NIS2-Frist verpasst: Nur 11.000 von 29.500 Firmen registriert

000 Menschen offen – und rückt die Frage nach der Verantwortung von Führungskräften in den Fokus.

Der Vorfall ereignete sich im April 2026 und traf die Universitätskliniken in Düsseldorf, Köln und Freiburg. Ein Dienstleister mit Sitz im Saarland wurde zum Einfallstor für die Angreifer. Die Staatsanwaltschaft ermittelt. Für die betroffenen Kliniken stellt sich nun die drängende Frage: Haben sie ihre Sorgfaltspflichten gegenüber externen Partnern ausreichend erfüllt?

DSGVO-Verstöße bei der Auftragsdatenverarbeitung können Unternehmen teuer zu stehen kommen, wenn die Haftungsrisiken externer Dienstleister unterschätzt werden. Dieses kostenlose E-Book bietet fertige Vertragsvorlagen und Checklisten, um Ihre externe Zusammenarbeit rechtssicher zu gestalten. Gratis E-Book zur Auftragsdatenverarbeitung herunterladen

Haftung und die Folgen systemischer Datenlecks

Die Konsequenzen für Führungsversagen können existenzbedrohend sein. Nach der Datenschutz-Grundverordnung (DSGVO) drohen Vorständen und Geschäftsführungen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Hinzu kommt das Risiko strafrechtlicher Verfolgung: § 203 des Strafgesetzbuches (StGB) stellt den Bruch des Arztgeheimnisses unter Strafe.

Die Aufsicht über externe Dienstleister ist kein optionaler Luxus. Artikel 28 der DSGVO verpflichtet Kliniken und andere Einrichtungen, die Datenschutzmaßnahmen ihrer Auftragsverarbeiter zu prüfen. Wer das versäumt, haftet mit.

Betroffene Patienten haben ein Auskunftsrecht und können Schadensersatz für immaterielle Schäden fordern. Doch die Hürden sind hoch. Der Bundesgerichtshof (BGH) sprach Anfang des Jahres 500 Euro Schadensersatz zu, nachdem ein unberechtigter Eintrag bei einer Auskunftei die Kreditwürdigkeit eines Verbrauchers beeinträchtigt hatte. Das Landgericht Nürnberg entschied dagegen im Sommer 2025: Bloßes Unbehagen oder „ungute Gefühle“ wegen der Datenverarbeitung reichen für einen Anspruch nach Artikel 82 DSGVO nicht aus.

NIS2: Die neue Hürde für Unternehmen

Die Umsetzung der europäischen NIS2-Richtlinie stellt viele Firmen vor eine Zerreißprobe. Die Registrierungsfrist für betroffene Unternehmen lief am 6. März 2026 ab – doch die Zahlen sprechen eine deutliche Sprache: Von geschätzt 29.500 betroffenen Firmen in Deutschland hatten sich nur 11.000 fristgerecht registriert. Wer die Vorgaben ignoriert, riskiert Strafen von bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes.

Ein zentraler Punkt der Richtlinie betrifft die interne Belegschaft. In Österreich, wo die Umsetzung bis Mitte 2025 andauerte, schreibt NIS2 ein umfassendes Risikomanagement vor. Dazu gehören die Überprüfung der Identität und die Einsicht in polizeiliche Führungszeugnisse, um interne Bedrohungen zu minimieren.

Die Richtlinie verlangt zudem eine strenge Prüfung von Lieferanten und enge Meldefristen: Unternehmen müssen Behörden innerhalb von 24 bis 72 Stunden über schwerwiegende Vorfälle informieren. Das Ziel ist klar: Mitarbeiter sollen von potenziellen Schwachstellen zu aktiven Verteidigern der Unternehmenssicherheit werden.

Künstliche Intelligenz: Neue Risiken für den Datenschutz

Die Integration Künstlicher Intelligenz in Geschäftsprozesse verkompliziert die Lage zusätzlich. Am 22. Mai 2026 veröffentlichte die EU spezifische Leitlinien für Hochrisiko-KI-Anwendungen – darunter Systeme, die bei der Einstellung von Personal eingesetzt werden. Experten der Universität Bremen warnen: KI-Tools können unbeabsichtigt Diskriminierung verstärken, etwa aufgrund von Postleitzahlen oder Lücken im Lebenslauf.

Einige öffentliche Verwaltungen reagieren mit konkreten Schutzmaßnahmen. Die Stadt Bremen verabschiedete im Mai 2026 eine Dienstvereinbarung für den Einsatz von KI-Assistenten wie dem System „LLMoin“, das im Juli 2025 gestartet wurde. Die Vereinbarung enthält explizite Schutzklauseln gegen Diskriminierung und stellt sicher, dass Eingaben nicht gespeichert werden.

Nach geltender DSGVO bleiben vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen verboten. Das bedeutet: Der Mensch – das Herzstück der „menschlichen Firewall“ – muss bei Einstellungsverfahren weiterhin das letzte Wort haben.

Der neue EU AI Act stellt Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnungspflicht von KI-Systemen. Dieser kostenlose Umsetzungsleitfaden liefert Ihrer IT- und Rechtsabteilung den nötigen Überblick über alle relevanten Fristen und Risikoklassen. Kostenloses E-Book zum EU AI Act sichern

Zwischen Überwachung und Sicherheit

Die Grenze zwischen Schutz und Privatsphäre wird zunehmend zum Minenfeld. Das Bayerische Landesamt für Datenschutzaufsicht warnte jüngst vor den Risiken der GPS-Ortung in Firmenfahrzeugen. Ein berechtigtes Interesse – etwa der Schutz von Gefahrgut – kann die Ortung rechtfertigen. Doch die Daten bleiben personenbezogen, wenn sie einem bestimmten Fahrer zugeordnet werden können. Die Behörde betont: Jede Ortung erfordert eine sorgfältige Abwägung der Interessen.

Diese Spannung zieht sich durch die gesamte digitale Infrastruktur. Branchenanalysten gehen davon aus, dass bis 2028 rund 91 Prozent der Unternehmens-Workloads in die Cloud verlagert werden. Doch die Komplexität hybrider Cloud-Architekturen schafft Sicherheitslücken – durch Fehlkonfigurationen und fragmentierte Überwachung. Experten von IONOS und anderen Infrastrukturanbietern weisen darauf hin: Die digitale Souveränität wird zunehmend vom Hauptsitz des Anbieters bestimmt, nicht vom physischen Standort des Servers. Ein Unterschied, den Mitarbeiter und IT-Manager verstehen müssen.

Analyse: Die steigenden Kosten von Compliance-Versäumnissen

Der Druck auf die „menschliche Firewall“ erreicht historische Dimensionen. Seit Inkrafttreten der DSGVO wurden bis März 2026 Bußgelder in Höhe von rund 6,11 Milliarden Euro verhängt. Trotz dieser Summen deutet die niedrige Registrierungsquote für NIS2 darauf hin, dass viele Unternehmen Sicherheitsbewusstsein noch nicht in ihrer Unternehmenskultur verankert haben.

Die Zahlen zeigen eine Belegschaft im Wandel. Während 41 Prozent der deutschen Unternehmen KI aktiv nutzen, geht dieser technologische Wandel mit erheblichen Arbeitsplatzverlusten in einigen Sektoren einher. Der Einsatz von „KI-Agenten“ zur eigenständigen Orchestrierung von Arbeitsabläufen und der Aufstieg von „Edge AI“ für Echtzeit-Entscheidungen vor Ort bedeuten: Mitarbeiter müssen heute einen „Mix of Models“ beherrschen – große Sprachmodelle kombiniert mit spezialisierten internen Daten. Das erfordert ein höheres Maß an technischer Kompetenz, um Datenlecks durch unsachgemäße Eingaben oder die Nutzung nicht genehmigter Cloud-Tools zu verhindern.

Ausblick für die zweite Jahreshälfte 2026

Die regulatorische Landschaft wird sich weiter verschärfen. Ab dem 2. August 2026 schreibt der EU AI Act die Kennzeichnung KI-generierter Inhalte vor – darunter Deepfakes und manipulierte Audio- oder Videodateien. Artikel 50 der Verordnung soll die Öffentlichkeit vor Desinformation schützen, sieht aber Ausnahmen für Inhalte unter der Verantwortung einer namentlich genannten Redaktion vor.

Im Technologiesektor sind für den Herbst 2026 große Updates angekündigt. Dazu gehört die geplante Veröffentlichung von iOS 27, das erweiterte Datenschutzfunktionen bieten soll – etwa automatische Chat-Löschung und einen privaten Modus, der keine Verlaufsdaten speichert.

Während Unternehmen wie Apple und Google weiterhin fortschrittliche KI-Funktionen in Verbraucher- und Geschäftsgeräte integrieren, bleibt die „menschliche Firewall“ die erste Verteidigungslinie gegen die zunehmende Raffinesse von Social Engineering und automatisierten Cyberangriffen. Fortbildung und kontinuierliches Compliance-Training werden wohl die wichtigsten Investitionen für Unternehmen bleiben, die dieses hochriskante digitale Umfeld navigieren müssen.

de | wirtschaft | 69416268 |