Compliance und Datenschutz: Neue Ära für Unternehmen

Regulierungswelle und wachsende Haftungsrisiken zwingen Vorstände zum Umdenken.

Die Anforderungen an Unternehmens-Compliance und Datenschutz haben sich grundlegend gewandelt. Ein regelrechter Flickenteppich neuer Gesetze in den USA und die praktische Umsetzung des EU-AI-Gesetzes treiben die Kosten für Verstöße in die Höhe. Doch es geht längst nicht mehr nur um Bußgelder – operative Störungen und veränderte Haftungsstandards setzen Führungsetagen unter Druck.

Acht neue US-Datenschutzgesetze 2025

Das vergangene Jahr markierte einen Wendepunkt in der amerikanischen Regulierungslandschaft. Gleich acht Bundesstaaten führten neue Datenschutzgesetze ein. Am 1. Januar 2025 traten umfassende Regelungen in Delaware, Iowa, Nebraska und New Hampshire in Kraft – mit teils deutlich unterschiedlichen Schwellenwerten.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act in 5 Schritten verstehen

Während das Delaware-Gesetz Unternehmen betrifft, die Daten von mindestens 35.000 Einwohnern verarbeiten, setzt Iowa die Latte mit 100.000 Betroffenen höher – verzichtet aber auf ein Recht auf Datenberichtigung. New Jersey zog am 15. Januar nach und stuft Finanzinformationen als besonders schützenswert ein. Die Behörden verlangen dort eine 15-Tage-Frist für die Bearbeitung von Widersprüchen.

Im Sommer folgten Tennessee (Umsatzgrenze: 25 Millionen Dollar) und Minnesota mit der Pflicht zur detaillierten Dateninventur. Maryland verabschiedete im Herbst eines der strengsten Gesetze: Werbung an Minderjährige ist verboten, Geofencing rund um Gesundheitseinrichtungen untersagt.

EU-AI-Gesetz: Vier Risikostufen im Praxistest

In Europa rückt die konkrete Umsetzung des KI-Gesetzes in den Fokus. Der Rechtsrahmen kategorisiert KI-Systeme in vier Risikostufen. Besonders betroffen: Hochrisiko-Anwendungen in Personalabteilungen, bei der Kreditvergabe oder in kritischer Infrastruktur.

„Die größten Fehler passieren, wenn Unternehmen die neuen Regeln nicht in bestehende Managementsysteme integrieren", erklärt ein auf IT-Recht spezialisierter Anwalt. Auch die unerlaubte Nutzung externer KI-Tools durch Mitarbeiter bereitet zunehmend Kopfzerbrechen.

Prüfungsausschüsse in der Zwickmühle

Die Überwachung dieser Risiken wandert immer häufiger in die formalen Gremien der Unternehmen. Eine aktuelle Analyse der S&P-500-Unternehmen zeigt: 79 Prozent lagern die Cyber-Risikoaufsicht inzwischen in den Prüfungsausschuss – ein deutlicher Anstieg von 71,2 Prozent im Jahr 2024.

Doch Fachleute warnen vor Überlastung. Während 39 Prozent der Finanzunternehmen spezialisierte Risikoausschüsse einsetzen, sind es im breiten S&P-500-Index nur acht Prozent. Gerade einmal 6,2 Prozent aller Firmen haben eigene Technologie- oder Cybersicherheitsausschüsse eingerichtet. Die Gefahr: Compliance wird zur reinen Abhak-Übung, während die operative Widerstandsfähigkeit leidet.

Cyberkriminalität trifft jeden Neunten

Wie real die Bedrohung ist, zeigt eine repräsentative Erhebung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Januar 2026. Jeder neunte Internetnutzer in Deutschland wurde im vergangenen Jahr Opfer von Cyberkriminalität. Besonders häufig: Betrug beim Online-Shopping (22 Prozent der Fälle) und unbefugter Kontozugriff (14 Prozent). 88 Prozent der Betroffenen erlitten Schäden, ein Drittel sogar finanzielle Verluste.

Whistleblower-Schutz: BAG setzt Grenzen

Das Bundesarbeitsgericht stellte am 4. Dezember 2025 klar: Der Schutz durch das Hinweisgeberschutzgesetz (HinSchG) ist nicht absolut. Ein Whistleblower kann auch während der Probezeit gekündigt werden – wenn der Arbeitgeber die Entscheidung bereits vor der Meldung getroffen hatte. Nur bei direktem Kausalzusammenhang zwischen Hinweis und Kündigung greift der Schutz.

Hinweisgeberschutzgesetz: Diese Fallstricke können Ihr Unternehmen teuer zu stehen kommen. Ein kostenloser Praxisleitfaden mit Checkliste zeigt Schritt für Schritt, wie interne Meldestellen rechtssicher organisiert werden. Leitfaden zum HinSchG jetzt kostenlos herunterladen

Die Bedeutung interner Meldewege unterstreicht auch die Arbeit der neuen hessischen Beratungsstelle gegen Hassrede im Netz. In den ersten drei Monaten bis zum 15. Mai 2026 gingen über 450 Anfragen ein. Innenminister Roman Poseck setzt bewusst auf Opferhilfe statt auf Massenmeldungen.

Korruption im Polizeiapparat

Dass Compliance-Verstöße auch strafrechtliche Konsequenzen haben, zeigt ein Fall vor dem Kölner Landgericht. Ein suspendierter Polizeibeamter aus Bonn soll gegen geringe Geldbeträge vertrauliche Informationen aus polizeilichen Datenbanken an Drogenkriminelle weitergegeben haben. Ein zweiter Beamter steht wegen Urkundenfälschung im Zusammenhang mit einem Führerscheinentzug vor Gericht.

Cloud-Sicherheit: Neue Standards gefordert

Der IAMCP German Chapter veröffentlichte am 15. Mai 2026 Leitlinien zum C3A-Kriterienkatalog des BSI. Das Modell dient als Transparenzrahmen für Cloud-Souveränität – rechtlich nicht bindend, aber richtungsweisend. Experten empfehlen, den bestehenden C5-Standard als Sicherheitsbasis beizubehalten und neue Modelle für verschiedene Souveränitätsstufen zu nutzen.

Sicherheitsspezialisten betonen: Unberechtigter Zugriff steht am Anfang fast jeder Sicherheitsverletzung. Der Fokus verschiebt sich daher auf durchgängiges Zugriffsmanagement, besonders in Kubernetes-basierten Infrastrukturen. Parallel dazu veröffentlichte das US-amerikanische NIST ein Update seines Privacy Frameworks (Version 1.1), das Unternehmen hilft, Datenschutzrisiken systematischer zu identifizieren.

Lufthansa als Beispiel: Zwischen Compliance und Geschäftsinteresse

Großkonzerne wie die Lufthansa zeigen, wie die Praxis aussieht. Der Kranich-Konzern stützt sich auf eine Mischung aus Vertragserfüllung, berechtigtem Interesse und expliziter Einwilligung – immer im Rahmen der DSGVO und des Bundesdatenschutzgesetzes. Daten für KI-Training werden anonymisiert, Aufbewahrungsfristen zwischen sechs und zehn Jahren strikt eingehalten.

Alarmierende Lücke: Nur jeder Dritte zeigt Straftaten an

Der Cybersicherheitsmonitor 2026 offenbart ein Paradox: Trotz hohem Problembewusstsein zeigen nur 32 Prozent der Cybercrime-Opfer die Tat an. Diese Dunkelziffer erschwert den Behörden die Arbeit – und den Compliance-Verantwortlichen die Risikobewertung.

Ausblick: KI-gesteuerte Sicherheit und passwortlose Authentifizierung

Die Zukunft gehört der Integration von Künstlicher Intelligenz – sowohl auf Angreifer- als auch auf Verteidigerseite. Analysten prognostizieren für die kommenden Jahre den Durchbruch passwortloser Authentifizierung, KI-gesteuerter Sicherheitszentren und sogenannter „Agentic AI"-Sicherheitslösungen. Diese Technologien sollen die Erkennung von Bedrohungen und das Identitätsmanagement in komplexen B2B-Umgebungen automatisieren.

Mit dem Auslaufen der Übergangsfristen für das EU-AI-Gesetz und der vollständigen Umsetzung weiterer US-Staatsgesetze wird die regulatorische Landkarte noch fragmentierter. Unternehmen müssen sich auf flexible, technologiegetriebene Compliance-Plattformen einstellen. Der Trend: weg von reaktiven Meldungen, hin zu proaktiver Risikomodellierung. Compliance wird so zum strategischen Kern – nicht zur lästigen Verwaltungsaufgabe.

de | wirtschaft | 69352402 |