SAP und Co. im Daten-Dilemma: Neue Regeln fordern Unternehmen heraus

Unternehmen müssen ihre Informationsflüsse neu ordnen, um hohe Strafen und Reputationsschäden zu vermeiden.

Infrastruktur im Fokus: Der Kampf um digitale Souveränität

Ein zentraler Pfeiler ist die physische Sicherheit der Rechenzentren. Mitte April 2026 gab SAP bekannt, die IT-Grundschutz-Zertifizierung für seine deutschen Rechenzentren in Walldorf und St. Leon-Rot erhalten zu haben. Diese Bestätigung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist ein wichtiges Signal für Konzerne, die sensible Daten verarbeiten.

Denn die Anforderungen sind hoch: Moderne Cloud-Portfolios wie die SAP Sovereign Cloud müssen Informationen bis zur Geheimhaltungsstufe „VS-NfD“ (Verschlusssache – Nur für den Dienstgebrauch) schützen können. Zertifizierungen nach Standards wie C5 Type II und NIS2 werden damit zum entscheidenden Kriterium bei der Wahl der IT-Infrastruktur.

Angesichts steigender regulatorischer Anforderungen und komplexer Bedrohungslagen ist ein proaktiver Schutz der Unternehmens-IT für Geschäftsführer heute unerlässlich. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen. Neue KI-Gesetze und Cyberrisiken: Jetzt Gratis-Report anfordern

Der Markt reagiert auf diesen Druck. Analysten von Gartner prognostizieren für 2026 ein globales Marktvolumen für Cybersicherheit von rund 240 Milliarden US-Dollar. Das entspricht einem Wachstum von 12,5 Prozent. Die Investitionen fließen in resiliente Systeme, die gegen immer raffiniertere Angriffe gewappnet sein müssen.

NIS2: Der große Schock für IT-Abteilungen

Die regulatorische Schraube wurde am 18. April 2026 noch einmal angezogen. In Belgien starteten die ersten Audits nach der neuen NIS2-Richtlinie. Diese EU-weite Regelung hat in Deutschland den Kreis der betroffenen Unternehmen von etwa 2.000 auf über 30.000 ausgeweitet.

Die neuen Pflichten sind umfangreich: Systematisches Risikomanagement und strenge Meldefristen für Sicherheitsvorfälle sind jetzt verpflichtend. Der Aufwand ist enorm. Das BSI hat mit IT-Grundschutz++ zwar eine neue, datenorientierte Methodik eingeführt, die den bürokratischen Aufwand reduzieren soll. Doch die Konsequenzen bei Verstößen sind drastisch.

Unternehmen drohen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent ihres weltweiten Jahresumsatzes. Noch gravierender: Die NIS2-Richtlinie führt eine persönliche Haftung für Vorstände und Geschäftsführer ein. Cybersicherheit ist damit endgültig Chefsache geworden und kein rein technisches Problem mehr.

Transparenzpflichten: Wenn Gehälter und Datenrechte offengelegt werden müssen

Während NIS2 den Schutz von Daten regelt, legen andere Gesetze fest, wie mit ihnen umzugehen ist. Ein Urteil des Bundesgerichtshofs (BGH) vom 24. Februar 2026 stellt klar: Das Auskunftsrecht nach der DSGVO geht nicht automatisch auf einen Forderungskäufer über. Das bremst Geschäftsmodelle von Legal-Tech-Firmen, die auf Massendatenverarbeitung setzen.

Gleichzeitig steht die nächste große Offenlegungswelle bevor. Bis zum 7. Juni 2026 muss die EU-Pay-Transparency-Richtlinie national umgesetzt sein. Sie verpflichtet Arbeitgeber mit mehr als 100 Beschäftigten, regelmäßig über Gehaltsstrukturen zu berichten.

Große Unternehmen mit mindestens 150 Mitarbeitern müssen ihre ersten Daten bis Juni 2027 vorlegen. Für die Bewältigung dieser komplexen Datenströme empfehlen Experten dedizierte Datenschutz-Management-Systeme (DMS). Konzerne wie Bertelsmann haben hierfür bereits formalisierte Prozesse etabliert.

Neben Transparenzpflichten stellt vor allem die korrekte Dokumentation nach Art. 30 DSGVO viele Betriebe vor große Herausforderungen. Mit dieser kostenlosen Excel-Vorlage und der zugehörigen Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen

KI: Fluch und Segen für die Compliance

Künstliche Intelligenz wird zum zweischneidigen Schwert. Einerseits helfen Tools wie OpenAI’s GPT-5.4-Cyber Sicherheitsexperten dabei, Schwachstellen schneller zu identifizieren. Andererseits schafft der Einsatz von KI selbst neue regulatorische Risiken.

Eine Koalition aus 15 Wirtschaftsverbänden forderte die EU Mitte April 2026 auf, die Regeln im „Digital Omnibus“ zu vereinfachen. Sie plädieren für eine längere Übergangsfrist bei KI-Kennzeichnungspflichten und Ausnahmen für nicht-hochriskante Systeme.

Die größte Gefahr bleibt jedoch der Mensch. Verbraucherschützer warnten am 16. April 2026 vor raffinierteren Phishing-Angriffen auf Bankkunden. Eine Studie von ESET zeigt eine gefährliche Diskrepanz: Zwar fühlen sich 87 Prozent der US-Kleinunternehmen gegen Angriffe gewappnet, aber mehr als die Hälfte hatte im letzten Jahr einen Sicherheitsvorfall.

Ausblick: Der lange Weg zur Compliance-Hygiene

Für Unternehmen geht es 2026 und 2027 darum, strikte Compliance mit wirtschaftlicher Effizienz in Einklang zu bringen. Politische Rufe nach weniger Bürokratie und flexibleren Datenschutzregeln werden lauter.

Doch der regulatorische Fahrplan bleibt voll. Ab September 2026 greifen neue Meldepflichten des Cyber Resilience Act, dessen Kernanforderungen bis Dezember 2027 verbindlich werden. Wer die „Security-by-Design“-Prinzipien ignoriert, riskiert seine CE-Zertifizierung und damit den Zugang zum europäischen Markt.

Die rechtssichere Steuerung interner Datenströme ist zu einer vielschichtigen Disziplin geworden. Sie vereint hochsichere Infrastruktur, robuste Rechtsrahmen und eine klare KI-Governance. Das Ziel ist nicht mehr nur die Vermeidung von Strafen, sondern der Aufbau einer widerstandsfähigen „Compliance-Hygiene“, die die wertvollsten Informationsassets des Unternehmens schützt.

de | boerse | 69189183 |