Prozess. Wer früh anfängt, die eigene Dokumentation, das Asset Management und die Entwicklungsprozesse aufzuräumen, legt gleichzeitig das Fundament für nachhaltiges Wachstum – und verschafft sich einen echten Wettbewerbsvorteil gegenüber Mitbewerbern, die das Thema noch vor sich herschieben.
Mehr dazu finden Sie hier: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/C5_2025/C5_2025_node.html
Die EU-App zur Altersverifizierung: ein misslungener Start
Großer Auftritt, schnelle Ernüchterung: Die EU-Kommission wollte mit ihrer neuen Altersverifizierungs-App Jugendschutz und Datenschutz ideal vereinbaren. Sicherheitsforscher brauchten jedoch keine zwei Minuten, um die App zu hacken.
Am 15. April 2026 stellte EU-Kommissionspräsidentin Ursula von der Leyen die neue EU-App zur Altersverifizierung vor. Das Versprechen: Jugendschutz im Netz, ohne die Privatsphäre der Nutzer zu opfern. Wenige Stunden später demonstrierte der Sicherheitsforscher Paul Moore auf X, wie er das System in unter zwei Minuten kompromittierte.
Was schiefgelaufen ist
Ungesicherter PIN: PIN-Codes werden unzureichend geschützt gespeichert und sind leicht auslesbar.
Rate-Limits umgehbar: Angriffssperren lassen sich durch simples Zurücksetzen einer Konfigurationsdatei aushebeln.
Biometrie deaktivierbar: Die biometrische Authentifizierung lässt sich mit einem einzigen Klick abschalten.
Geräteteilung ungeklärt: Wer das Telefon entsperren kann, kann die App auch für andere nutzen, z. B. jüngere Geschwister.
Der Kryptologe Olivier Blazy brachte es auf den Punkt: Wenn ein Erwachsener sein Telefon entsperrt dalässt, kann jedes Kind die App nutzen, um sich als volljährig auszuweisen. Der französische Hacker Baptiste Robert bestätigte Moores Befunde unabhängig.
„Dieses Produkt wird der Katalysator für einen gewaltigen Datenabfluss sein.“, sagt Paul Moore, Sicherheitsforscher.
Die Reaktion der Kommission
Brüssel reagierte ausweichend: Zunächst hieß es, die Hacker hätten eine veraltete Demoversion getestet – was diese bestritten. Dann die Klarstellung, auch die öffentlich zugängliche „finale Version“ sei noch eine Demo. Das eigentliche Endprodukt werde erst später veröffentlicht. Eine klare Ansage zu den Sicherheitslücken blieb aus.
Was das für die IT-Branche bedeutet
Der Fall ist kein Einzelproblem einer schlecht getesteten App. Er berührt grundlegende Fragen, die auch für Unternehmen in der Cloud- und SaaS-Welt relevant sind:
Open Source schützt nicht vor schlechtem Code. Dass die Lücken so schnell gefunden wurden, ist dem offenen Quellcode zu verdanken – aber der Code selbst entsprach laut Experten nicht den erwarteten Sicherheitsstandards. Transparenz ist kein Ersatz für solide Implementierung.
Hinzu kommt ein strategisches Problem: Die App wird parallel zur bereits geplanten EUDI-Wallet aufgebaut, weicht dabei aber in wichtigen Sicherheitsmerkmalen von den dort gesetzten Standards ab. Experten fragen sich zu Recht, warum doppelte Infrastruktur für ein Problem gebaut wird, das bestehende Lösungen besser lösen könnten.
Tibor Jager von der Uni Wuppertal gibt zu bedenken, dass technische Barrieren wie Altersverifikation durch VPN-Dienste trivial zu umgehen sind. Sein Plädoyer: weniger Technik-Pflaster, mehr digitale Bildung.
Fazit
Ein überstürzter Launch kostet mehr als Schlagzeilen – er kostet Vertrauen. Gerade in einem Bereich wie der digitalen Identität, wo das kommende EUDI-Wallet auf breite Akzeptanz angewiesen ist, können solche Vorfälle langfristigen Schaden anrichten. Für IT-Unternehmen ist das eine bekannte Lektion: Security by Design ist kein Bonus-Feature, das man nachliefern kann.
2. Entscheidungen des Monats
Videoüberwachung von Beschäftigten: Was ein Bußgeld von 900.000 EUR lehrt
Das OLG Celle hat im Dezember 2025 das Bußgeld gegen notebooksbilliger.de wegen unzulässiger Videoüberwachung von Beschäftigten auf 900.000 EUR festgesetzt. Der Fall zeigt: Wer hier schludert, riskiert nicht nur Geldbußen – sondern auch strafrechtliche Konsequenzen.
Videoüberwachung am Arbeitsplatz ist kein Randthema. Viele Unternehmen setzen Kameras zur Diebstahlsprävention, Qualitätssicherung oder aus Sicherheitsgründen ein – ohne dabei alle rechtlichen Fallstricke zu kennen. Der Fall notebooksbilliger.de illustriert, wie teuer das werden kann.
Der Fall: Von 10,4 Mio. auf 900.000 EUR
OLG Celle, Beschluss vom 18.12.2025 (Az. 3 ORbs 113/25)
Die Landesbeauftragte für Datenschutz Niedersachsen hatte 2021 ein Bußgeld von 10,4 Mio. EUR wegen Verstößen bei der Videoüberwachung von Beschäftigten verhängt. Der Weg durch die Instanzen war lang.
2021: Bußgeldbescheid der LfD Niedersachsen über 10,4 Mio. EUR
Erstinstanz (LG Hannover): Herabsetzung auf 700.000 EUR
Dezember 2025 (OLG Celle): Moderate Anhebung auf 900.000 EUR nach Rechtsbeschwerde der Staatsanwaltschaft
Das Ergebnis: Auch nach jahrelangem Rechtsstreit und einer drastischen Reduktion gegenüber dem ursprünglichen Bescheid bleibt ein sechsstelliges Bußgeld. Für viele Unternehmen wäre das existenzbedrohend.
Warum Videoüberwachung von Beschäftigten so heikel ist
Anders als bei der Überwachung öffentlicher Bereiche greift die Kamera am Arbeitsplatz tief in Persönlichkeitsrechte ein. Die zentrale Rechtsgrundlage ist § 26 BDSG in Verbindung mit der DSGVO. Vereinfacht gilt: Eine dauerhafte Überwachung ohne konkreten Anlass ist unzulässig. Selbst bei dokumentiertem Verdacht auf Straftaten sind die Anforderungen hoch.
Besonders heikel wird es, wenn Kameras auch Ton aufzeichnen. Das ist nicht nur ein datenschutzrechtliches Problem, es ist potenziell strafbar.
§ 201 StGB: heimliche Tonaufnahmen sind eine Straftat.
Wer das nichtöffentlich gesprochene Wort anderer Personen ohne deren Wissen aufzeichnet, macht sich strafbar, unabhängig davon, ob die Kamera datenschutzrechtlich zulässig wäre. Audiofunktionen an Überwachungskameras müssen grundsätzlich deaktiviert sein.
Auch die Einwilligung der Beschäftigten hilft in der Praxis kaum weiter. Wegen des Abhängigkeitsverhältnisses im Arbeitsverhältnis gilt eine solche Einwilligung datenschutzrechtlich selten als freiwillig und damit als unwirksam.
Was Unternehmen konkret beachten müssen
Datenschutzfolgenabschätzung (DSFA): Bei der Überwachung von Beschäftigten in der Regel verpflichtend – vor der Installation durchführen.
Mildere Mittel prüfen: Stichproben, Zugangskontrollen oder Inventarprozesse müssen als Alternativen geprüft und dokumentiert werden.
Audiofunktion deaktivieren: Keine Ausnahme, kein „erstmal testen“: Tonaufzeichnung ist zu unterlassen – strafrechtliches Risiko.
Transparente Information: Zweck, Umfang, Dauer und Empfänger der Aufnahmen müssen den Beschäftigten klar kommuniziert werden.
Kurze Speicherfristen: Aufnahmen so schnell wie möglich löschen – in der Regel nach wenigen Tagen, sofern kein Anlass besteht.
Betriebsrat einbinden: Videoüberwachung ist mitbestimmungspflichtig – der Betriebsrat muss frühzeitig beteiligt werden.
Fazit
Der Fall notebooksbilliger.de ist kein Ausreißer – er ist eine Warnung. Selbst wenn ein ursprünglich hohes Bußgeld durch Gerichte deutlich reduziert wird: Jahre des Rechtsstreits, Reputationsschäden und am Ende noch 900.000 EUR sind kein gutes Ergebnis. Wer Videoüberwachung im Betrieb plant oder bereits betreibt, sollte die bestehenden Installationen kritisch prüfen – insbesondere auf aktive Audiofunktionen und fehlende Dokumentation. Datenschutz-Compliance ist hier kein bürokratischer Selbstzweck, sondern handfeste Risikovermeidung.
Mehr dazu finden Sie hier: https://www.dsgvo-portal.de/gerichtsentscheidungen/2025-12-18-OLGCE-3-ORbs-113-25-Datenschutzbeauftragter-Videoüberwachung-Bußgeld-2690.php
KI-Transparenzpflichten ab August 2026: Was IT-Unternehmen jetzt wissen müssen
Die EU-Kommission hat den lang erwarteten Leitlinienentwurf zu Art. 50 der KI-Verordnung (KI-VO) veröffentlicht. Dieser Artikel regelt streng, wann und wie sich KI-Systeme zu erkennen geben müssen. Für viele IT-Unternehmen und KMU beginnt die Uhr am 2. August 2026 offiziell zu ticken.
Wer ein Chatbot-Produkt betreibt, generative KI in seine Plattform integriert oder KI-Assistenten für Endkunden anbietet, steht vor einer konkreten Compliance-Aufgabe.
Wichtig für Schnellentschlossene: Die öffentliche Konsultationsfrist läuft nur noch bis zum 3. Juni 2026. Bis dahin können Unternehmen Stellungnahmen zum Leitlinienentwurf einreichen und Praxiserfahrungen einbringen.
Was Art. 50 KI-VO konkret verlangt
Der Artikel enthält vier Transparenzpflichten, die je nach Art des KI-Systems unterschiedliche Akteure treffen:
|
Artikel |
Systemtyp |
Wer muss handeln? |
Was ist zu tun? |
|
Art. 50(1) |
Interaktive KI (Chatbots, Assistenten) |
Betreiber / Anbieter |
Nutzer beim ersten Kontakt klar über KI-Interaktion informieren. |
|
Art. 50(2) |
Generative KI (Text, Bild, Audio, Video) |
Anbieter |
Inhalte maschinenlesbar kennzeichnen (z. B. Metadaten). |
|
Art. 50(3) |
Emotionserkennung & Biometrie |
Betreiber |
Betroffene Personen vorab transparent informieren. |
|
Art. 50(4) |
Deepfakes & KI-Texte (öffentl. Interesse) |
Veröffentlicher / Betreiber |
KI-Ursprung sichtbar für den Endnutzer kennzeichnen. |
Wer ist betroffen? (Anbieter vs. Betreiber)
Die Leitlinien unterscheiden strikt zwischen Anbietern (Entwickler, die Systeme auf den Markt bringen) und Betreibern(Unternehmen, die Systeme im eigenen Kontext einsetzen).
Gerade im KMU-Bereich verschwimmen diese Grenzen oft: Wer einen Standard-Chatbot einkauft, ihn mit eigenen Daten trainiert und auf der eigenen Plattform für Kunden bereitstellt, nimmt oft beide Rollen gleichzeitig ein.
Typische Szenarien im IT-Sektor:
Chatbot- & Assistenzlösungen: Jede direkte Interaktion mit Nutzern fällt unter Art. 50(1). Ein Hinweis auf die KI-Natur ist Pflicht – AGB-Klauseln allein genügen nicht.
Bildgeneratoren & Medienwerkzeuge: Outputs müssen maschinenlesbar markiert werden. Laut aktuellem Stand der Technik reicht dafür eine einzelne Methode (wie ein einfaches sichtbares Wasserzeichen) oft nicht aus; es braucht tiefere Metadaten.
Content-Plattformen & Blogs: KI-generierte Texte zu öffentlichen Themen müssen gekennzeichnet werden – es sei denn, ein Mensch hat die redaktionelle Verantwortung und die echte inhaltliche Kontrolle behalten.
KI-Agenten & Automatisierungen: Sogenannte Agentic AI-Systeme, die autonom mit Nutzern interagieren oder Inhalte erzeugen, fallen ebenfalls voll in den Geltungsbereich – selbst wenn keine klassische Chat-Oberfläche existiert.
Der 3-Punkte-Check für Ihr Unternehmen:
Bieten Sie Kunden einen Chatbot oder Support-KI auf Ihrer Website an?
Generiert Ihre Software automatisch Texte, Bilder oder Code für Endnutzer?
Integrieren Sie KI-Schnittstellen (APIs) von Drittanbietern in Ihre eigenen Produkte? Wenn Sie mindestens einmal „Ja“ sagen, betrifft Sie der 2. August 2026 direkt.
Wichtige Klarstellungen aus den neuen Leitlinien
Obwohl die Leitlinien nicht rechtsverbindlich sind, dienen sie Gerichten und Behörden als Auslegungshilfe. Für IT-Unternehmen bringen sie drei entscheidende Erkenntnisse:
Der Kontext zählt: Der Hinweis auf die KI darf nicht im Kleingedruckten versteckt werden. Er muss direkt im Interaktionskontext erscheinen. Generische Begriffe wie „digitaler Assistent“ ohne den Zusatz „KI“ oder „künstliche Intelligenz“ erfüllen die Pflicht nicht.
Die Bagatellgrenze: Reine Grammatikkorrekturen oder technische Datenkompressionen sind ausgenommen. Wer jedoch Texte inhaltlich umschreibt, Bilder semantisch verändert oder Stimmen klont, überschreitet die Grenze zur „wesentlichen Änderung“ und muss kennzeichnen.
Kein Open-Source-Privileg: Open-Source-Systeme sind von den Transparenzpflichten des Art. 50 nicht automatisch befreit. Wer ein solches System modifiziert und anbietet, steht in der Pflicht.
Fazit und nächste Schritte
Drei Monate bis zur Anwendbarkeit im August sind in der Softwareentwicklung eine kurze Zeit. Wer KI-Produkte für den europäischen Markt entwickelt oder betreibt, sollte jetzt drei Dinge tun:
Audit: Alle eigenen und genutzten KI-Systeme erfassen und den Absätzen von Art. 50 zuordnen.
UI/UX anpassen: Designer und Entwickler mit der Erstellung von transparenten Hinweisen und Metadaten-Kennzeichnungen beauftragen.
Die eigene Stimme erheben: Nutzen Sie die verbleibende Zeit bis zum 3. Juni 2026, um über die offizielle Konsultation Feedback zu unpraktischen Hürden im Entwurf einzureichen..
Mehr dazu finden Sie hier: https://digital-strategy.ec.europa.eu/de/library/draft-guidelines-implementation-transparency-obligations-certain-ai-systems-under-article-50-ai-act
3. Das schreiben die Anderen zum Datenschutz
Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Externer Datenschutzbeauftragter
Ihre Ansprechperson
Dr. Sonja Detlefsen
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Was sind „EULA“, und wer braucht sie eigentlich?
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- AGB-Änderungen im laufenden Vertrag – Teil 1: Voraussetzungen