NIS2-Deadline 17. Juli: 30.000 Unternehmen müssen sich registrieren

Das Datengesetz-Durchführungsgesetz ist am heutigen Samstag offiziell in Kraft getreten und verändert die Regularien für die Datenverarbeitung grundlegend. Deutsche Unternehmen müssen sich nun zwischen der DSGVO, der NIS2-Richtlinie und dem aufkommenden europäischen AI-Act zurechtfinden – eine echte Herausforderung.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Risikoklassifizierung und Dokumentation. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Anforderungen, Pflichten und Fristen des EU AI Acts. EU AI Act in 5 Schritten verstehen

Wer wacht über die Daten?

Mit der Umsetzung des Datengesetzes in Deutschland stehen die Aufsichtsstrukturen fest. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) übernimmt die Kontrolle für öffentliche Stellen in Hamburg. Für nicht-öffentliche Organisationen sind die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Dieser Schritt ist Teil eines europaweiten Trends zu strengerer Datenaufsicht und mehr digitaler Souveränität.

KI-Regulierung: Mehr Zeit für Hochrisiko-Systeme

Die Regulierung künstlicher Intelligenz nimmt ebenfalls konkrete Formen an. Der AI-Act gilt zwar bereits seit dem 1. August 2024, doch aktuelle Entwicklungen deuten auf eine Verschiebung der Fristen hin. Der Digital Omnibus on AI vom 7. Mai 2026 sieht eine vorläufige Verlängerung für Hochrisiko-KI-Systeme vor – etwa solche, die im Personalmanagement eingesetzt werden. Die neuen Pflichten sollen nun erst ab dem 2. Dezember 2027 greifen.

Die Durchsetzungsmechanismen werden derweil finalisiert. Die Bundesnetzagentur wird zur KI-Aufsichtsbehörde und kann ab August 2026 Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes verhängen. Das dürfte so manches Unternehmen ins Schwitzen bringen.

KI-Assistenten entlasten Unternehmen

Um den bürokratischen Aufwand der DSGVO zu bewältigen, setzen Firmen zunehmend auf Technologie. Berichte aus dem späten Mai 2026 zeigen: KI-Assistenten automatisieren Dokumentationen wie Verzeichnisse von Verarbeitungstätigkeiten (VVT) und Datenschutz-Folgenabschätzungen (DSFA). Organisationen, die diese Tools nutzen, berichten von Zeitersparnissen zwischen 60 und 75 Prozent. Allerdings betonen Experten: Solche Werkzeuge können keine professionelle rechtliche Bewertung ersetzen.

Trotz technischer Unterstützung bleiben präzise Dokumentationspflichten wie die Datenschutz-Folgenabschätzung ein kritisches Compliance-Thema, bei dem Fehler teuer werden können. Erfahren Sie in diesem kostenlosen E-Book, wie Sie eine rechtssichere DSFA erstellen und nutzen Sie die enthaltene Muster-Vorlage für Ihre Prozesse. Rechtssichere Datenschutzfolgenabschätzung in wenigen Schritten erstellen

Gerichte schaffen Klarheit bei Datentransfers

Einige aktuelle Urteile bringen Erleichterung für Unternehmen. Das Oberlandesgericht (OLG) München entschied am 11. Mai 2026: Die Datenverarbeitung durch soziale Netzwerke auf Basis von Standardvertragsklauseln (SCCs) ist nicht grundsätzlich rechtswidrig. Für Übermittlungen in die USA vor dem 10. Juli 2023 reichten Verschlüsselung und Transparenzberichte aus, um die Anforderungen des Artikels 46 DSGVO zu erfüllen – Schadensersatzansprüche nach Artikel 82 sind damit ausgeschlossen.

Das Landgericht (LG) Karlsruhe urteilte am 20. Mai 2026 in einem weiteren Fall: Transportverschlüsselung für E-Mail-Rechnungen genügt den Datenschutzstandards gegenüber Verbrauchern. Ende-zu-Ende-Verschlüsselung ist für solche Kommunikation nicht zwingend erforderlich. Der Fall betraf eine betrügerische Rechnung über Goldbarren im Wert von 110.000 Euro – das Gericht sah keinen DSGVO-bezogenen Schadensersatzanspruch, da nur die Bankdaten des Beklagten, nicht aber die persönlichen Daten der Kläger kompromittiert wurden.

Ein Urteil des Amtsgerichts (AG) Nürnberg vom Juli 2025 stellte zudem klar: Die DSGVO-Einwilligung kann freiwillig bleiben, selbst wenn sie mit einem Vertrag gekoppelt ist. Ein absolutes Kopplungsverbot gibt es nicht. Wer immateriellen Schadensersatz nach Artikel 82 fordert, muss konkrete, individuelle Schäden nachweisen.

Milliardenstrafen und Sicherheitslücken

Die Behörden zeigen Härte bei schwerwiegenden Verstößen. Eine 100-Millionen-Euro-Strafe wurde kürzlich gegen die Yandex-Tochter MLU B.V. (Yango) wegen unerlaubter Datentransfers nach Russland verhängt. Im Gesundheitssektor traf ein Datenleck beim Abrechnungsdienstleister Unimed mehr als 120.000 Patienten – darunter 54.000 in Freiburg und 30.000 in Köln. Die Kliniken haften als verantwortliche Stellen.

NIS2: Frist läuft ab

Für Betreiber kritischer Infrastrukturen rückt eine wichtige Deadline näher: Bis zum 17. Juli 2026 müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Der Anwendungsbereich der NIS2-Richtlinie hat sich massiv ausgeweitet – rund 30.000 Einrichtungen in Deutschland sind betroffen, zuvor waren es nur 4.500. Seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 haftet das Management persönlich für Cybersicherheitsversäumnisse und muss regelmäßig Schulungen absolvieren.

Unternehmen zwischen Pflicht und Frust

Datenschutz ist für 71 Prozent der Unternehmen mittlerweile fester Bestandteil der Geschäftsprozesse. Doch die Stimmung in der Branche zeigt wachsenden Unmut über die Komplexität der Umsetzung. Eine Bitkom-Umfrage vom Mai 2026 offenbart: 81 Prozent der Organisationen empfinden die DSGVO als Erschwernis für Geschäftsprozesse, 97 Prozent bewerten den Aufwand als hoch. Besonders bemerkenswert: 72 Prozent der befragten Firmen sind der Ansicht, dass die Datenschutzregeln in Deutschland im Vergleich zu anderen Regionen übermäßig streng angewendet werden.

de | wirtschaft | 69451124 |