BSI verschärft Cloud-Regeln: Neue Hürden für Datenverarbeiter

Die Compliance-Landschaft für Unternehmen wird immer komplexer. Neue BSI-Standards, wegweisende Gerichtsurteile und steigende Strafen zwingen Datenverarbeiter zum schnellen Handeln.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Personalsicherheit wird zum harten Prüfkriterium

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Messlatte deutlich höher gelegt. Mit der neuen Version des Cloud Computing Compliance Criteria Catalogue (C5:2026), veröffentlicht am 7. April, werden die Anforderungen an Cloud-Anbieter verschärft. Ein zentraler Punkt: die Personalsicherheit. Das neue Kriterium HR-01 macht die Überprüfung von Qualifikation und Vertrauenswürdigkeit vor einer Einstellung zum Muss. Lebensläufe, Identitätsnachweise und Führungszeugnisse müssen künftig systematisch geprüft werden, um die Vorgaben von DORA und NIS2 zu erfüllen.

Der Katalog reagiert auch auf technologische Trends. Erstmals enthält er spezifische Anforderungen für Container-Management, Confidential Computing und Post-Quanten-Kryptographie. Letzteres ist eine Antwort auf die potenzielle Bedrohung durch künftige Quantencomputer für heutige Verschlüsselung. Unternehmen haben jedoch Zeit: Der alte Standard C5:2020 gilt noch bis zum 31. Mai 2027. Experten raten zu ersten Test-Prüfungen zwischen Februar und Mai 2027.

Gerichtsurteil gibt bei Datenübermittlung Entwarnung – mit Auflagen

Ein Urteil des Landgerichts Ellwangen vom 8. April bringt Klarheit für den internationalen Datentransfer. Das Gericht wies die Klage eines Nutzers gegen Meta ab, der eine rein europäische Datenspeicherung gefordert hatte. Die Richter betonten die Notwendigkeit des globalen Datenaustauschs für funktionierende Netzwerke. Entscheidend war der Verweis auf das EU-US Data Privacy Framework, das den USA ein angemessenes Datenschutzniveau attestiert. Datenübermittlungen unter diesem Rahmen bleiben damit rechtmäßig.

Gleichzeitig zeigen andere Fälle die wachsenden Risiken. Die US-Handelsbehörde FTC strebt einen Vergleich mit der Dating-Plattform OkCupid an. Der Vorwurf: Das Unternehmen habe Millionen Nutzerdaten entgegen der eigenen Datenschutzerklärung mit einer KI-Firma geteilt. Der Vergleich sieht ein 20-jähriges Verbot von Falschdarstellungen vor. Die Botschaft ist klar: Die tatsächliche Datenpraxis muss mit den veröffentlichten Richtlinien übereinstimmen – sonst drohen harte Konsequenzen.

KI-Integration schafft neue Compliance-Pflichten

Die Nutzung von Künstlicher Intelligenz (KI) ist in Unternehmen längst Alltag. Laut Branchenberichten setzen bereits 88 Prozent der Firmen KI-Tools ein. Das birgt Gefahren, etwa durch Schatten-KI, bei der Mitarbeiter sensible Daten in nicht autorisierte Systeme einspeisen. Sicherheitsunternehmen reagieren mit Governance-Plattformen, die Echtzeitkontrolle über Datenflüsse ermöglichen.

Für Datenverarbeiter ergeben sich aus dem EU AI Act und ähnlichen Gesetzen wie dem Colorado AI Act neue Pflichten. Transparenz, Rechenschaftspflicht und die Minderung von Verzerrungen (Bias-Minderung) werden zu Kernaufgaben. KI-Entscheidungen müssen nachvollziehbar und frei von Diskriminierung sein. In den USA bleibt die Regelungslage ein Flickenteppich, was die Compliance für internationale Unternehmen erschwert. Allein in Kalifornien wurden kürzlich Bußgelder von über 3,8 Millionen Euro verhängt, vor allem wegen mangelhafter Opt-out-Mechanismen.

NIS2-Umsetzung: Viele Unternehmen hinken hinterher

Für viele deutsche Firmen ist die NIS2-Richtlinie noch immer eine ungelöste Baustelle. Obwohl das Umsetzungsgesetz seit Ende 2025 in Kraft ist, haben zahlreiche Organisationen die Registrierungsfrist im März verpasst. Als wichtige Einrichtungen eingestufte Datenverarbeiter riskieren nun Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Gefordert werden nicht nur technische Maßnahmen, sondern auch lückenlose Dokumentation und Risikobewertung.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Eine kostenlose Excel-Vorlage hilft Ihnen, die gesetzliche Dokumentationspflicht zeitsparend und rechtssicher zu erfüllen. Gratis Excel-Muster für Ihr Verarbeitungsverzeichnis sichern

Ein weiterer Fokus liegt auf der Sicherheit in der Lieferkette und am Arbeitsplatz. Experten warnen vor den Risiken von Bring-Your-Own-Device (BYOD)-Konzepten. Um DSGVO-konform zu bleiben, müssen klare Richtlinien, Verschlüsselung und Mobile Device Management (MDM) etabliert werden. Plattformen wie IntegrityNext gewinnen an Bedeutung, da sie mit KI die Einhaltung des Lieferkettensorgfaltspflichtengesetzes (LkSG) und der CSDDD automatisieren und überwachen.

Die Kosten des Versagens steigen dramatisch

Die wirtschaftlichen Folgen von Datenschutzverletzungen erreichen neue Höchststände. Laut dem Chubb Cyber Claims Report stiegen die durchschnittlichen Kosten eines Datenlecks in den USA 2025 auf rund 9,3 Millionen Euro. KI-gesteuerte Angriffe beschleunigen die Schadenszyklen. Lieferkettenvorfälle, wie zuletzt in der Automobilindustrie, können potenzielle Milliardenschäden verursachen.

Interessanterweise zeigt die deutsche Rechtsprechung eine restriktive Haltung bei pauschalen Schadensersatzklagen. Das Landgericht Ellwangen urteilte im Dezember 2025, dass ein bloßer Kontrollverlust über Daten nicht ausreicht, um Schadensersatz nach der DSGVO zu begründen. Ein konkret nachweisbarer Schaden muss vorliegen. Das bietet Unternehmen zwar etwas Rechtssicherheit gegen Massenklagen, entbindet sie aber nicht von ihren umfangreichen Organisationspflichten.

Ausblick: Weitere regulatorische Meilensteine stehen bevor

Die nächsten Monate bringen neue Herausforderungen. Ab dem 1. Juli treten neue EU-Vorschriften für digitale Fahrtenschreiber in Kraft, die auch kleinere Nutzfahrzeuge betreffen – ein Beispiel für die fortschreitende Digitalisierung aller Wirtschaftsbereiche. Ab 2028 wird die kalifornische Delete Act-Regelung unabhängige Audits für Datenbroker vorschreiben, was wohl auch europäische Standards beeinflussen wird.

Unternehmen sollten ihre Datenschutzrichtlinien bis Mitte des Jahres umfassend überprüfen. Schwerpunkte sind die Absicherung von KI-Schnittstellen, die Umsetzung der neuen BSI C5-Kriterien und die finale NIS2-Compliance. Da Geschäftsführer persönlich haften können, wird die Bestellung eines qualifizierten Datenschutzbeauftragten ab 20 ständig mit Datenverarbeitung beschäftigten Personen zur existenziellen Pflicht. Investitionen in automatisierte Lösungen und regelmäßige Schulungen bleiben der beste Schutz vor hohen Strafen und noch höheren Schadenskosten.

de | boerse | 69111240 |