KRITIS-Dachgesetz: 1.300 Betreiber müssen bis Juli registrieren

Neue Gerichtsurteile zu Videoüberwachung und der Ausbau der NIS-2- und KRITIS-Regularien stellen Zehntausende Organisationen vor gewaltige Compliance-Herausforderungen. Was bedeutet das konkret für deutsche Betriebe?

Klare Regeln für Videoüberwachung und Zutrittskontrollen

Gleich mehrere Gerichtsentscheidungen haben jüngst die Grenzen des Datenschutzes bei Sicherheitsmaßnahmen präzisiert. Das Verwaltungsgericht (VG) Berlin entschied am 6. Mai 2026 zugunsten der Berliner Bäder-Betriebe: Die verpflichtende Ausweiskontrolle für Personen ab 14 Jahren sowie die selektive Videoüberwachung sind datenschutzkonform. Die Maßnahmen waren nach Sicherheitsvorfällen im Jahr 2023 eingeführt worden. Die Aufnahmen werden 72 Stunden gespeichert, eine Live-Überwachung findet nicht statt. Eine Evaluierung 2024 bestätigte, dass die Maßnahmen zu einer stabileren Sicherheitslage beigetragen haben.

Die Einhaltung der DSGVO bei Überwachungsmaßnahmen erfordert eine lückenlose Dokumentation, um rechtlich auf der sicheren Seite zu stehen. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

In einem separaten Urteil vom 2. Februar 2026 befasste sich das VG Ansbach mit Nachbarschaftsüberwachung. Die Richter stellten klar: Eine softwarebasierte Unschärfe benachbarter Grundstücke reicht aus, um die Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Die Datenschutzbehörden haben Ermessensspielraum und müssen keine technischen Löschungen erzwingen, solange das Risiko durch Software wirksam gemindert wird.

KRITIS-Dachgesetz: Härtere Auflagen für kritische Infrastruktur

Mit dem KRITIS-Dachgesetz, das am 16. März 2026 in Kraft trat, hat sich die Regulierung kritischer Infrastrukturen drastisch verschärft. Rund 1.300 Betreiber in elf Sektoren sind betroffen. Sie müssen detaillierte Risikoanalysen durchführen und Resilienzpläne entwickeln.

Eine zentrale Neuerung: die verpflichtende Zuverlässigkeitsüberprüfung für Personal in sensiblen Positionen. Die Betreiber haben bis zum 17. Juli 2026 Zeit, sich beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) zu registrieren. Wer die neuen Anforderungen nicht erfüllt, riskiert Bußgelder von bis zu 500.000 Euro.

NIS-2: Management haftet persönlich für Cybersicherheit

Die Umsetzung der NIS-2-Richtlinie in deutsches Recht durch das NIS2UmsuCG, das seit dem 6. Dezember 2025 gilt, hat den Kreis der regulierten Organisationen dramatisch erweitert: von rund 4.500 auf schätzungsweise 30.000 Unternehmen. Cybersicherheit ist nun eine Chefsache – die Geschäftsführung haftet persönlich bei Verstößen.

Das Gesetz schreibt ein dreistufiges Meldeverfahren für Sicherheitsvorfälle vor:
- Erstmeldung innerhalb von 24 Stunden
- Vollständige Meldung innerhalb von 72 Stunden
- Abschlussbericht nach einem Monat

Seit dem 6. Januar 2026 können sich Unternehmen über das BSI-Portal registrieren. Zudem müssen Führungskräfte alle drei Jahre eine verpflichtende Schulung absolvieren – in der Regel ein vierstündiges Curriculum zur Risikoerkennung und -minimierung. Bei Verstößen drohen Strafen von bis zu 20 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Angesichts der neuen NIS-2-Anforderungen und der persönlichen Haftung für die Geschäftsführung ist ein proaktiver Schutz vor Cyberangriffen unerlässlich. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit ohne hohe Investitionen zu stärken. Gratis-E-Book: Cyber-Sicherheit proaktiv stärken

Neue Standards für Cloud-Souveränität und Zero Trust

Die Integration moderner Technologien in Sicherheitskonzepte beschleunigt sich. Branchenberichte vom Mai 2026 zeigen: KI-gestützte Assistenten helfen Unternehmen, den Aufwand für die DSGVO-Dokumentation um 60 bis 75 Prozent zu reduzieren. Die rechtliche Bewertung bleibt jedoch weiterhin Aufgabe des Menschen.

Im Bereich der Betriebstechnologie (OT) veröffentlichten fünf US-Behörden, darunter CISA und FBI, im Mai 2026 einen Leitfaden mit dem Titel "Zero Trust Principles für OT". Das Papier warnt vor staatlich gesteuerten Gruppen wie "Volt Typhoon" und empfiehlt passive Überwachung, um Störungen älterer Industrieanlagen zu vermeiden.

Parallel dazu entwickeln sich die europäischen Cloud-Standards weiter. Während für Cloud-Dienste im Gesundheitssektor seit Juli 2025 ein verpflichtendes Testat gilt, wird der BSI C5:2026-Standard mit 168 Kriterien im Juni 2027 verpflichtend. Um die digitale Souveränität zu stärken, wurde am 27. April 2026 das neue C3A-Framework eingeführt, das die strukturelle Unabhängigkeit von Cloud-Anbietern bewertet.

Bedrohungslage und Durchsetzung: Bußgelder in Millionenhöhe

Die Dringlichkeit der Maßnahmen zeigt sich an aktuellen Durchsetzungsmaßnahmen und der wachsenden Bedrohungslage. Ende Mai 2026 meldeten Behörden eine Geldstrafe von 100 Millionen Euro gegen die Yandex-Tochter MLU (Yango) wegen unerlaubter Datentransfers. Zudem waren bei einem großen Datenleck an einer Universitätsklinik kürzlich mehr als 120.000 Patienten betroffen.

Der ENISA NIS360-Bericht vom 29. Mai 2026 stellt fest: Während Banken und Telekommunikation weiterhin führend in der Sicherheit sind, weitet sich die Risikozone auf den Schienenverkehr und die Wasserwirtschaft aus. Diese Verschiebung wird durch die hohe Zahl technischer Schwachstellen verstärkt: Branchendaten zeigen, dass allein im Jahr 2025 knapp 50.000 neue Sicherheitslücken identifiziert wurden.

de | wirtschaft | 69449376 |