NIS2-Richtlinie: Persönliche Haftung für Manager wird zur Realität

Die Kombination aus verschärften EU-Regularien und wachsenden Cyber-Bedrohungen macht Vorstände und Geschäftsführer zunehmend persönlich verantwortlich. Wer die neuen Anforderungen ignoriert, riskiert nicht nur Millionenstrafen, sondern auch die eigene Existenz.

Wenn zwei Rechtsräume kollidieren

Der Konflikt zwischen der NIS2-Richtlinie (EU 2022/2555) und dem US-amerikanischen CLOUD Act bringt deutsche Manager in eine Zwickmühle. Während NIS2 eine lückenlose Überprüfung der gesamten Lieferkette verlangt, erlaubt das US-Gesetz amerikanischen Behörden den Zugriff auf Daten bei US-Anbietern – unabhängig vom physischen Serverstandort.

Angesichts der verschärften Haftungsregeln für die Geschäftsführung wird eine lückenlose Dokumentation nach Art. 30 DSGVO zur überlebenswichtigen Pflicht für Unternehmen. Diese praxiserprobte Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher zu erstellen und Bußgelder von bis zu 2 % des Jahresumsatzes zu vermeiden. Kostenlose Vorlage für das Verarbeitungsverzeichnis jetzt herunterladen

Besonders brisant: Wer Cloud-Dienste von Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform (GCP) nutzt, sitzt zwischen allen Stühlen. Die EU verlangt Datenschutz nach europäischen Standards, während US-Behörden jederzeit Zugriff verlangen können.

Die finanziellen Risiken sind enorm. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes. Entscheidend ist jedoch der persönliche Aspekt: Aufsichtsräte und Vorstände haften künftig mit ihrem Privatvermögen.

Gerichte ziehen die Schraube an

Die Entwicklung kommt nicht überraschend. Bereits im November 2021 entschied das Oberlandesgericht Dresden, dass Geschäftsführer neben dem Unternehmen persönlich für DSGVO-Verstöße haften können. Der Bundesgerichtshof präzisierte im Oktober 2023, dass bestimmte Datenweitergaben unter Aktionären zulässig sind – allerdings nur bei konkretem Geschäftszweck.

Für den Mittelstand wird die Lage zunehmend ungemütlich. Schätzungen aus dem September 2025 zufolge fallen allein in Nordrhein-Westfalen tausende Unternehmen unter den NIS2-Geltungsbereich. Die Hürden? Bestimmte Mitarbeiterzahlen und Umsatzschwellen.

Cyberangriffe auf Rekordniveau

Die Dringlichkeit robuster Sicherheitsmaßnahmen zeigt ein aktueller Fall: Mitte April 2026 traf ein massiver Cyberangriff den Abrechnungsdienstleister Unimed. Die Folgen sind bis heute spürbar. Über 72.000 Patientendaten wurden gestohlen – darunter hochsensible Gesundheitsinformationen und Abrechnungsdetails.

Betroffen waren unter anderem die Universitätskliniken in Köln, Freiburg, Ulm, Heidelberg und Tübingen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt seitdem vor gezielten Phishing- und Erpressungsversuchen im Zusammenhang mit dem Vorfall.

Doch der Gesundheitssektor ist kein Einzelfall. Im Energiesektor wurde bereits jedes zweite Unternehmen Opfer eines Cybervorfalls mit Folgeschäden. Weitere prominente Opfer Ende Mai 2026: Foxconn (Ransomware-Angriff auf nordamerikanische Standorte) und der Škoda-Onlineshop (Sicherheitslücke).

Technische Gegenmaßnahmen gefragt

Experten fordern daher modulare Sicherheitsprüfungen, die Technologie, Organisation und menschliche Faktoren gleichzeitig bewerten. Neue Tools sollen helfen:

• Kaspersky veröffentlichte am 23. Mai 2026 eine aktualisierte Mail-Server-Plattform mit „Content Disarm and Reconstruction“ (CDR) und QR-Code-Scanning – angesichts von fast 50 Prozent Spam im weltweiten E-Mail-Verkehr ein dringend benötigtes Update.
• Der Messenger Signal führte ebenfalls am 23. Mai 2026 Warnungen vor unbestätigten Profilnamen ein, um Betrug zu erschweren.

Digitale Souveränität als Ausweg

Die Abhängigkeit von US-Cloud-Anbietern treibt europäische Unternehmen in die Arme heimischer Alternativen. Am 23. Mai 2026 gab die Deutsche Telekom bekannt, ihre T Cloud Public in ein Bundesrahmenvertragssystem für Cloud- und KI-Dienste der öffentlichen Verwaltung aufzunehmen. Die Plattform verarbeitet Daten ausschließlich in deutschen Rechenzentren und erfüllt die Standards BSI C5:2020 und ISO 27001.

Baden-Württemberg macht es vor: Eine Lernplattform für 1,5 Millionen Schüler wurde bereits auf diese souveränen Systeme migriert.

Hardware-Lücken bleiben unheilbar

Selbst die beste Software nützt nichts, wenn die Hardware Sicherheitslücken aufweist. Ein aktuell entdeckter Fehler in Qualcomm-Chips (CVE-2026-25262) ist nicht patchbar – er sitzt im BootROM, dem Herzstück des Prozessors. Ein Albtraum für jedes Compliance-Programm.

Google präsentierte am 12. Mai 2026 mit Android 17 („Cinnamon Bun“) immerhin neue Sicherheitsfunktionen: KI-basierte „Gemini Intelligence“ und natives App-Locking sollen die Sicherheit erhöhen. Ob das reicht, bleibt fraglich.

KI in der Personalarbeit: Neue Risiken

Auch der ethische Einsatz Künstlicher Intelligenz rückt in den Fokus. Die FINDHR-Studie belegt: KI-gestützte Bewerbungssoftware kann Diskriminierung gegenüber Frauen, Älteren und Menschen mit Behinderung verstärken. Der EU AI Act stuft solche Anwendungen als hochriskant ein, die DSGVO verbietet vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Betroffene.

Die neuen Anforderungen des EU AI Act gelten bereits unmittelbar in Deutschland und fordern von Unternehmen eine strikte Risikodokumentation beim Einsatz von KI. Dieser kompakte Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über Fristen, Pflichten und Risikoklassen. EU AI Act Umsetzungsleitfaden kostenlos anfordern

Bremen reagierte im Mai 2026 mit einer KI-Dienstvereinbarung, die explizit Diskriminierungsschutz vorsieht. Ein Signal für andere öffentliche und private Arbeitgeber.

Ausblick: Was kommt auf Unternehmen zu?

Die GITEX AI EUROPE vom 30. Juni bis 1. Juli 2026 in Berlin wird richtungsweisend sein. Über 800 Unternehmen diskutieren dort Cloud-Souveränität und NIS2-Compliance. Investitionen von insgesamt 180 Millionen Euro in die europäische Cloud-Infrastruktur sind bereits im Gespräch.

Marktforscher beobachten einen trend zu Hybrid-Cloud-Architekturen, warnen aber vor neuen Sicherheitslücken durch die zunehmende Komplexität. Für Unternehmen heißt der Weg nach vorne: Lieferketten rigoros prüfen und „Privacy by Design“ zum Standard machen. Compliance-Programme, die das Zusammenspiel von Cybersicherheit, KI-Ethik und Managerhaftung ignorieren, werden vor Gericht und bei Aufsichtsbehörden keine Gnade finden.

de | wirtschaft | 69413212 |