Datenschutz und Cybersicherheit: Europa verschärft den Druck

Europas Unternehmen stehen vor einer Welle neuer Regeln für Datenschutz und IT-Sicherheit. Drei parallele Entwicklungen zwingen zu umfassenden Compliance-Überholungen.

EDPB startet Großaktion zum „Recht auf Vergessenwerden“

Die Aufsichtsbehörden gehen in die Offensive. Am 18. Februar 2026 startete der Europäische Datenschutzausschuss (EDPB) eine koordinierte Durchsetzungsaktion. Im Fokus steht das Recht auf Löschung nach der DSGVO. 32 nationale Datenschutzbehörden hatten im vergangenen Jahr über 760 Unternehmen befragt – vom Mittelständler bis zum Großkonzern. Die Ergebnisse sind alarmierend: Bereits neun Behörden haben neue Untersuchungen eingeleitet.

Experten deuten dies als klare Botschaft. Die Phase der allgemeinen Sensibilisierung ist vorbei. Jetzt folgt die strikte Durchsetzung konkreter Betroffenenrechte. Der EDPB wird voraussichtlich noch in diesem Jahr harmonisierte Leitlinien veröffentlichen. Für Unternehmen bedeutet das: Sie müssen ihre Löschprozesse, Back-up-Systeme und Einwilligungsmanagement-Plattformen dringend überprüfen. Oberflächliche Compliance, oft als „Privacy Theater“ belächelt, genügt den Aufsehern nicht mehr.

Digital-Omnibus: Streit um die Definition personenbezogener Daten

Während bestehende Regeln strenger durchgesetzt werden, tobt gleichzeitig ein Grundsatzstreit über die Zukunft des Datenschutzes. Auslöser ist der Digital-Omnibus-Gesetzespaket der EU-Kommission. Es soll Bürokratie abbauen und die Wettbewerbsfähigkeit stärken. Doch eine Bestimmung sorgt für erbitterten Widerstand der Datenschützer.

Die Kommission schlägt vor, die Definition personenbezogener Daten in Artikel 4 DSGVO zu verschärfen. Informationen sollen für ein Unternehmen nicht als personenbezogen gelten, wenn dieses die betroffene Person nicht „mit angemessenem Aufwand“ identifizieren kann – selbst wenn ein anderer Akteur dies sehr wohl könnte. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte lehnen diese Einschränkung in einer gemeinsamen Stellungnahme entschieden ab.

Datenschutzbehörden warnen vor einem massiven Aderlass für die Privatsphäre. Jahre etablierter Rechtsprechung würden ausgehebelt. Für Unternehmen hätte eine Änderung drastische Folgen: Die rechtliche Bewertung von Datenverarbeitung, Anonymisierung und Datentransfers müsste komplett neu gedacht werden. Der Ausgang dieses Streits wird die Compliance-Strategien für KI-Training und internationale Datenflüsse auf Jahre prägen.

Die EU-KI-Verordnung bringt neue Pflichten für Kennzeichnung, Risikoklassen und Dokumentation – und viele Unternehmen sind noch unvorbereitet. Ein kostenloser Umsetzungsleitfaden erklärt verständlich, welche Anforderungen jetzt gelten, welche Fristen laufen und wie Sie Ihr KI-System rechtssicher einordnen. Ideal für Entwickler, Compliance-Verantwortliche und Geschäftsleitungen, die Bußgelder vermeiden wollen. Gratis-Leitfaden zur EU-KI-Verordnung herunterladen

NIS2: Neue Regeln für mehr Cybersicherheit

Nicht nur der Datenschutz, auch die Cybersicherheitsvorschriften werden ausgeweitet. Nachdem die NIS2-Richtlinie und das deutsche IT-Sicherheitsgesetz 2025 in Kraft traten, legte die Kommission im Januar 2026 ein Paket mit gezielten Änderungen vor.

Die Neuerungen zielen auf zwei Ziele: mehr Harmonisierung und zugleich eine Ausweitung des Geltungsbereichs. Künftig sollen auch Anbieter digitaler Geldbörsen, Betreiber von Unterseekabeln und sogenannte „Dual-Use“-Infrastrukturen unter die Aufsicht fallen – unabhängig von ihrer Größe. Als Entlastung für den Mittelstand wird eine neue Kategorie für kleine Mittelstandsunternehmen eingeführt, die deren Compliance-Kosten senken soll.

Ein zentrales Element ist die Erweiterung des Europäischen Cybersecurity-Zertifizierungsrahmens. Unternehmen können künftig nicht mehr nur einzelne IT-Produkte zertifizieren lassen, sondern ihr gesamtes Cybersicherheitsniveau. Diese Zertifizierung soll als Nachweis für die NIS2-Konformität gelten und so widersprüchliche nationale Vorgaben überflüssig machen.

Folgen für Unternehmen: Haftung und Integration

Die parallelen Entwicklungen markieren eine Zeitenwende für die Unternehmensführung. Die Regulierungsdichte durch DSGVO, NIS2, KI-Gesetz und Digital Omnibus erfordert ein radikales Umdenken.

Ein Schwerpunkt liegt auf der persönlichen Haftung des Managements. Die neuen Cybersicherheitsrahmen verpflichten die Geschäftsleitung, Risikomanagement-Maßnahmen aktiv zu überwachen und zu genehmigen. Versäumnisse können zu hohen Geldbußen in Millionenhöhe und zur persönlichen Inanspruchnahme von Führungskräften führen.

Die Antwort kann nur in integrierten Strukturen liegen. Abteilungsdenken ist gefährlich. Rechtsabteilung, IT und Marketing müssen eng zusammenarbeiten, um den komplexen Anforderungen gerecht zu werden. Zudem rückt das Risikomanagement in der Lieferkette in den Fokus. Unternehmen sind verpflichtet, ihre Technologie-Lieferanten sorgfältig zu prüfen, ob diese die gleichen strengen Standards einhalten.

Die Botschaft an die Wirtschaft ist klar: Wer heute in robuste und anpassungsfähige Compliance-Strukturen investiert, ist für die regulatorischen Unsicherheiten von morgen gewappnet.