Datenschutz-Reform: Neue BDSG-Regeln seit 30. Mai für Mittelstand

Seit dem 30. Mai 2026 gilt das Bundesdatenschutzgesetz (BDSG) in neuer Fassung – und bringt weitreichende Pflichten für den Mittelstand mit sich. Die Reform fällt zeitlich mit der Umsetzung der NIS2-Richtlinie durch das IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0) zusammen. Unternehmen müssen nun Datenschutz und IT-Sicherheit in Einklang bringen – oder mit empfindlichen Strafen rechnen.

Lücken in der Dokumentation können Unternehmen laut neuem BDSG und DSGVO bis zu 2 % des Jahresumsatzes kosten. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Wer kontrolliert, wer haftet

Mit Inkrafttreten des neuen BDSG Ende Mai hat die Bundesnetzagentur (BNetzA) die Aufsicht über private Unternehmen übernommen. Für nicht-öffentliche Stellen bleibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Die neue Regelung sieht klare Sanktionen vor: Firmen mit einem Jahresumsatz von über 250 Millionen Euro drohen Bußgelder von bis zu zwei Prozent des weltweiten Umsatzes. Ziel ist ein einheitlicher Standard für den Umgang mit Daten in der gesamten deutschen Wirtschaft.

Datenschutz ist nicht gleich IT-Sicherheit

Ein häufiges Missverständnis: Datenschutzkonzept und IT-Sicherheitskonzept sind nicht dasselbe. Ersteres dient als Nachweis der DSGVO-Konformität, letzteres beschreibt technische Maßnahmen zum Schutz aller Unternehmensdaten. Experten raten, zuerst das IT-Sicherheitskonzept zu erstellen – es bildet die Grundlage für alle weiteren Dokumentationen.

Die Dringlichkeit dieser Maßnahmen zeigt sich in aktuellen Umfragen: 42 Prozent der Unternehmen weltweit und 52 Prozent in Deutschland sehen Cyberangriffe als größtes Geschäftsrisiko im Jahr 2026. Organisationen wie ITSec4KMU und das Bundesamt für Cybersicherheit (BACS) haben für Anfang Juni Informationsveranstaltungen angekündigt, um den Mittelstand über Phishing, Ransomware und CEO-Betrug aufzuklären.

NIS2: Strengere Regeln für kritische Infrastrukturen

Durch das IT-SiG 3.0 gelten in Deutschland verschärfte Melde- und Sorgfaltspflichten. Betroffen sind Unternehmen mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren wie Energie und Gesundheitswesen. Sie müssen sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren.

Da die Geschäftsführung nun persönlich für die Überwachung der Sicherheitsmaßnahmen haftet, wird proaktiver Schutz vor Cyberangriffen zur Chefsache. Erfahren Sie im kostenlosen E-Book, wie Sie Sicherheitslücken ohne teure Investitionen schließen und neue gesetzliche Anforderungen erfüllen. Gratis-E-Book: IT-Sicherheit stärken und Haftungsrisiken minimieren

Ein zentraler Punkt: das menschliche Risikomanagement. Die Geschäftsführung ist nun persönlich für die Überwachung der Maßnahmen verantwortlich. Bei Verstößen drohen Strafen von bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes. Konkret nötig sind etwa Hintergrundchecks bei Mitarbeitern, Überprüfungen von Dienstleistern und regelmäßige Wiederholungsprüfungen.

Lieferketten unter Druck

Die Komplexität des Datenmanagements in Lieferketten ist massiv gestiegen. Branchendaten zeigen: 30 Prozent aller Sicherheitsvorfälle im Jahr 2025 betrafen Dritte – doppelt so viele wie noch 2024. Unternehmen fordern zunehmend Sicherheitsnachweise von ihren Zulieferern über den gesamten Datenlebenszyklus hinweg.

Besonders heikel: unstrukturierte Daten wie E-Mails und Dokumente. Das betrifft vor allem Dienstleister wie Steuerberater, bei denen strenge DSGVO-Löschpflichten (Artikel 5 und 17) oft mit gesetzlichen Aufbewahrungsfristen von sechs bis zehn Jahren kollidieren. Eine Prüfung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) aus dem Jahr 2024 ergab: Über 60 Prozent der geprüften Unternehmen hatten keine dokumentierten Aufbewahrungs- und Löschfristen.

KI: Großes Potenzial, große Lücken

Künstliche Intelligenz rangiert in Deutschland auf Platz vier der Geschäftsrisiken für 2026. Doch die Einhaltung von DSGVO und EU AI Act bleibt für Entwickler eine Herausforderung. Eine Studie von Aithos zeigt: Kein einziges großes KI-Modell erfüllt derzeit alle gesetzlichen Anforderungen. Der Spitzenreiter Claude Opus 4.7 erreicht lediglich 54 Prozent, Googles Gemini kommt auf magere zehn Prozent.

Auch die Integration bereitet massive Probleme. Eine Befragung von 150 Führungskräften ergab: 49 Prozent gescheiterter KI-Projekte sind auf mangelnde Abstimmung zwischen IT, Fachabteilungen und Compliance zurückzuführen. 95 Prozent aller generativen KI-Pilotprojekte scheitern in der Integrationsphase. Nur sieben Prozent der Unternehmen geben an, ihre Datenlandschaft sei vollständig für KI bereit. Besonders brisant: Architektur- und Ingenieurbüros riskieren strafrechtliche Konsequenzen nach § 203 StGB, wenn sie vertrauliche Mandantendaten über ungesicherte KI-Systeme verarbeiten.

de | wirtschaft | 69465574 |