Cybersicherheit, Compliance & Governance
Aktuelle Einblicke aus unseren spezialisierten Tools für NIS2, ISO 27001, BSI IT-Grundschutz, AI Governance, DORA und GDPR.
KI-Agenten unter DSGVO und AI Act: Wenn die Software entscheidet und handelt, wer ist verantwortlich?
Ein LLM beantwortet eine Frage. Ein Agent liest, plant, ruft Werkzeuge auf und handelt — über Systeme hinweg, die Sie nie in Ihrer DSFA aufgeführt haben. Der Agent ist kein rechtlicher Akteur; Sie sind es. Warum Zweckbindung, Art. 22 und Werkzeugzugriff nach dem Least-Privilege-Prinzip darüber entscheiden, ob ein autonomer Workflow rechtmäßig ist oder ein offener Befund.
Der AVV ist ein Versprechen, keine Kontrolle: Einen KI-Anbietervertrag darauf lesen, was er tatsächlich bindet
Ein unterzeichneter AVV nach Art. 28 ist für sich genommen keine operative Kontrolle — er weist die Verantwortung für den Datenschutz zu, entlang einer Unterauftragsverarbeiter-Kette, die bei einem KI-Anbieter mehrere Parteien tief in die US-Gerichtsbarkeit reichen kann. Warum der Verantwortliche für die gesamte Kette rechenschaftspflichtig bleibt, was der Vertrag benennen muss und wie man einen AVV auf die Lücken liest, über die er schweigt.
Fine-Tuning mit den eigenen Daten: Warum „Wir hosten es selbst“ die falsche Hälfte des DSGVO-Problems löst
Selbst-Hosting kann die Drittlandübermittlungs-Exposition verringern, lässt aber das schwierigere Problem unberührt: Sobald personenbezogene Daten die Gewichte beeinflusst haben, ist die Löschung auf Anfrage derzeit schwer zu verifizieren und kann Neutraining, Unlearning oder Ausgabekontrollen von ungewisser Zuverlässigkeit erfordern. Berechtigtes Interesse ist keine Voreinstellung — es ist ein dreistufiger Test, für den der EDSA eine hohe Hürde setzt. Warum die Rechtsgrundlage vor dem Training feststehen muss, nicht danach.
ChatGPT, Copilot oder Gemini: Was geschieht mit personenbezogenen Daten in dem Moment, in dem Sie sie in eine KI eingeben?
Jeder Prompt ist eine Verarbeitung — und oft eine Drittlandübermittlung. Der AVV lässt sie nicht verschwinden, und auf Verbraucher- oder kostenlosen Diensten kann der Name Ihrer Kollegin zur Dienst- oder Modellverbesserung verwendet werden, sofern Einstellungen, temporärer Modus oder Business-/Enterprise-Bedingungen dies nicht ausschließen. Warum die Frage nicht lautet, welche KI Sie nutzen, sondern wer liest, was Sie eingegeben haben — und was sie behalten dürfen.
AWS, GCP oder Azure: Reichen Pseudonymisierung und ein Customer-Managed Key für die DSGVO-Compliance aus?
Nicht gegen den CLOUD Act und FISA 702 — jedenfalls nicht, solange eine Frage offen bleibt: Wo liegt der Schlüssel? Warum kundenseitige Schlüsselhoheit, nicht die Geografie und nicht der Name des Anbieters, die Trennlinie ist.
Die Tochtergesellschafts-Falle: Warum Ihr Unternehmen unbemerkt in den NIS2-Anwendungsbereich fallen kann
Der NIS2-Anwendungsbereich von Grund auf erklärt: die zwei Filter Sektor und Größe, die EU-KMU-Definition, die Konsolidierungsmethode nach Artikel 6 für verbundene (> 50 %) und Partnerunternehmen (25–50 %), sieben durchgerechnete Szenarien und die Unterscheidung zwischen wesentlichen und wichtigen Einrichtungen — wie Sie korrekt ermitteln, ob die Richtlinie für Ihre Organisation gilt.
Microsoft 365 Dilemma: Ist Microsoft 365 wirklich DSGVO-konform?
Eine aktuelle Bestandsaufnahme zur DSGVO-Konformität von Microsoft 365: DSK-Festlegung 2022, EDPS-Verfahren gegen die EU-Kommission und der HBDI-Bericht 2025 — was sich rechtlich geändert hat und was Verantwortliche heute prüfen müssen.
Ein CISO wäre fast ins Gefängnis gekommen, weil er einen Sicherheitsvorfall vertuschte
Der Joe-Sullivan-Fall von Uber zeigt, was die NIS2-Richtlinie und § 38 BSIG für die persönliche Haftung der Geschäftsleitung tatsächlich bedeuten — und warum diese amerikanische Geschichte nun Europas Vorlage ist.
NIS2 ist keine weitere Vorschrift. Sie entscheidet, wer nach einem Sicherheitsvorfall den Posten verliert.
Wie NIS2 die Verantwortung für Cybersicherheits-Governance von der organisationalen zur persönlichen Haftung verschiebt — und was Artikel 20, §38 BSIG und das deutsche NIS2UmsuCG für die Geschäftsleitung wesentlicher und wichtiger Einrichtungen bedeuten.
Was ist ein KI-System im regulatorischen Kontext?
Definition, Geltungsbereich und operative Governance-Konsequenzen nach EU AI Act und ISO/IEC-Standards. Warum die Klassifizierung Ausgangspunkt aller regulatorischen Pflichten ist.
DPIA vs. FRIA: Das doppelte Tor der EU für Hochrisiko-KI-Compliance
Wie das DSGVO-Datenschutz-Audit und die Grundrechtsprüfung des AI Act tatsächlich zusammenwirken — und warum die populären LinkedIn-Infografiken gefährlich falsch liegen.