BSI Grundschutz++ und NIS2: Warum die physische Datenvernichtung jetzt Chefsache ist

Die sichere Vernichtung alter Festplatten und Papierakten wird im Frühjahr 2026 zum zentralen Risikofaktor für Unternehmen. Während die Aufmerksamkeit auf KI und Cyberangriffe gerichtet ist, verschärfen neue EU-Regeln und Gerichtsurteile die Haftung für physische Datenträger dramatisch.

Methodenwechsel: BSI stellt auf Grundschutz++ um

Anfang April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die erste Methodik für „Grundschutz++“ veröffentlicht. Der neue Ansatz soll die Einführung von Informationssicherheits-Managementsystemen (ISMS) durch ein maschinenlesbares Framework vereinfachen. Während die Grundschutz-2023-Edition in einer Übergangsphase bis 2029 gültig bleibt, zielt Grundschutz++ darauf ab, den Anforderungsumfang für Pilotprojekte um rund 80 Prozent zu reduzieren.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Für die physische Datenvernichtung bedeutet dieser Wechsel hin zu automatisierten, nachweisbaren Sicherheitskontrollen. Experten betonen: Auch im vereinfachten Framework bleibt der sichere Umgang mit Festplatten, Bändern und Papierdokumenten eine Kernanforderung innerhalb der technisch-organisatorischen Maßnahmen (TOMs). Dieser Übergang fällt mit europaweiten Harmonisierungsbestrebungen zusammen, wie der kommenden Norm prEN 18282 für KI-Agenten und den laufenden Vorgaben der NIS2-Richtlinie.

Die Risiken veralteter, papierbasierter Workflows wurden zuletzt von Compliance-Experten hervorgehoben. Die Nutzung physischer Papiere für sensible Terminplanungen oder Dokumentationen birgt erhebliche DSGVO-Risiken – besonders im Vergleich zu modernen, verschlüsselten digitalen Alternativen. Der „Digital-First“-Ansatz beseitigt nicht den Vernichtungsbedarf, sondern verlagert ihn auf die sichere Außerbetriebnahme der Hardware, die einst diese digitalen Umgebungen beherbergte.

Millionen-Haftung: Gerichte verschärfen die Rechtslage

Die finanziellen Folgen einer unsachgemäßen Datenvernichtung sind durch höchstrichterliche Urteile klargestellt. Der Europäische Gerichtshof (EuGH, Mai 2023) und der Bundesgerichtshof (BGH, November 2024) haben die Kriterien für immaterielle Schadensersatzansprüche nach Artikel 82 DSGVO präzisiert.

Den Urteilen zufolge können Verstöße gegen die DSGVO auch dann zu Entschädigungszahlungen führen, wenn kein finanzieller Verlust nachweisbar ist. Entscheidend: Selbst ein kurzfristiger Kontrollverlust über personenbezogene Daten kann einen ersatzfähigen Schaden darstellen. Eine Bagatellgrenze gibt es nicht, auch wenn Betroffene weiterhin einen Kausalzusammenhang nachweisen müssen.

Für Unternehmen heißt das: Eine falsch entsorgte Festplatte oder ein verlegter Dokumentenkarton kann erhebliche Haftungsrisiken auslösen. Das finanzielle Ausmaß unterstreichen Marktdaten: Die durchschnittlichen Kosten eines Datenschutzvorfalls stiegen global auf etwa 4,45 Millionen Euro, in Deutschland beliefen sich die Kosten eines Phishing-Vorfalls im Schnitt auf 4,15 Millionen Euro. Seit Dezember 2025 schreibt zudem das NIS2-Umsetzungsgesetz Cybersicherheitsschulungen und strikte Protokolle für rund 30.000 deutsche Unternehmen vor – bei Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Umsatzes.

Energie und Handel im Fokus der Aufseher

Am heutigen Montag, 13. April 2026, unterstreichen Updates im Energiesektor die Ausweitung der Cybersicherheitspflichten durch das novellierte BSI-Gesetz (BSIG) und das Energiewirtschaftsgesetz (EnWG). Getrieben von der NIS2-Richtlinie, steigt die Zahl der als „wichtig“ oder „besonders wichtig“ eingestuften Energieunternehmen deutlich. Betriebe mit über 50 Mitarbeitern oder einem Umsatz von mehr als 10 Millionen Euro unterliegen nun strengen Risikoanalysen, Meldepflichten innerhalb von 24 bis 72 Stunden und verbindlichen Registrierungsfristen, die für viele bereits Anfang März 2026 begannen.

Im Einzelhandel sorgt die Schnittstelle zwischen physischen und digitalen Daten für neue Konflikte. Bereits am vergangenen Freitag kritisierten Branchenvertreter die strengen DSGVO-Beschränkungen für den Einsatz KI-gestützter Kameras zur Diebstahlprävention. Die kurzen, oft auf 48 oder 72 Stunden begrenzten Speicherfristen erschwerten effektive Strafverfolgung. Diese Debatte zeigt ein grundsätzliches Compliance-Problem: Ist die gesetzliche Aufbewahrungsfrist abgelaufen – egal ob auf einem Server oder einem Backup-Band – ist das Unternehmen zur sicheren und endgültigen Vernichtung verpflichtet.

Der vergessene Risikofaktor: Der Mensch im Unternehmen

Während externe Angriffe wie die heutige Phishing-Welle gegen deutsche Banken Schlagzeilen machen, bleiben interne Risiken eine konstante Bedrohung. Der Mimecast State of Human Risk Report 2026 fand heraus, dass 42 Prozent der Organisationen einen Anstieg böswilliger Insider-Bedrohungen verzeichnen. Solche Vorfälle, die oft den unbefugten Abfluss oder unsachgemäßen Umgang mit Daten beinhalten, können Kosten von über 12 Millionen Euro pro schwerwem Incident verursachen.

Das Risiko des physischen Datendiebstahls – etwa durch einen Mitarbeiter oder Dritte, die ein ungeschreddertes Dokument oder einen alten USB-Stick mitnehmen – ist eine wesentliche Komponente dieses „Human Risk“. Sicherheitsanalysten weisen darauf hin, dass zwar 84 Prozent der 2025 von Cyberangriffen betroffenen deutschen Unternehmen Phishing als Haupteinfallstor nannten, physische Sicherheitslücken aber oft das erste „Einstiegstor“ für Identitätsdiebstahl bieten.

Datenschutzexperten empfehlen: Diese Excel-Vorlage macht Art. 30 DSGVO endlich verständlich. Tausende Unternehmen nutzen bereits das kostenlose Muster-Verarbeitungsverzeichnis, um ihre Dokumentationspflichten zeitsparend und rechtssicher zu erfüllen. Gratis Muster-Verarbeitungsverzeichnis jetzt sichern

Als Gegenmaßnahme setzen Firmen zunehmend auf spezialisierte Audits. Experten empfeilen, zwischen 15 und 25 Prozent des gesamten IT-Budgets für Cybersicherheit und Datenschutz einzuplanen. Diese Investition umfasst nicht nur digitale Abwehr, sondern auch die physische Sicherheit von Daten über deren gesamten Lebenszyklus – inklusive der Beauftragung zertifizierter Vernichtungsdienste. Deren Vernichtungszertifikate sind ein entscheidendes Beweismittel für die DSGVO-Compliance im Audit.

Hohe wirtschaftliche Schäden treiben den Markt

Die wirtschaftlichen Folgen sind immens. Laut Bitkom-Forschung summierten sich die Schäden für die deutsche Wirtschaft durch Cyberangriffe 2024 auf etwa 289,2 Milliarden Euro. In diesem Hochrisikoumfeld gelten „papierlose Büros“ und der Wechsel zu Cloud-KI-Agenten, wie sie etwa das am 3. April 2026 veröffentlichte Microsoft Agent Governance Toolkit steuert, oft als Lösung.

Doch die europäische Datenwirtschaft, die auf mehrere hundert Milliarden Euro geschätzt wird, bleibt durch uneinheitliche DSGVO-Durchsetzung fragmentiert. Während Unternehmen komplexere Systeme wie ChatGPT integrieren – das die EU-Kommission kürzlich als „Sehr große Online-Suchmaschine“ nach dem Digital Services Act einstufen will – wächst auch das Datenvolumen, das irgendwann außer Betrieb genommen werden muss. Das Recht auf Vergessenwerden und der Grundsatz der Speicherbegrenzung verlangen, dass bei der Ablösung alter Systeme durch neue Modelle, wie dem von großen Finanzinstituten getesteten „Mythos“ von Anthropic, die physische Hardware der Vorgängergeneration spurenlos vernichtet wird.

Ausblick: EU-KI-Gesetz und wachsender Pentesting-Markt

Bis zum Sommer 2026 erreicht die Umsetzung des EU-KI-Gesetzes eine kritische Schwelle. Am 2. August 2026 treten die meisten Bestimmungen in Kraft und bringen umfassende Pflichten für Hochrisiko-KI-Systeme sowie Transparenzanforderungen für Chatbots mit sich. Dies wird voraussichtlich eine neue Welle von Hardware-Upgrades auslösen, um rechenintensive, konforme Prozesse zu unterstützen.

Parallel dazu wächst der deutsche Penetration-Testing-Markt von 2026 bis 2033 stetig, mit besonderem Fokus auf KMU, die derzeit 30 Prozent des Marktes ausmachen. Wenn diese kleineren Unternehmen ihre IT-Sicherheit professionalisieren, steigt auch die Nachfrage nach rechtsicherer, zertifizierter Vernichtung alter Datenträger. In einer Zeit, in der ein einziger unsachgemäß behandelter Datenträger zu Millionenschäden und Reputationsverlust führen kann, ist die „End-of-Life“-Phase des Datenmanagements keine Aufgabe für den Keller mehr, sondern eine Priorität für die Chefetage.

de | boerse | 69137316 |