Compliance-Paradox: Deutsche Unternehmen zwischen Härte und Erleichterung

Der Dezember 2025 konfrontiert deutsche Unternehmen mit einem Widerspruch: Während Bund und EU Bürokratieabbau versprechen, drohen bei Cybersicherheit und Sanktionen drastische Strafen. Eine neue Studie offenbart erschreckende Lücken bei der NIS2-Vorbereitung – und das bei verschärfter Strafverfolgung.

NIS2-Schock: 96 Prozent ohne Notfallplan

Trotz der Verabschiedung des NIS2-Umsetzungsgesetzes (NIS2-UmsuCG) Mitte November zeigt eine am 28. November veröffentlichte Studie des Datenrettungsspezialisten Data Reverse ein alarmierendes Bild: Von rund 30.000 betroffenen deutschen Unternehmen haben lediglich vier Prozent einen externen Datenrettungspartner in ihre Notfallpläne integriert – dabei ist dies ein zentraler Baustein für die Geschäftskontinuität nach dem neuen Gesetz.

Die Zahlen im Detail:
* 53 Prozent der befragten IT-Entscheider haben noch nicht einmal geprüft, ob ihr Unternehmen überhaupt unter NIS2 fällt
* Bei Unternehmen, die sich als betroffen einstufen, behaupten 71 Prozent, vorbereitet zu sein – doch fehlen häufig dokumentierte Wiederherstellungsprozesse und Meldekanäle
* Jedes zweite Unternehmen testet seine Notfallpläne selten oder nie

Besonders brisant: Nach Artikel 21 der NIS2-Richtlinie sind „nachweisbare und getestete” Wiederherstellungsprozesse verpflichtend. Da keine Übergangsfrist zu erwarten ist, läuft den Unternehmen die Zeit davon. „Die Ergebnisse zeigen deutlich: Vielen Organisationen fehlt sowohl eine realistische Selbsteinschätzung als auch grundlegende technische Maßnahmen”, heißt es in der Studie.

Passend zum Thema NIS2 und Cybersicherheit: Wenn 96 Prozent der Unternehmen keinen externen Datenrettungspartner haben, drohen im Ernstfall Betriebsausfälle und hohe Strafen. Unser kostenloses E‑Book erklärt, welche Basismaßnahmen jetzt sofort umgesetzt werden sollten, wie Sie Notfallpläne nach Artikel 21 nachweisbar testen und welche Checklisten IT‑Verantwortliche für interne Audits benötigen. Praxistipps für KMU und IT‑Leads, um Compliance‑Fristen zu schaffen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Sanktionsverstöße: Leichtfertigkeit wird Straftat

Parallel verschärft Deutschland massiv die strafrechtliche Verfolgung von EU-Wirtschaftssanktionen. Nach der ersten Lesung im November durchläuft das Gesetzesvorhaben nun den Schnellgang – eine finale Verabschiedung noch vor Jahresende gilt als möglich.

Rechtexperten der Kanzlei Reed Smith warnen vor einem fundamentalen Wandel der Unternehmenshaftung. Die kritischen Änderungen:

Kriminalisierung von Transaktionsverboten: Verstöße gegen sektorale Handelsverbote – etwa Geschäfte mit bestimmten russischen Staatsunternehmen – werden künftig als Straftaten nach dem Außenwirtschaftsgesetz (AWG) verfolgt, nicht mehr als Ordnungswidrigkeiten.

Der “Leichtfertigkeits”-Standard: Die vielleicht gefährlichste Neuerung für Führungskräfte ist die strafrechtliche Haftung bei leichtfertigem Verhalten mit Dual-Use-Gütern. Bisher war oft Vorsatz erforderlich. Nun kann bereits unzureichende technische und wirtschaftliche Prüfung zu strafrechtlicher Verfolgung führen.

Erweiterte Meldepflichten: Auch das Versäumnis, eingefrorene Vermögenswerte zu melden, wird zur Straftat hochgestuft.

Diese Verschärfung erfordert eine sofortige Überprüfung interner Sanktionsprüfprozesse. „Frühe Vorbereitung wird entscheidend sein, um die schärfere Durchsetzungslandschaft 2026 zu meistern”, warnten Rechtsanalysten Ende vergangener Woche.

“Digital Omnibus”: Atempause bei KI-Compliance?

Als Gegengewicht zu den verschärften Anforderungen sorgt das “Digital Omnibus”-Paket der EU-Kommission für Diskussionen. Der zwischen 27. und 28. November präsentierte Vorschlag will überlappende digitale Regularien straffen – mit besonderem Fokus auf den EU AI Act.

Die vorgeschlagenen Erleichterungen:
* Verlängerte Fristen: Die Compliance-Deadline für Hochrisiko-KI-Systeme könnte von August 2026 auf Dezember 2027 oder gar August 2028 verschoben werden
* Begründung: Mehr Zeit für harmonisierte technische Standards, damit Unternehmen klare Leitlinien haben, bevor Strafen drohen
* DSGVO-Angleichung: Der Vorschlag klärt die Rechtsgrundlage für die Nutzung personenbezogener Daten im KI-Training

Experten mahnen jedoch zur Vorsicht: „Die Verzögerung darf nicht mit Verschnaufpause verwechselt werden”, betonen Analysten von Nemko Digital. „Es ist ein Moment strategischer Klarheit… um vertrauenswürdige KI aufzubauen.”

Lieferketten: Ombudsfrau kritisiert “Verwässerung”

Die Debatte um das Lieferkettensorgfaltspflichtengesetz (LkSG) und die europäische CSDDD bleibt volatil. Am 27. November übte EU-Ombudsfrau Teresa Anjinho scharfe Kritik an den jüngsten Versuchen der Kommission, diese Berichtspflichten zu „vereinfachen” – sprich: abzuschwächen.

Anjinho bemängelte die mangelnde Transparenz und den starken Einfluss von Industrielobbyisten bei den Verzögerungs- und Abschwächungsplänen zur CSDDD. Für Unternehmen schafft dieses politische Tauziehen eine prekäre Situation:

Die Durchsetzung läuft bereits: Trotz politischer Deregulierungsrhetorik ist das Gesetz in Kraft. Am 26. November reichten die Menschenrechtsorganisationen Misereor und Red Muqui bei der deutschen Exportkontrollbehörde (BAFA) formelle Beschwerden gegen den Kupferproduzenten Aurubis ein – wegen Umwelt- und Menschenrechtsverletzungen in Peru.

Die Lektion: Unternehmen können sich nicht auf künftige Deregulierung verlassen. Der Aurubis-Fall zeigt: NGOs nutzen den bestehenden Rechtsrahmen aktiv, um Konzerne heute zur Rechenschaft zu ziehen.

Das “Compliance-Sandwich”

Deutsche Unternehmen befinden sich derzeit in einem „Compliance-Sandwich”. Auf der einen Seite treibt der Sicherheitsimperativ (NIS2, Sanktionen) eine Verschärfung der Gesetze mit sofortigen strafrechtlichen Konsequenzen voran. Das geopolitische Klima erlaubt Nulltoleranz bei Cybersicherheit und Handelssanktionen.

Auf der anderen Seite befeuert der Wirtschaftsimperativ ein „Deregulierungsnarrativ” (AI-Act-Verzögerungen, CSDDD-Vereinfachung), um Europas Wettbewerbsfähigkeit zu schützen.

„Unternehmen müssen NIS2 und Sanktionen als unmittelbare ‘Alarmstufe Rot’-Risiken behandeln – wegen der strafrechtlichen Haftung und fehlender Übergangsfristen”, sagt ein Frankfurter Compliance-Berater. „ESG und KI-Governance sollten hingegen stetig verfolgt werden, aber mit Blick auf sich wandelnde Zeitpläne, um Überinvestitionen in Compliance-Strukturen zu vermeiden, die sich noch ändern könnten.”

Ausblick: Drei Meilensteine im Dezember

In den kommenden Wochen entscheiden drei Entwicklungen über den Compliance-Fahrplan:

1. Finale Abstimmung zum Sanktionsgesetz: Der Bundesrat wird das Sanktionsdurchsetzungsgesetz voraussichtlich zeitnah abschließen. Bei Verabschiedung sind sofortige interne Audits vor dem 1. Januar 2026 nötig.

2. Digital-Omnibus-Verhandlungen: Die Reaktion des EU-Parlaments auf die AI-Act-Verzögerung wird entscheidend. Widerstand von Verbraucherschützern könnte die Erleichterung blockieren.

3. BAFAs Reaktion: Wie die Behörde mit den neuen Beschwerden gegen Aurubis umgeht, wird einen Präzedenzfall für die Durchsetzungsstrenge des Lieferkettengesetzes 2026 schaffen.

Die Priorität für die erste Dezemberwoche ist klar: NIS2-Status und Notfallpläne prüfen. Wer zu den 96 Prozent ohne robusten externen Wiederherstellungspartner gehört, liegt bereits zurück.

PS: Bevor Sie Audits oder Prüfungen nach den neuen Sanktionen anstoßen — sichern Sie Ihre IT‑Abwehr. Das kostenlose E‑Book liefert eine 4‑Schritte-Checkliste zur Abwehr von Ransomware und Phishing, Hinweise zur Auswahl externer Wiederherstellungspartner sowie Priorisierungsregeln für NIS2‑Pflichten. Ideal für Compliance-Manager und IT‑Leiter, die schnell Lücken schließen wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen