Datenschutz & IT-Sicherheit –
Ihr Update September 2025

Betroffenenanfragen: Was Sie wissen müssen

„Ich möchte wissen, welche Daten Sie über mich verarbeiten" – diese Anfrage landet heute häufiger in Ihrem Postfach und wird dabei immer komplexer. Betroffene nutzen spezialisierte Rechtsdienstleister, stellen detaillierte Nachfragen oder lassen sich durch Dritte vertreten. Was früher eine einfache Standardantwort war, erfordert heute präzise Vorbereitung.

Die wichtigsten Herausforderungen:

Fristen richtig verstehen: Sie haben einen Monat Zeit ab Antragseingang – aber „unverzüglich" bedeutet nicht „einen Monat lang Zeit lassen".  Nach einer Woche ohne besondere Umstände ist grundsätzlich keine Unverzüglichkeit mehr gegeben. Bei komplexen Anfragen können Sie die Frist um zwei weitere Monate verlängern, aber nur mit konkreter Begründung.

Identitätsprüfung – wann ein Ausweis nötig ist: Bei Betroffenenanfragen reicht oft bereits eine einfache Identitätsprüfung über die dem Unternehmen bekannten Daten aus. Ein zusätzlicher Identitätsnachweis (wie Personalausweis) ist nur erforderlich, wenn begründete Zweifel an der Identität bestehen.

Dies ist insbesondere der Fall bei:

• Anfragen über unbekannte E-Mail-Adressen oder Kanäle
• Verdacht auf Identitätsmissbrauch
• Wenn nur wenige identifizierende Informationen vorliegen
• Bei besonders sensiblen Daten

Verfügen Sie beispielsweise bereits über Anschrift und Telefonnummer des Betroffenen, ist damit normalerweise eine hinreichend sichere Identifizierung möglich.

Vertretungsregelungen: Betroffene können sich vertreten lassen – aber nur mit entsprechender Vollmacht. Eine pauschale Ablehnung ist nicht zulässig. Bei Vertretung zusätzlich zur Identitätsprüfung des Vertreters benötigen Sie immer eine gültige Vollmacht. Eine normale Anwaltsvollmacht enthält bereits die Befugnis, Erklärungen gegenüber Behörden und Unternehmen abzugeben und zu empfangen.

Ihr praktisches Vorgehen:

➡️ Prozesse definieren: Legen Sie fest, wer in Ihrem Unternehmen Betroffenenanfragen bearbeitet und sorgen Sie für klare Zuständigkeiten.

➡️ Dokumentation sicherstellen: Halten Sie alle Schritte schriftlich fest – das hilft bei Nachfragen oder Beschwerden.

Bei offensichtlich missbräuchlichen oder übermäßigen Anfragen können Sie Grenzen ziehen – aber jede Anfrage muss geprüft werden.

Eine verspätete Auskunft kann teuer werden. Auskunftsanfragen können komplex sein, besonders dann, wenn Datenkopien verlangt werden. Leiten Sie diese Anfragen gerne direkt und unverzüglich via info@vicotec.de an uns weiter, um Schadensersatz und Bußgelder zu vermeiden.

Barrierefreiheitsgesetz (BFSG) – Was seit 28. Juni 2025 gilt, in einfach

Zugegeben: Das ist kein klassisches Datenschutz- oder IT-Sicherheitsthema. Aber wir erhalten dazu regelmäßig Anfragen – und da das Gesetz seit dem 28. Juni 2025 anzuwenden ist, nutzen wir die Gelegenheit, unser Wissen mit Ihnen zu teilen.

Das Barrierefreiheitsstärkungsgesetz (BFSG) ist jetzt anzuwenden und verpflichtet erstmals Teile der Privatwirtschaft, bestimmte Produkte und Dienstleistungen barrierefrei zu gestalten:

• Online-Shops und E-Commerce-Apps, die sich direkt an Endverbraucher richten
• Bankdienste und Telekommunikation
• Digitale Produkte wie Smartphones oder E-Book-Leser
• Selbstbedienungsterminals wie Bezahlterminals, Ticketautomaten oder Check-in-Geräte

Wen betrifft das konkret?

Dienstleistungen: Gilt für Angebote für Endverbraucher (B2C). Kleinstunternehmen (unter 10 Mitarbeitende und ≤ 2 Mio. € Umsatz) sind bei reinen Dienstleistungen ausgenommen.

Produkte: Auch Kleinstunternehmen müssen barrierefreie Produkte bereitstellen, wenn sie in den BFSG-Katalog fallen.

Websites/Apps: Betroffen, wenn darüber betroffene Dienstleistungen angeboten werden – etwa der Shop-Checkout.

Was Sie jetzt tun sollten – zwei schnelle Schritte:

1. Kundenseite prüfen: Lässt sich der Kauf auch ohne Maus abschließen? Stimmen Schriftgrößen/Lesbarkeit, Kontraste und gibt es Alternativtexte für Produktbilder?
2. Checkout-Prozess optimieren: Klarer Fokus, verständliche Fehlermeldungen, Tastaturbedienung möglich, Buttons eindeutig beschriftet.

Unser Tipp: Nutzen Sie vorhandene Prüfansätze wie den BITV-Test und planen Sie Verbesserungen in kleinen Etappen.

⚠️ Wichtig: Bei Verstößen drohen Bußgelder. Im schlimmsten Fall kann die Abschaltung der Website oder des Online-Shops angeordnet werden.

Hilfreiche Quellen: Bundesfachstelle Barrierefreih... und  BFSG-Leitfaden des BMAS

Microsoft 365: EU-Souveränität entpuppt sich als Illusion

Wenn Versprechen auf die Realität treffen, wird es manchmal unangenehm – besonders unter Eid. Der Chefjurist von Microsoft Frankreich, Anton Carniaux, musste am 10. Juni 2025 vor dem französischen Senat eine Wahrheit aussprechen, die das Unternehmen jahrelang zu verschleiern suchte: Microsoft kann nicht garantieren, dass US-Behörden keinen Zugriff auf europäische Kundendaten erhalten – selbst wenn diese ausschließlich in EU-Rechenzentren verarbeitet werden.

Paradoxe Entwicklung

Besonders brisant: Während Microsoft unter Eid zugeben musste, keine Garantien gegen US-Zugriffe geben zu können, stellte der EU-Datenschutzbeauftragte im Juli 2025 das Verfahren gegen die EU-Kommission wegen deren Microsoft 365-Nutzung ein. Grund: Die EU Data Boundary sei ausreichend. Datenschutzexperten sprechen von einer reinen Papierlösung – die Vereinbarungen seien nur auf dem Papier wirksam, technisch habe sich nichts geändert.

Was bedeutet das konkret für Ihr Unternehmen?

Ihre Daten in Microsoft 365, Azure oder anderen US-Cloud-Diensten können jederzeit von amerikanischen Behörden angefordert werden – ohne Ihr Wissen und ohne Widerspruchsmöglichkeit. Das betrifft nicht nur Geschäftsdaten, sondern auch Personaldaten Ihrer Mitarbeitenden und Kundendaten. Microsoft hat sogar im September 2025 ein neues Data Protection Addendum (Datenschutznachtrag) veröffentlicht, das explizit Schutzmaßnahmen für den Fall enthält, dass EU-Behörden aufgefordert werden, Microsoft-Dienste zu stoppen.

➡️ Prüfen Sie Ihre Cloud-Strategie und bewerten Sie Alternativen. Dokumentieren Sie, welche Daten Sie in US-Clouds verarbeiten, und entwickeln Sie Szenarien für mögliche Zugriffe. Bei kritischen Daten sollten Sie europäische Alternativen oder lokale Lösungen in Betracht ziehen.

Quick-Hinweise – relevante Infos für Ihre IT-Ansprechpartner

Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) hat 200 Webseiten des Bundes automatisiert geprüft und dabei 40 Verstöße bei YouTube-Einbindungen ohne Einwilligung festgestellt.

➡️ Tipp: Überprüfen Sie Ihre Website auf eingebettete Videos und stellen Sie sicher, dass vor dem Laden eine Einwilligung eingeholt wird.

Google schloss am 17. September eine kritische Zero-Day-Lücke (CVE-2025-10585) in der V8-JavaScript-Engine, die bereits aktiv ausgenutzt wird. Es ist die sechste Chrome-Zero-Day-Schwachstelle in 2025

➡️ Tipp: Sofort auf Chrome-Version 140.0.7339.185/.186 aktualisieren. Prüfen Sie automatische Updates und sensibilisieren Sie Nutzer für verdächtige Webseiten.

Am 25. September 2025 warnte Cisco vor drei kritischen Schwachstellen (CVE-2025-20333, CVE-2025-20362, CVE-2025-20363) in ASA/FTD-Firewalls und IOS-Systemen. Zwei davon werden bereits aktiv ausgenutzt – bisher erfolgreich nur bei Geräten ohne Secure Boot. Auch das britische NCSC-UK bestätigte erfolgreiche Kompromittierungen.

➡️ Tipp: Sofort verfügbare Cisco-Updates installieren und Secure Boot aktivieren, falls verfügbar. Geräte ohne Secure Boot-Unterstützung prioritär prüfen und austauschen.