EU-Druck auf Kommunen: Datenschutz und IT-Sicherheit im Umbruch

Neue EU-Vorgaben, schärfere Kontrollen und die Bedrohung durch KI-gestützte Cyberangriffe zwingen Städte, Gemeinden und kommunale Betriebe zum raschen Handeln. Die Fristen drängen.

Neuer EU-Druck: Standardisierte Risikobewertung und Transparenz

Am 15. April startete die Europäische Datenschutzkonferenz (EDPB) eine europaweit koordinierte Offensive. Im Fokus stehen die Transparenzpflichten der DSGVO (Artikel 12-14). 25 nationale Aufsichtsbehörden werden mit Fragebögen und Untersuchungen prüfen, ob Organisationen Betroffenen klare und zugängliche Informationen bieten. Für Kommunen, die von Sozialdaten bis zur Verkehrssteuerung eine Flut personenbezogener Daten verwalten, bedeutet dies verschärfte Kontrollen. Die Ergebnisse werden im zweiten Halbjahr 2026 erwartet.

Die neuen Prüfungen der Aufsichtsbehörden machen eine lückenlose Dokumentation unverzichtbar. Mit dieser kostenlosen Muster-Vorlage und Checkliste erstellen Datenschutzbeauftragte eine rechtssichere Datenschutz-Folgenabschätzung im Handumdrehen. Muster-DSFA und Checklisten jetzt kostenlos herunterladen

Parallel stellte die EDPB eine neue, standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DSFA) vor. Obwohl nicht verpflichtend, soll sie europaweit einheitliche Bewertungen bei risikoreichen Datenverarbeitungen – wie in Smart-City-Projekten – gewährleisten. Eine öffentliche Konsultation läuft bis zum 9. Juni.

Die Dringlichkeit unterstreichen die Jahresberichte deutscher Landesdatenschützer. In Baden-Württemberg gingen 2025 über 7.600 Beschwerden ein – ein Plus von 90 Prozent. In Hessen stiegen sie um 58 Prozent auf über 6.000. Die Behörden betonen: Künstliche Intelligenz ist sowohl häufiger Anlass für Beschwerden als auch ein Werkzeug, das das Melden für Bürger erleichtert. Der öffentliche Sektor müsse seine Prozesse für die Meldung von Datenschutzverletzungen dringend stärken.

NIS2-Umsetzung: Kommunen hinken bei Meldepflicht hinterher

Im Bereich Cybersicherheit zeigt sich ein alarmierendes Bild. Trotz der Umsetzung der NIS2-Richtlinie im deutschen BSI-Kritis-Gesetz vom 5. Dezember 2025 haben Tausende betroffene Organisationen die Meldepflicht verpasst. Bis zur Frist am 6. März 2026 hatten sich laut Branchenberichten nur 4.856 von schätzungsweise 29.000 meldepflichtigen Einrichtungen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registriert. Das betrifft viele Stadtwerke und kommunale Dienstleister.

Das Versäumnis ist riskant, denn die Haftung wurde massiv verschärft. Cybersicherheit ist nun direkte Führungsaufgabe. Wer angemessene Risikomanagement-Maßnahmen vernachlässigt oder die Meldetermine verpasst – eine erste Warnung bei größeren Vorfällen muss binnen 24 Stunden erfolgen – riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. In Polen, wo NIS2 seit 3. April gilt, drohen Managern sogar persönliche Strafen in Höhe von bis zu 300 Prozent ihres Monatsgehalts.

Die rasant steigenden Cyberrisiken und neuen Gesetze wie NIS2 stellen Verantwortliche vor enorme Herausforderungen. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken proaktiv schließen und gleichzeitig die aktuellen rechtlichen Anforderungen ohne großes Budget erfüllen. IT-Sicherheits-Leitfaden für Unternehmen kostenlos anfordern

Der Druck ist immens: Das BSI verzeichnet täglich über 320.000 neue Schadprogrammvarianten. Der Digitalverband Bitkom schätzt den jährlichen Schaden für die deutsche Wirtschaft auf rund 203 Milliarden Euro.

Infrastruktursicherheit: SAP erhält BSI-Zertifikat für Behörden-Cloud

Auf der Suche nach konformen Lösungen rückt die zugrundeliegende Infrastruktur in den Fokus. Am 16. April gab SAP bekannt, dass seine Rechenzentren in Walldorf und St. Leon-Rot das IT-Grundschutz-Zertifikat des BSI auf Basis von ISO 27001 erhalten haben. Diese Zertifizierung ist ein Kernstück sogenannter souveräner Cloud-Angebote und ermöglicht die Verarbeitung sensibler Behördeninformationen bis zur Geheimhaltungsstufe „VS-NfD“.

Auch der Privatsektor passt sich an. So kündigte Cisco am 15. April an, für seine Webex-Suite in den kommenden Monaten Datenresidenz im Vereinigten Königreich anzubieten. Für Kommunen eröffnen sich so mehr Optionen für konforme Kommunikationstools.

Doch in anderen Bereichen digitaler Compliance herrscht Nachholbedarf. Eine Analyse von über 5.400 deutschen Websites durch accessibleAI ergab: Keine einzige erreichte volle Konformität mit den WCAG 2.2 AA-Standards für Barrierefreiheit. Dabei drohen Bußgelder bis 100.000 Euro – für öffentliche Portale, die gesetzlich barrierefrei sein müssen, ein dringender Handlungsauftrag.

KI als Bedrohung und Verteidigungswaffe

Die Dringlichkeit aller Sicherheitsmaßnahmen wird durch neue KI-Risiken befeuert. Forschungen am unveröffentlichten KI-Modell „Claude Mythos“ von Anthropic zeigten im April 2026 beunruhigende Fähigkeiten zur Identifizierung von Software-Schwachstellen. In Tests des UK AI Security Institute absolvierte das Modell 22 von 32 Schritten eines simulierten Netzangriffs erfolgreich. Das BSI warnt: Solche Modelle senken die Einstiegshürde für Angreifer erheblich.

Diese „Schwachstellen-Flut“ hat die durchschnittliche Zeit zwischen der Entdeckung einer Lücke und ihrer Ausnutzung 2026 auf unter einen Tag verkürzt – 2019 lag sie noch bei über zwei Jahren. Als Gegenmaßnahme empfehlen neue Sicherheitsrahmenwerke des SANS Institute und der Cloud Security Alliance die Einrichtung einer „Vulnerability Operations“-Funktion (VulnOps) binnen zwölf Monaten. Die Idee: Verteidiger müssen mehr Rechenleistung für die Suche nach Schwachstellen aufwenden als Angreifer für deren Ausnutzung.

Ausblick: Doppel-Herausforderung für kommunale IT

Mit dem Inkrafttreten des EU-KI-Gesetzes im August 2026 steht der öffentliche Sektor vor der Zwickmühle, sich gegen KI-gestützte Angriffe zu wehren und gleichzeitig KI-gestützte Verteidigung einzusetzen. Eine Umfrage unter über 500 Führungskräften im April zeigt das Dilemma: Zwar fürchten 85 Prozent KI-basierte Attacken, aber nur 19 Prozent priorisieren aktuell Investitionen in KI-Sicherheit.

Die rechtlichen Anforderungen werden weiter steigen. Die Ankündigung der EU-Kommission, dass ihre Altersverifikations-App technisch bereitsteht, läutet eine neue Ära im Identitätsmanagement ein. Für kommunale IT-Verantwortliche wird es in den kommenden Monaten darauf ankommen, einen „Privacy-Led UX“-Ansatz zu verfolgen. Datenschutz darf nicht nur eine einmalige Einwilligungshürde sein, sondern muss zu einer kontinuierlichen, transparenten Beziehung mit dem Bürger werden.

de | boerse | 69171080 |