Cybersicherheit: NIS2-Richtlinie begründet persönliche Haftung für Geschäftsführer

Die Sicherheit elektronischer Kommunikation rückt angesichts neuer Regulierungen und einer Flut von Cyberangriffen in den Fokus deutscher Unternehmen. Auf der „State of Security“-Konferenz in Berlin warnten Experten am Mittwoch vor allem vor KI-gestützter Cyberkriminalität, die Phishing und Ransomware auf ein neues Niveau hebt. Für die Geschäftsführung wird das Thema zur persönlichen Haftungsfrage.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen die psychologischen Tricks der Hacker schützen kann. In 4 Schritten zum sicheren Unternehmen

Strenge Grenzen für interne Kündigungsmitteilungen

Die Datenschutzbehörden haben die Spielregeln für interne Kommunikation präzisiert. Der Tätigkeitsbericht 2025 des Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg stellt klar: Die interne Bekanntgabe eines Mitarbeiter-Austritts ist nur in engen Grenzen erlaubt.

Zwar dürfen Kollegen über das Ausscheiden informiert werden – die konkreten Gründe für die Kündigung bleiben jedoch tabu. Eine Ausnahme gilt lediglich bei betriebsbedingten Kündigungen im Rahmen von Umstrukturierungen. Auch mündliche Aussagen über Kündigungsgründe fallen unter das Bundesdatenschutzgesetz (BDSG). Die Aufsichtsbehörden haben bereits Verwarnungen an Unternehmen ausgesprochen, die diese Vertraulichkeitsstandards in ihrer internen Kommunikation missachtet haben.

Business Email Compromise: Die teure Gefahr aus dem Posteingang

Wie dringend der Schutz der Kommunikationskanäle ist, zeigen aktuelle Zahlen. Eine Bitkom-Studie für 2025 belegt: 87 Prozent der deutschen Unternehmen waren von Cybervorfällen betroffen, der Gesamtschaden belief sich auf 289,2 Milliarden Euro. Zwar sank der durchschnittliche Schaden pro Einzelfall auf rund 116.000 Euro, dafür stieg die Angriffshäufigkeit um drei Prozent.

Besonders alarmierend: 58 Prozent aller erfassten Cybervorfälle entfallen auf Business Email Compromise (BEC) oder betrügerische Überweisungen. Gleichzeitig legten Lösegeldforderungen durch Ransomware um 47 Prozent zu. Diese Zahlen bekommen eine neue Brisanz durch die NIS2-Richtlinie, die Anfang 2026 in Kraft trat. Sie begründet eine persönliche Haftung der Geschäftsführung bei Sicherheitsversäumnissen – etwa beim Versäumnis, Multi-Faktor-Authentifizierung oder Notfallpläne zu implementieren.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert neben Cyberrisiken auch empfindliche Strafen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den nötigen Überblick über Fristen und Pflichten. EU AI Act in 5 Schritten verstehen

KI-Integration: Wenn der Chatbot zum Datenschutzrisiko wird

Die Verbreitung großer Sprachmodelle schafft neue Risiken für den Datenschutz am Arbeitsplatz. Eine Studie vom Mai 2026 zeigt: Selbst leistungsstarke KI-Modelle wie Claude 4.8 erfüllen nur 54 Prozent der Anforderungen aus EU-AI-Act und DSGVO. Zwar verbesserte sich die aktuelle Version deutlich bei Mathematik- und Programmieraufgaben – bei rechtlichen Compliance-Tests bleiben jedoch Schwächen.

Um sensible Daten nicht ungewollt an externe KI-Anbieter zu übermitteln, veröffentlichte das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI) im Juni 2026 das Open-Source-Tool Privacy Guardrail. Die Browser-Erweiterung erkennt und anonymisiert vertrauliche Informationen lokal auf dem Rechner des Nutzers – noch bevor sie an Dienste wie ChatGPT, Claude oder Gemini gesendet werden. Dieser lokale Ansatz soll verhindern, dass Unternehmensdaten über webbasierte Kommunikationsschnittstellen nach außen gelangen.

AOK-Panne: Wenn die Technik falsche Löschbestätigungen verschickt

Die Folgen technischer Pannen in der automatisierten Kommunikation zeigte zuletzt ein Vorfall bei der AOK Niedersachsen. Ende Mai 2026 versandte die Krankenkasse aufgrund eines technischen Fehlers bei einer Systemumstellung fälschlicherweise Löschbestätigungen für elektronische Patientenakten (ePA). Obwohl weniger als 0,21 Prozent der Versicherten betroffen waren, musste die Kasse umfangreiche Korrekturschreiben verschicken.

Der Fall erinnert an die strengen Meldefristen der DSGVO: Gemäß Artikel 33 muss jede Datenschutzverletzung, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Bei Verstößen drohen empfindliche Bußgelder nach Artikel 83 – besonders dann, wenn Unternehmen notwendige Sicherheitsmaßnahmen versäumen oder die Meldefristen nach einem Vorfall ignorieren.

de | wirtschaft | 69480429 |