EU verschärft Cloud-Regulierung: Neue Fristen und Standards für Microsoft 365

Ein Bündel neuer Gesetze und Standards verändert die Anforderungen an den Betrieb von Microsoft 365 und ähnlichen Plattformen grundlegend – mit weitreichenden Folgen für Compliance und Datensouveränität.

Die Verabschiedung des „Digital Omnibus“ Anfang Mai 2026 hat die regulatorische Landschaft neu geordnet. Das Paket passt die Fristen des EU AI Act an und gibt Unternehmen mehr Zeit für die Umstellung. Hochriskante KI-Systeme müssen erst ab Dezember 2027 vollständig konform sein – für sicherheitsrelevante Komponenten in regulierten Produkten gilt sogar August 2028.

Angesichts der neuen Fristen und strengen Regeln für Hochrisiko-Systeme benötigen Unternehmen jetzt einen klaren Fahrplan für ihre KI-Compliance. Dieser kompakte Leitfaden erklärt die wichtigsten Pflichten der EU-KI-Verordnung und hilft Ihnen, rechtlich auf der sicheren Seite zu bleiben. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Doch die Atempause täuscht. Bereits im Dezember 2026 treten strikte Verbote für KI-Systeme in Kraft, die nicht einvernehmliche sexuelle Inhalte oder Kindesmissbrauchsmaterial erzeugen. Auch die Kennzeichnungspflicht für KI-generierte Inhalte – etwa durch Wasserzeichen – wird dann fällig.

Kleine und mittlere Unternehmen mit bis zu 750 Mitarbeitern und einem Jahresumsatz von rund 150 Millionen Euro profitieren von vereinfachten Verfahren. Sie müssen hochriskante Systeme jedoch weiterhin in einer zentralen EU-Datenbank registrieren.

BSI setzt neue Maßstäbe für digitale Souveränität

Deutschland geht mit dem neuen C3A-Kriterienkatalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) voran. Der Standard, der Ende April 2026 veröffentlicht wurde, baut auf dem bestehenden C5-Framework auf und misst die digitale Souveränität von Cloud-Diensten in sechs Dimensionen.

Der Zeitpunkt ist kein Zufall: Marktforscher stellten fest, dass 32 Prozent der europäischen Unternehmen 2025 einen Vorfall im Zusammenhang mit Datensouveränität erlebten. IT-Abteilungen verbringen inzwischen rund 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben – oft müssen sie bis zu fünf verschiedene Sicherheitsstandards gleichzeitig managen.

Für Microsoft-365-Administratoren bedeutet der C3A-Standard vor allem eines: präzise Konfiguration bei Datenaufbewahrung und administrativem Zugriff. Die Bundesregierung unterstreicht die Dringlichkeit mit der Initiative „CyberGovSecure“, die am 5. Mai 2026 startete und die digitale Infrastruktur öffentlicher Stellen härten soll.

Tech-Souveränitätspaket: Europa auf Konfrontationskurs?

Die EU-Kommission bereitet für den 27. Mai 2026 ein „Tech Sovereignty Package“ vor. Kernstück könnte der „Cloud and AI Development Act“ (CADA) sein, der formelle Beschränkungen für US-amerikanische Cloud-Anbieter bei sensiblen Regierungsdaten vorsieht.

Betroffen wären voraussichtlich Daten aus den Bereichen Finanzen, Justiz und Gesundheitswesen. Zwar zielen die Maßnahmen derzeit primär auf den öffentlichen Sektor, doch sie signalisieren einen breiteren Trend zur europäischen technologischen Unabhängigkeit.

Parallel dazu läuft die Evaluierung des Digital Markets Act (DMA). Die EU-Kommission stellte am 28. April 2026 fest, dass das Gesetz bei der Regulierung von „Gatekeepern“ – darunter große US-Tech-Konzerne – wirksam sei. Kritiker verweisen jedoch auf anhaltende Lücken bei Cloud- und KI-Transparenz.

Google warnte kürzlich, dass vorgeschlagene EU-Datenteilungspflichten unter dem DMA zu Re-Identifikationsrisiken führen könnten. Interne Tests zeigten, dass Personen in vermeintlich anonymisierten Datensätzen in weniger als zwei Stunden identifiziert werden konnten.

Gerichte präzisieren Datenschutzvorgaben

Mehrere Urteile aus dem Frühjahr 2026 haben die Rechtslage konkretisiert. Der Europäische Gerichtshof (EuGH) entschied im März, dass ein Auskunftsersuchen nach Artikel 15 DSGVO als „übermäßig“ gelten kann, wenn es rein missbräuchlichen Zwecken dient – die Beweislast liegt jedoch hoch.

In einem Fall gegen eine Microsoft-Tochter reichte die Datenschutzorganisation Noyb in Österreich Beschwerde gegen LinkedIn ein. Streitpunkt: Die Plattform verweigert Nutzern die Information, wer ihre Profile besucht hat, bietet dieselben Daten aber zahlenden Premium-Mitgliedern an.

Das Verwaltungsgericht Düsseldorf urteilte am 21. Januar 2026 zum „Recht auf Löschung“ (Artikel 17): Ein Unternehmen darf personenbezogene Daten nicht sofort nach Eingang eines Auskunftsersuchens löschen. Die Daten müssen zur Bearbeitung des Antrags aufbewahrt werden – vorzeitiges Löschen verletzt das Rechenschaftsprinzip der DSGVO.

Compliance wird zum Kostentreiber

Die finanzielle Belastung wächst rasant. Weltweit erreichten Cyberangriffe 2026 einen neuen Höchststand mit durchschnittlich 2.090 Attacken pro Woche. Die durchschnittlichen Kosten eines Datenlecks liegen bei 4,88 Millionen US-Dollar – im Finanzsektor sogar bei 6,08 Millionen.

Während die Kosten für Datenlecks steigen, nehmen Hacker gezielt kleine und mittelständische Unternehmen ins Visier. Dieses Gratis-E-Book enthüllt aktuelle Bedrohungstrends und zeigt, wie Sie Ihre IT-Sicherheit auch ohne riesiges Budget nachhaltig stärken. Cyber Security E-Book kostenlos anfordern

Besonders alarmierend: Rund 65 Prozent der Datenlecks gehen auf interne Akteure zurück. Das unterstreicht die Notwendigkeit robuster Zugriffskontrollen in Systemen wie Microsoft 365. Cybersecurity-Experten prognostizieren zudem, dass KI-gesteuertes Phishing bis Jahresende mehr als 42 Prozent aller Angriffe ausmachen wird.

Allein in Deutschland kosten „Know Your Business“-Prüfungen die Unternehmen schätzungsweise 5,6 Milliarden Euro jährlich. KI und Automatisierung könnten diese Kosten zwar um 15 bis 20 Prozent senken, doch die Anfangsinvestitionen bleiben eine Hürde.

Ausblick: Was Unternehmen jetzt tun müssen

Bis zur endgültigen Verabschiedung des AI Act Omnibus am 2. August 2026 und dem Tech-Souveränitätspaket Ende Mai müssen Unternehmen ihre Cloud-Strategie aktiv gestalten. Besonders kritisch: KI-Systeme in den Bereichen Personalwesen, Bildung und kritische Infrastruktur unterliegen ab Dezember 2027 der strengsten „Hochrisiko“-Prüfung.

Administratoren müssen sich zudem auf häufigere grenzüberschreitende Datenanfragen einstellen. Das Gesetz zur Umsetzung der E-Evidence-Verordnung (EBewMG) erlaubt Strafverfolgungsbehörden, Dienstleister direkt zu kontaktieren – mit Antwortzeiten von nur acht Stunden in Notfällen. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro oder zwei Prozent des globalen Jahresumsatzes.

Der 27. Mai 2026 wird zum Richtungsentscheid: Die Ankündigung der EU-Kommission könnte die Grenzen für sensible Datenspeicherung in US-gehosteten Cloud-Suiten neu definieren und eine grundlegende Neubewertung der digitalen Architektur erzwingen.

de | wirtschaft | 69295925 |