NIS-2 und EU AI Act: Deutsche Unternehmen unter Druck

Mit der Umsetzung der NIS-2-Richtlinie und dem Inkrafttreten des EU AI Acts wächst die persönliche Haftung für Vorstände massiv – doch viele Firmen hinken bei der Umsetzung hinterher.

NIS-2: Nur 38 Prozent der Firmen registriert

Seit Dezember 2025 gilt das novellierte BSI-Gesetz (BSIG), das die Zahl der regulierten Unternehmen von rund 4.000 auf 29.000 hochschnellen ließ. Die neue Rechtslage macht Cybersicherheit zur Chefsache: Vorstände haften persönlich für Versäumnisse – finanziell und strafrechtlich.

Doch die Realität sieht anders aus. Bis Anfang März 2026 hatten gerade einmal 38 Prozent der neu betroffenen Firmen ihre Pflichtregistrierung abgeschlossen. Ein gefährlicher Zustand, denn die Bedrohungslage ist ernster denn je.

Erst Ende April gelang dem Bundeskriminalamt (BKA) ein Schlag gegen die Ransomware-Gruppe REvil. Die Ermittler identifizierten einen mutmaßlichen Drahtzieher der Bande, die zwischen 2020 und 2024 mindestens 130 Angriffe auf deutsche Ziele verübte. Der Gesamtschaden: mindestens 35 Millionen Euro.

Das Problem: Fehlende Auslieferungsabkommen erschweren die Strafverfolgung internationaler Täter. Rechtsberater raten Unternehmen daher zunehmend, auf eigene Resilienz statt auf staatliche Abschreckung zu setzen.

Angesichts der neuen NIS-2-Vorgaben müssen Unternehmen ihre IT-Sicherheit ohne hohe Investitionen oder den massiven Ausbau von Fachabteilungen stärken. Dieses kostenlose E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig alle neuen gesetzlichen Anforderungen erfüllen. Gratis E-Book zum Schutz vor Cyberangriffen herunterladen

Datenschutz: Beschwerden explodieren

In Nordrhein-Westfalen schlug die Datenschutzbeauftragte Bettina Gayk Anfang Mai Alarm. Ihre Behörde verzeichnete für 2025 einen Anstieg der DSGVO-Beschwerden um 67 Prozent auf 12.592 Fälle. Gayk kritisierte einen Trend, bei dem Datennutzung rücksichtslos über Datenschutz gestellt werde.

Die Geldbußen in NRW blieben mit rund 0,5 Millionen Euro vergleichsweise moderat. Europaweit sieht das anders aus: Seit Einführung der DSGVO im Mai 2018 verhängten die Aufsichtsbehörden 1.640 Strafen in Höhe von insgesamt 2,78 Milliarden Euro.

Für kleine und mittlere Unternehmen wird der Datenschutz zunehmend zur Kostenfalle. Große Konzerne budgetieren inzwischen über 2,5 Millionen Euro jährlich für Privacy-Compliance.

Ein aktuelles Urteil des Landesarbeitsgerichts München (Juni 2025) schränkt zudem DSGVO-basierte Auskunftsansprüche auf Compliance-Abschlussberichte ein. Betroffene können jedoch über das Betriebsverfassungsgesetz auf Personalakten zugreifen. Der Fall liegt nun beim Bundesarbeitsgericht.

EU AI Act: Frist läuft

Seit dem 2. Mai 2026 gilt der EU AI Act. Die Verordnung verlangt strenge Transparenz für KI-Systeme in Hochrisikobereichen wie Gesundheitswesen, Finanzen oder kritischer Infrastruktur. Unternehmen müssen Entscheidungsprozesse offenlegen und Risiken minimieren.

Der wichtigste Stichtag: 2. August 2026. Dann greifen die Pflichten für Hochrisiko-KI – etwa in Personalauswahl, Bonitätsprüfung oder Versicherungen. Bei Verstößen drohen Strafen bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes.

Die Folgen sind bereits spürbar: Laut einer Umfrage vom 3. Mai planen 73 Prozent der CIOs in Deutschland, Österreich und der Schweiz, ihre Budgets von Benutzeroberflächen hin zu Dateninfrastruktur und Governance zu verschieben. Der Grund: Viele KI-Pilotprojekte scheitern an schlechter Datenqualität. Im Schnitt kämpfen Unternehmen mit 14 isolierten Datensystemen.

Die neuen Anforderungen des EU AI Acts stellen IT-Abteilungen und Geschäftsführungen vor drängende Fragen zu Risikoklassen und Dokumentationspflichten. Ein kostenloser Umsetzungsleitfaden bietet jetzt den kompakten Überblick über alle Fristen und Anforderungen, um rechtssicher mit KI-Systemen zu arbeiten. Kostenlosen AI Act Leitfaden für Unternehmen sichern

Geopolitische Sprengkraft

Auch international tut sich etwas. In den USA brachten republikanische Abgeordnete Anfang Mai den SECURE Data Act ein – ein bundesweites Datenschutzgesetz. Während Wirtschaftsverbände die Vereinheitlichung begrüßen, warnen Kritiker vor schwächeren Schutzstandards als in bestehenden Landesgesetzen.

China droht derweil mit Vergeltung gegen die EU. Peking wirft Brüssel „institutionelle Diskriminierung“ vor und kritisiert „nicht-technische Risikofaktoren“ im EU-Cybersicherheitsgesetz als Verstoß gegen WTO-Regeln. Für deutsche Compliance-Verantwortliche wird das Management globaler Lieferketten so zur diplomatischen Gradwanderung.

Ausblick: Hektischer Sommer

Die nächsten Monate halten weitere Deadlines bereit. Ab 1. Juni 2026 müssen große Dienstleister wie OpenAI für bestimmte Nutzergruppen auf hardwarebasierte Authentifizierung umstellen – Schluss mit Passwörtern.

Im Fall Meta steht eine neue Prozessrunde an. Nach einem 375-Millionen-Dollar-Urteil in New Mexico zu Kindersicherheit geht es ab dem 4. Mai um grundlegende Geschäftsänderungen: Altersverifikation und ein Verbot von Ende-zu-Ende-Verschlüsselung für Minderjährige.

Für deutsche Unternehmen bleibt die Botschaft klar: Datengovernance ist kein IT-Nischenthema mehr, sondern Kernbestandteil des Risikomanagements und der Vorstandshaftung. Wer jetzt nicht handelt, riskiert nicht nur hohe Strafen – sondern seine persönliche Existenz.

de | wirtschaft | 69276099 |