KRITIS-Gesetz stellt Datenschutzbeauftragte vor extreme Herausforderungen

Neue physische Sicherheitsvorgaben und enge Fristen zwingen Datenschutzbeauftragte in kritischen Sektoren zum radikalen Umdenken. Das am 17. März in Kraft getretene KRITIS-Dachgesetz verschränkt Datenschutz, Cybersicherheit und physische Resilienz zu einer historischen Compliance-Herausforderung.

Die neuen KRITIS-Vorgaben fordern von Unternehmen eine lückenlose Dokumentation aller Sicherheitsmaßnahmen und Datenflüsse. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und in kürzester Zeit. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

Für Datenschutzexperten in Energie, Gesundheit, Verkehr und Finanzen bedeutet das eine Zeitenwende. Ihre Rolle beschränkt sich längst nicht mehr auf die Verwaltung personenbezogener Daten. Sie müssen nun ein komplexes Geflecht aus branchenspezifischen Vorgaben, aggressiven Umsetzungsfristen und drohenden Millionenstrafen navigieren.

Physische Sicherheit wird zum Datenschutz-Thema

Das KRITIS-Dachgesetz setzt die EU-Richtlinie zur Resilienz kritischer Entitäten (CER) in nationales Recht um. Der entscheidende Unterschied zu früheren Regelwerken wie der NIS-2-Richtlinie: Nicht nur die Cybersicherheit von Netzen steht im Fokus, sondern auch die physische Widerstandsfähigkeit von Anlagen.

„Das verändert die Arbeit des Datenschutzbeauftragten fundamental“, erklärt eine auf KRITIS spezialisierte Rechtsanwältin. Jede neue Sicherheitsmaßnahme – von erweiterter Videoüberwachung über biometrische Zutrittskontrollen bis zu umfangreichen Mitarbeiterüberprüfungen – muss nun darauf abgeklopft werden, ob sie mit der Datenschutz-Grundverordnung (DSGVO) vereinbar ist.

Betroffen sind alle Betreiber, die mindestens 500.000 Menschen mit essenziellen Dienstleistungen versorgen. Die Datenschutzverantwortlichen in diesen Unternehmen stehen vor der Mammutaufgabe, Compliance-Rahmenwerke zu entwickeln, die die Abteilungen Personal, Gebäudemanagement und IT-Sicherheit zusammenführen. Das Ziel: Neue Resilienzmaßnahmen müssen die Prinzipien der Datensparsamkeit und Zweckbindung strikt einhalten.

Tödliche Kombination: Fernwartung und Datenleck

Eine besonders heikle operative Hürde offenbarte eine technische Analyse vom 20. März. Sie beschreibt die hohen Anforderungen an den Datenschutz bei der sicheren Fernwartung von Betriebs- (OT) und Informationstechnologie (IT) in kritischen Umgebungen.

Krankenhäuser, Energieversorger oder Bahnbetreiber sind auf externe Dienstleister und Hersteller angewiesen, die ihre kritische Infrastruktur aus der Ferne warten. Diese Zugangspunkte bergen enorme Risiken. Der Sektor-Datenschutzbeauftragte muss sicherstellen, dass durch sie weder sensible Betriebsdaten noch personenbezogene Mitarbeiterinformationen an Unbefugte gelangen.

Die Lösung sind laut Regulierungsanalysten rigorose Audits bei Drittanbietern und wasserdichte Vertragssicherungen. Der Datenschutzbeauftragte muss gemeinsam mit dem CISO klassifizieren, ob ein externer Dienstleister direkt in die kritische Infrastruktur eingreift oder nur unterstützend tätig ist. Diese Einstufung bestimmt das notwendige Schutzniveau – und erfordert vom Datenschützer tiefes Wissen über branchenspezifische Steuerungssysteme.

Der Einsatz externer Dienstleister bei kritischen Infrastrukturen birgt erhebliche Haftungsrisiken für den Auftraggeber. Dieser kostenlose Leitfaden enthält eine praktische Word-Vorlage und 13 essenzielle Fragen, um die Unterweisung von Fremdfirmen rechtssicher zu dokumentieren. Gratis-Paket zur Fremdfirmen-Unterweisung sichern

Countdown läuft: Registrierungspflicht ab Juli 2026

Neben den inhaltlichen kommen administrative Bürden hinzu. Betreiber kritischer Anlagen müssen ihre Tätigkeit über eine gemeinsame Plattform des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) registrieren.

Das erste Registrierungsfenster öffnet am 17. Juli 2026. Compliance-Experten warnen: Der Datenschutzbeauftragte ist für diesen Prozess mitverantwortlich. Er muss sicherstellen, dass die Übermittlung von Betreiber- und Anlagendaten an die Behörden allen Datenschutzstandards genügt.

Zudem schreibt das Gesetz umfassende Risikoanalysen und kontinuierliches Incident-Monitoring vor. Die internen Überwachungssysteme, die zwangsläufig Mitarbeiter- und Nutzerdaten verarbeiten, müssen nationalen Sicherheitspflichten und Grundrechten gleichermaßen gerecht werden. Ein Versagen ist teuer: Verwandte Regelwerke wie NIS-2 sehen Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes vor.

Biotech-Branche unter besonderer Beobachtung

Der Bedarf an hochspezialisierten Datenschutzexperten beschränkt sich nicht auf die physische Infrastruktur. Parallel stehen Life-Sciences- und Biotech-Unternehmen unter verschärfter Aufsicht.

Am 12. März gaben der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) eine gemeinsame Stellungnahme zum Vorschlag für einen europäischen Biotech Act ab. Die Behörden begrüßen zwar die Harmonisierung klinischer Studien, fordern aber spezielle, strenge Schutzvorkehrungen für sensible Gesundheitsdaten.

Für Datenschutzbeauftragte in Pharma und Biotech bedeutet das: Sie müssen medizinische Forschungsprotokolle und internationale Datenschutzgesetze gleichermaßen verstehen. Sie sollen die Grundrechte von Studienteilnehmern schützen und gleichzeitig komplexe, grenzüberschreitende Datenflüsse für medizinische Innovationen ermöglichen. Eine Gradwanderung.

Strategischer Imperativ: Integration und Automatisierung

Die Verschmelzung von DSGVO, NIS-2 und dem neuen KRITIS-Gesetz macht den Datenschutzbeauftragten zum strategischen Schlüsselpersonal. Unternehmen in den betroffenen Sektoren werden ihre Compliance-Abteilungen massiv aufstocken müssen.

Rechtsberater empfehlen umgehende Gap-Analysen, um bestehende Datenschutzpraktiken an die neuen physischen und sektorspezifischen Vorgaben anzupassen. Die Integration automatisierter Compliance-Tools und die Einrichtung resortübergreifender Taskforces aus Rechtsabteilung, IT und physischer Sicherheit werden 2026 zum Standard werden.

In einer immer komplexeren Regulierungswelt bleibt der sektorspezifische Datenschutzbeauftragte eine entscheidende Führungsressource. Seine Fähigkeit, hochtechnische Betriebsabläufe in rechtssichere Datenschutzrahmen zu übersetzen, wird über den Schutz von Grundrechten und den reibungslosen Betrieb der europäischen Wirtschaft mitentscheiden.

boerse | 68954349 |