BDSG-Reform: Bundesrat beschließt One-Stop-Shop für Datenschutz
Veröffentlicht: 13.07.2026 um 20:04 Uhr, Redaktion boerse-global.de
Juli einen Gesetzentwurf zur Modernisierung des BDSG verabschiedet. Ziel ist es, die Rechtsanwendung für Unternehmen und NGOs zu vereinfachen. Kernpunkt: Die Datenschutzkonferenz (DSK) soll eine gesetzliche Grundlage für verbindliche Mehrheitsbeschlüsse erhalten. Jedes Bundesland und der Bund bekommen dabei jeweils eine Stimme.
Für bundesweit aktive Konzerne und länderübergreifende Forschungsprojekte ist ein „One-Stop-Shop“ vorgesehen. Die Zuständigkeit liegt dann bei der Behörde des Bundeslandes, in dem das Unternehmen den höchsten Umsatz erzielt oder die meisten Mitarbeiter beschäftigt. Zudem gilt ein „Einer-für-Alle-Prinzip“: Einmal geprüfte Systeme sollen bundesweit als genehmigt gelten. Reagiert eine Behörde nicht innerhalb eines Monats auf einen Antrag zur Zuständigkeitsfeststellung, gilt diese automatisch. Der Entwurf geht nun an den Bundestag.
Stuttgarter Impulse für mehr Koordination
Ergänzend legten die Datenschutzaufsichtsbehörden der Länder heute zehn Modernisierungsvorschläge vor. Die „Stuttgarter Impulse“ setzen auf gestärkte Koordination statt Zentralisierung. Gefordert werden ein zentrales digitales Portal und eine gemeinsame Entscheidungsdatenbank. Der Reformdruck ist enorm: Allein 2025 wurden bundesweit über 60.000 Beschwerden registriert.
NIS-2: Fristen, Bußgelder und persönliche Haftung
Neben dem Datenschutz rückt die IT-Sicherheit in den Fokus. Die NIS-2-Richtlinie ist seit Dezember 2025 in Kraft und betrifft rund 29.500 Unternehmen in Deutschland. Die Registrierungsfrist beim BSI lief zwar am 6. März ab, doch bis zum 31. Juli stehen weitere Meldefristen an.
Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes. Besonders brisant für den Mittelstand: die persönliche Haftung der Geschäftsführung. Die Chefetage muss Schulungen zu Cybersicherheit und Incident Response absolvieren, die gesamte Belegschaft regelmäßige Sensibilisierungstrainings.
Cyber Resilience Act: Meldeketten unter Zeitdruck
Ab dem 11. September verschärft der Cyber Resilience Act (CRA) die Anforderungen. Aktiv ausgenutzte Schwachstellen müssen innerhalb von 24 Stunden als Frühwarnung gemeldet werden. Eine vollständige Meldung hat nach 72 Stunden zu erfolgen, der Abschlussbericht nach 14 Tagen – bei schweren Vorfällen spätestens nach einem Monat. Bei Missachtung drohen Sanktionen von bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes.
Wer bei länderübergreifenden Projekten die neue One-Stop-Shop-Regelung nutzen will, findet in diesem Report die entscheidende Checkliste – von der Zuständigkeitsfeststellung bis zum Notfallplan für CRA-Meldefristen. Jetzt kostenlosen Compliance-Report anfordern
Produktion im Visier der Angreifer
Besonders das produzierende Gewerbe steht unter Druck. Rund 87 Prozent der deutschen Unternehmen sind von Cyberangriffen betroffen, der jährliche Gesamtschaden liegt bei fast 290 Milliarden Euro. Etwa 73 Prozent dieser Angriffe zielen gezielt auf Produktions- und Informationssysteme. Externe Sicherheitsdienstleistungen gewinnen daher massiv an Bedeutung.
Gesundheitssektor: Veraltete Systeme, hohe Risiken
Im Gesundheitswesen verschärft veraltete Infrastruktur die Lage. Ein Branchenexperte für IT-Sicherheit in Kliniken weist auf ein grundlegendes Problem hin: Steuerrechtliche Aufbewahrungsfristen von 10 Jahren und medizinische Dokumentationspflichten von bis zu 30 Jahren stehen im krassen Gegensatz zur tatsächlichen Lebensdauer von Hard- und Software. Fehlende Budgets und Personalmangel erschweren die Modernisierung – obwohl Krankenhäuser als kritische Infrastrukturen unter den Schutz von NIS-2 fallen. Wohlfahrtsverbände fordern daher eine feste Refinanzierung von IT-Sicherheitsmaßnahmen in den Pflegesätzen.
Biometrie unter strengeren Auflagen
Der Europäische Datenschutzausschuss (EDPB) hat Anfang Juli die Leitlinien für Videoüberwachung verschärft. KI-gestützte Gesichtserkennung im öffentlichen Raum unterliegt nun strengeren Anforderungen nach Artikel 9 der DSGVO. Eine Verarbeitung biometrischer Daten ist nur mit ausdrücklicher Einwilligung zulässig – auch wenn keine Referenzdatensätze vorliegen. Besonders kritisch: der Einsatz von Emotionserkennung. Flughäfen gelten dabei als primäres Testfeld für die Abwägung zwischen Sicherheit und Datenschutz.
Geschäftsführer, die persönlich für NIS-2-Verstöße haften, brauchen sofort einen Fahrplan – bevor die nächsten Meldefristen am 31. Juli greifen. Dieser Leitfaden liefert Schritt-für-Schritt-Compliance und Schulungsanforderungen für die Chefetage. NIS-2-Notfallplan jetzt sichern
UWG-Reform: Höhere Bußgelder ab September
Ab September steigt das Risiko bei Datenschutzverstößen durch eine Reform des Gesetzes gegen den unlauteren Wettbewerb (UWG). Bußgelder von bis zu 4 Prozent des Jahresumsatzes sind möglich. Vor dem Hintergrund eines BAG-Urteils zur verpflichtenden Arbeitszeiterfassung empfiehlt es sich zudem, digitale Erfassungssysteme ganzheitlich auf ihre Konformität mit IT-Sicherheits- und Datenschutzstandards zu prüfen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
