Data Act ab heute: 81% der Unternehmen sehen hohe Compliance-Last

Das Data Act Implementation Act ist am 30. Mai 2026 in Kraft getreten. Für Unternehmen bedeutet das vor allem eines: mehr Aufwand.

Hamburg/Berlin – Zehn Jahre nach Einführung der DSGVO bekommt der Datenschutz in Deutschland ein weiteres Regelwerk. Das Data-Act-Durchführungsgesetz (Data Act Implementation Act) ist heute offiziell in Kraft getreten. Die Bilanz der vergangenen Jahre fällt ernüchternd aus: 81 Prozent der Unternehmen bewerten die Datenschutz-Compliance inzwischen als hohe oder sehr hohe Belastung. Das zeigt eine aktuelle Bitkom-Umfrage unter 603 Firmen.

Zum Vergleich: 2016, kurz vor Inkrafttreten der DSGVO, sahen nur 25 Prozent der Betriebe darin eine nennenswerte Hürde. Heute haben zwar 71 Prozent der Organisationen den Datenschutz fest in ihren Prozessen verankert – doch der Preis dafür ist enorm. Fast alle befragten Unternehmen (97 Prozent) stufen den erforderlichen Aufwand als hoch oder sehr hoch ein.

Anzeige: 81 Prozent der Unternehmen bewerten die Datenschutz-Compliance als hohe Belastung – und der Data Act verschärft die Lage. Wer jetzt nicht handelt, verschenkt Zeit und Geld. Dieser Report liefert die wichtigsten Strategie-Hebel: von der 5-Schritte-Checkliste bis zum DSMS-Muster. Jetzt kostenlosen Compliance-Report anfordern

Neue Zuständigkeiten: Wer jetzt was regelt

Mit dem Inkrafttreten des Gesetzes verschieben sich auch die Zuständigkeiten. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) übernimmt die Aufsicht über öffentliche Stellen. Dazu gehören IoT-Hersteller und der Notfallzugriff auf Daten bei Naturkatastrophen oder Gesundheitskrisen.

Für die Privatwirtschaft zeichnet die Bundesnetzagentur verantwortlich – zumindest bei der externen Vertretung. Die interne Koordination liegt beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Eine klare Aufteilung, die Unternehmen aber vor neue Abstimmungsprobleme stellt.

Datenschutz-Management: Vom Nice-to-have zum Muss

Angesichts der wachsenden Komplexität betonen Experten: Ein professionelles Datenschutz-Managementsystem (DSMS) ist längst keine Kür mehr, sondern Pflicht. Es umfasst systematische Regelungen für Planung, Umsetzung, Kontrolle und Weiterentwicklung der Datensicherheit. Dazu gehören eine klare Datenschutzstrategie, interne Richtlinien und konkrete Verfahrensanweisungen.

Die Integration solcher Systeme ist oft mit anderen Sicherheitsstandards verknüpft. Wer eine ISO-27001-Zertifizierung anstrebt, muss mit einer Vorlaufzeit von sechs bis 18 Monaten rechnen. Der Prozess umfasst Gap-Analysen, Risikobewertungen und Schulungen für Mitarbeiter.

Dokumentenmanagement: Die Zeitfresser im Büro

Die Compliance-Anforderungen treiben auch die Nachfrage nach speziellen Dokumentenmanagementsystemen (DMS) in die Höhe. Aktuelle Marktdaten zeigen: Mitarbeiter verbringen rund 20 Prozent ihrer Arbeitszeit mit der Suche nach Dokumenten. Enterprise-Content-Management-Systeme (ECM) können diese Suchzeit um 30 bis 50 Prozent reduzieren.

Die Kosten variieren stark:
- Basis-DMS: 15.000 bis 35.000 Euro
- Systeme mit Texterkennung (OCR): 35.000 bis 70.000 Euro
- Unternehmenslösungen: ab 70.000 Euro

Diese Systeme müssen zunehmend GoBD-Standards für die Archivierung und DSGVO-Vorgaben für Personalakten erfüllen. Automatisierte Löschfristen sorgen für Datenminimierung.

Cloud-Sicherheit: Besonders streng im Gesundheitswesen

Der Gesundheitssektor steht vor besonders harten Auflagen. Seit Juli 2025 ist eine C5-Typ-2-Bescheinigung für Cloud-Dienste in der Branche Pflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem im April 2026 die C3A-Kriterien veröffentlicht, die Cloud-Souveränität in sechs Bereichen bewerten.

Branchenbeobachter sehen Probleme für US-amerikanische Hyperscaler: Der US-Cloud Act und das EU-Datengesetz stehen in Konflikt. Der aktualisierte C5:2026-Standard mit 168 Kriterien wird ab Juni 2027 verpflichtend.

Ein Beispiel für die Anpassung: Der KI-Hardware-Anbieter Plaud speichert seit März 2026 Kernnutzerdaten – darunter Aufnahmen und Transkriptionen – auf AWS-Servern in Frankfurt. Das Unternehmen hält Zertifizierungen nach ISO 27001 und ISO 27701.

Gerichtsurteile: Klarheit bei Schadensersatz

Die Rechtsprechung hat in den vergangenen Monaten wichtige Grenzen gezogen. Das Amtsgericht Nürnberg entschied im Juli 2025: Das sogenannte Kopplungsverbot macht eine Einwilligung nicht automatisch ungültig, wenn der Anbieter keine Monopolstellung hat. Und für Schadensersatz nach Artikel 82 DSGVO reicht bloßes „Unbehagen" nicht – der Kläger muss einen konkreten, individuellen Schaden nachweisen.

In Irland wies der High Court kürzlich Metas Klagen gegen die irische Datenschutzkommission (DPC) ab. Es geht um eine Beschwerde aus dem Jahr 2018 zum Datenzugriff – und eine mögliche Geldstrafe zwischen 360 und 430 Millionen Euro. Das Gericht stellte klar: Die DSGVO erlaubt systemweite Maßnahmen, selbst wenn sie durch Einzelbeschwerden ausgelöst werden.

Lieferketten-Risiken: Der Angriff auf die Klinik-Abrechnung

Anzeige: Die neuen Zuständigkeiten zwischen HmbBfDI, Bundesnetzagentur und BfDI sorgen für Abstimmungsprobleme. Unternehmen, die ihre Dokumentenmanagement-Systeme nicht anpassen, riskieren Verstöße. Unser Tool-Vergleich zeigt, welches DMS/ECM zu Ihren Anforderungen passt – inklusive Kosten. Tool-Vergleich DMS/ECM jetzt sichern

Ein aktueller Cyberangriff auf einen Abrechnungsdienstleister für Universitätskliniken zeigt die Verwundbarkeit digitaler Lieferketten. Zwar blieben die klinischen Systeme funktionsfähig, doch Zehntausende Patientendaten gerieten in falsche Hände. Sicherheitsexperten fordern: Managementteams müssen Lieferantenrisiken zur Priorität machen. Empfohlen werden Zero-Trust-Architekturen und strikte Datenparsimonie bei Drittanbietern.

NIS2: Strengere Haftung für die Chefetage

Die NIS2-Richtlinie bringt verschärfte Haftung für das Top-Management. Verstöße können zu temporären Berufsverboten für Führungsfunktionen führen. Die Meldefristen sind knapp: Erste Warnungen müssen innerhalb von 24 Stunden erfolgen, vollständige Berichte innerhalb eines Monats. Experten raten zu einem einheitlichen Kontrollrahmen, der NIS2, DSGVO und den AI Act abdeckt – sonst droht regulatorisches Chaos.

de | wirtschaft | 69446219 |