Datengesetz: Bundesnetzagentur übernimmt Aufsicht, höhere Bußgelder

Die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz (BfDI) übernehmen die Aufsicht über den nicht-öffentlichen Bereich. Für Unternehmen bedeutet das: strengere Regeln, kürzere Fristen und deutlich höhere Bußgelder.

Die neuen Regulierungen fordern von Unternehmen eine lückenlose Dokumentation, um hohen Bußgeldern zu entgehen. Mit dieser kostenlosen Excel-Vorlage und der passenden Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis zeitsparend und professionell. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Mehrere Regulierungswellen überlagern sich

Die deutsche Wirtschaft steht vor einem regelrechten Regulierungsmarathon. Seit Dezember 2025 gilt das NIS2-Umsetzungsgesetz (NIS2UmsuCG), das die Zahl der betroffenen Unternehmen von rund 4.500 auf etwa 30.000 hochschnellen ließ. Die Geschäftsführung haftet persönlich – und muss Sicherheitsvorfälle innerhalb von 24 Stunden melden.

Gleichzeitig müssen Cloud-Dienste im Gesundheitswesen seit Juli 2025 ein C5-Typ-2-Zertifikat vorweisen. Ab Juni 2027 wird der neue Standard C5:2026 mit 168 Prüfkriterien Pflicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte zudem Ende April 2026 die C3A-Kriterien zur Bewertung von Cloud-Souveränität. Besonders US-Anbieter stehen vor einem Dilemma: Der amerikanische CLOUD Act kollidiert mit europäischen Datenschutzvorgaben.

Automatisierte Datenklassifizierung als neuer Standard

Immer mehr Unternehmen setzen auf Data Security Posture Management (DSPM) – also automatisierte Lösungen, die sensible Daten in Multi-Cloud-Umgebungen wie AWS, Azure oder Google Cloud erkennen, klassifizieren und überwachen. Die Implementierung dauert in der Regel ein bis zwei Wochen.

Die wichtigsten Einsatzbereiche: übermäßig freigegebene Daten, sogenannte Schattendaten und die Zugriffsverwaltung. DSPM-Systeme liefern automatisch Nachweise für die Einhaltung der DSGVO und des EU-AI-Acts. Das spart Zeit – und schützt vor saftigen Strafen.

KI-gestützte Assistenten entlasten die Datenschutzteams enorm. Erste Anwender berichten von Zeitersparnissen zwischen 60 und 75 Prozent bei der Erstellung von Verarbeitungsverzeichnissen (VVT) und Datenschutz-Folgenabschätzungen (DSFA). Die rechtliche Prüfung ersetzen diese Tools nicht – aber sie machen die Verwaltungsarbeit deutlich effizienter.

Besonders bei komplexen Datenverarbeitungen im Cloud- oder KI-Umfeld wird eine fundierte Risikoanalyse zur Pflicht. Dieser kostenlose Leitfaden inklusive Muster-Vorlage hilft Ihnen, eine rechtssichere Datenschutzfolgenabschätzung zu erstellen und Ihr Unternehmen vor Sanktionen zu schützen. Bewährte Checklisten und eine fertige Muster-DSFA jetzt kostenlos herunterladen

Neue Risiken durch Künstliche Intelligenz

Die rasante Integration von KI schafft neue Compliance-Risiken, die klassische Sicherheitsmaßnahmen oft übersehen. Der Markt reagiert: Snowflake kündigte am 28. Mai die Übernahme des Berechtigungs-Gateways Natoma an. Kunden müssen nun innerhalb von 180 Tagen detaillierte Berechtigungspläne erstellen und Datenverarbeitungsverträge anpassen – sonst drohen Strafen von bis zu sechs Prozent des weltweiten Umsatzes.

Auch das Identitätsmanagement wandelt sich. Okta führte am 29. Mai eine spezielle Lizenz für KI-Agenten ein. Die Besonderheit: ein „Kill-Switch" zur politikbasierten Token-Widerrufung. Das Tool adressiert spezifische Anforderungen der DSGVO und des kalifornischen CCPA für automatisierte Systeme.

Im Gesundheitssektor zeichnen sich weitere Verschärfungen ab. Das US-Gesundheitsministerium will die HIPAA-Sicherheitsregeln im Mai 2026 grundlegend reformieren. Geplant sind unter anderem die Multi-Faktor-Authentifizierung, zweijährliche Schwachstellen-Scans und jährliche Penetrationstests. Die Kosten: geschätzte neun Milliarden Euro allein im ersten Jahr. Ein klares Signal, dass Datensicherheit zunehmend zur Kostenfrage wird – und zur Chefsache.

de | wirtschaft | 69449657 |