Datenschutz-Compliance: NIS-2 zwingt 30.000 Unternehmen zu IAM
12.06.2026 - 20:55:21 | boerse-global.de
Doch der Datenschutz bremst den Hype: Biometrische Systeme, RFID und KI-gestützte Videoüberwachung stoßen an rechtliche Grenzen. Besonders die DSGVO und die neue NIS-2-Richtlinie zwingen Unternehmen zu präziser Dokumentation.
Biometrie unter besonderer Beobachtung
Der Einsatz moderner Zutrittssysteme unterliegt strikten Vorgaben der Datenschutz-Grundverordnung. Unternehmen müssen eine Rechtsgrundlage nach Artikel 6 DSGVO definieren und technische sowie organisatorische Maßnahmen (TOM) gemäß Artikel 32 umsetzen.
Anzeige: Wer die NIS-2-IAM-Pflicht für sein Unternehmen umsetzen muss, findet in diesem kostenlosen Report die wichtigsten Hebel – von der Risikoanalyse bis zur Muster-Dokumentation. Jetzt kostenlosen Compliance-Report anfordern
Besonders kritisch: die Nutzung biometrischer Daten. Fingerabdrücke oder Gesichtserkennung fallen unter Artikel 9 DSGVO – und damit unter deutlich strengere Regeln. Ein aktuelles Beispiel zeigt die Folgen: Die italienische Datenschutzbehörde Garante erklärte im März 2026 ein biometrisches System am Flughafen Mailand-Linate für rechtswidrig. Das System war bereits im September 2025 gestoppt worden. Die Gründe: Verstöße gegen Datensparsamkeit, Sicherheit und Transparenz. Biometrische Templates wurden zentral gespeichert, Daten bis zu zwölf Monate aufbewahrt.
Integration in bestehende Systeme
In Industriebetrieben kommen Technologien wie RFID, Biometrie und videobasierte KI-Systeme zum Einsatz. Ihr Mehrwert steigt vor allem durch die Integration in bestehende ERP- und HR-Strukturen. Doch Experten warnen: Klare Löschfristen für Zutrittsprotokolle sind Pflicht. Physische Sperren wie Drehkreuze oder Schleusen müssen mit den digitalen Systemen harmonisiert werden.
Die Planung beginnt idealerweise mit einer umfassenden Risikoanalyse. Dabei sind Normen wie die DIN EN 50131 für Einbruchmeldeanlagen und die DIN EN 62676 für Videoüberwachung zu berücksichtigen. Und noch etwas rückt in den Fokus: die Überwachung am Arbeitsplatz. Technische Einrichtungen zur Verhaltens- und Leistungskontrolle – etwa eine automatische Standorterfassung – unterliegen der Mitbestimmung des Betriebsrats.
Human Risk Management: Neue Plattformen
Ein neuer Aspekt in der Sicherheitsarchitektur ist das automatisierte Human Risk Management. Seit dem 11. Juni 2026 stehen spezialisierte Plattformen zur Verfügung. Sie bieten DSGVO-konforme Zuverlässigkeitsprüfungen für das Bewachungsgewerbe und IT-Unternehmen – von Identitätsverifikationen über Strafregisterabfragen bis zu Pre-Employment-Screenings. Die Systeme sollen Unternehmen helfen, Anforderungen aus Standards wie ISO 27001, TISAX oder der NIS-2-Richtlinie zu erfüllen.
NIS-2 und die Kosten der Nachlässigkeit
Der regulatorische Druck wächst. Die NIS-2-Richtlinie, in Deutschland im Dezember 2025 umgesetzt, betrifft schätzungsweise 30.000 Unternehmen. Ein funktionierendes Identity & Access Management (IAM) ist Pflicht – es steuert den Benutzerzugriff und ermöglicht Audits.
Dass Versäumnisse teuer werden können, zeigt ein Fall aus dem Juni 2025. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte Bußgelder von insgesamt 45 Millionen Euro gegen die Vodafone GmbH. 30 Millionen Euro entfielen auf Sicherheitsmängel im Authentifizierungsverfahren, die unbefugte Übernahmen von eSIM-Profilen ermöglicht hatten. Weitere 15 Millionen Euro wegen unzureichender Überwachung externer Vertriebspartner.
Anzeige: Versäumnisse bei Identity & Access Management können Bußgelder bis 45 Mio. Euro auslösen – wie der Vodafone-Fall zeigt. Dieser Report liefert eine konkrete Checkliste, um Ihre IAM-Architektur NIS-2-konform zu gestalten. IAM-Checkliste jetzt sichern
Neue Werkzeuge für das Compliance-Management
Der Europäische Datenschutzausschuss (EDPB) hat am 10. Juni 2026 ein gemeinsames Template für Meldungen von Datenschutzverletzungen angenommen. Das soll Unternehmen helfen, die Meldepflichten nach Artikel 33 DSGVO strukturiert und zeitnah zu erfüllen – im Regelfall innerhalb von 72 Stunden. Eine öffentliche Konsultation zum Entwurf läuft bis Anfang August 2026.
Und auch die Software-Hersteller ziehen nach: Ab Juni 2026 führt Microsoft in Teams eine automatische Standorterkennung ein. Die Funktion ist standardmäßig deaktiviert, Daten sollen am Tagesende gelöscht werden. Doch Experten betonen: Im DACH-Raum erfordert der Einsatz eine enge Abstimmung mit den Arbeitnehmervertretungen.
