NIS-2 und GDPR-Reform: Doppelschlag für Datenschutz

Deutschland verschärft die Cybersicherheit, während Brüssel die GDPR umkrempeln will. Selten standen Unternehmen vor einem solchen Regulierungs-Wirbel: Erst das NIS-2-Gesetz im Bundestag, dann die geleakten Pläne für ein „Digital Omnibus”-Paket aus der EU-Kommission. Die Botschaft? Datenschutz und IT-Sicherheit wachsen endgültig zusammen – und wer nicht aufpasst, zahlt Millionen.

Der Donnerstag diese Woche markierte einen Wendepunkt. Während die Abgeordneten in Berlin die nationale Umsetzung der NIS-2-Richtlinie durchwinken, kursieren in Brüssel bereits Entwürfe für eine grundlegende Überarbeitung der Datenschutz-Grundverordnung. Zwei Baustellen, eine Erkenntnis: Die Spielregeln für digitale Identitäten und personenbezogene Daten werden gerade neu geschrieben.

Mit dem NIS-2-Gesetz zieht Deutschland die Sicherheitsschraube deutlich an. Die EU-Richtlinie verpflichtet künftig deutlich mehr Unternehmen zu strengen Risikomanagement- und Meldepflichten – von Energieversorgern über Krankenhäuser bis zu Digitalanbietern und Behörden. Wer zu den „wesentlichen” oder „wichtigen” Einrichtungen zählt, muss technische und organisatorische Schutzmaßnahmen nachweisen können.

Viele Unternehmen unterschätzen die praktischen Anforderungen, die NIS-2 und eine mögliche GDPR‑Reform an Dokumentation und technische Maßnahmen stellen. Ein kostenloses Paket mit 7 editierbaren Datenschutz‑Checklisten führt Sie Schritt für Schritt durch Audit, TOMs und das Verzeichnis der Verarbeitungstätigkeiten – inkl. 65 vorgeschlagener Schutzmaßnahmen nach Art. 32 DSGVO. Ideal für Compliance‑Verantwortliche, die Bußgelder und Umsetzungschaos vermeiden wollen. Jetzt vollständige DSGVO-Checklisten herunterladen

Das Problem: Cybersicherheit und Datenschutz sind längst keine getrennten Welten mehr. Jede Sicherheitslücke, die zu einer Datenpanne führt, aktiviert automatisch die GDPR-Maschinerie. Und dort drohen Bußgelder von bis zu vier Prozent des weltweiten Jahresumsatzes. Die Absicherung digitaler Identitäten – von Kunden wie Mitarbeitern – rückt damit ins Zentrum der Compliance-Strategie.

GDPR-Reform: Vereinfachung oder Aushöhlung?

Kommende Woche will die EU-Kommission ihr „Digital Omnibus”-Paket offiziell vorstellen. Doch die durchgesickerten Entwürfe haben bereits für Aufregung gesorgt. Das erklärte Ziel: Den Regulierungsdschungel lichten, Bürokratie abbauen, mehr Rechtssicherheit schaffen. Die geplanten Änderungen betreffen nicht nur die GDPR, sondern auch das Data Act und den AI Act.

Doch was nach Entlastung klingt, alarmiert Datenschützer. Laut ersten Analysen könnte die Reform die Rechtsgrundlage für KI-Training mit personenbezogenen Daten aufweichen. Meldepflichten bei Datenpannen sollen künftig nur noch bei „hohem Risiko” greifen. Und Unternehmen bekämen neue Möglichkeiten, Betroffenenanfragen als „missbräuchlich” abzulehnen. Max Schrems und seine Organisation NOYB laufen bereits Sturm: Dies könnte Kernrechte der Betroffenen aushöhlen, die das Fundament der GDPR bilden.

Für Unternehmen bedeutet das maximale Unsicherheit. Wer seine Compliance-Strukturen mühsam an die bisherige GDPR-Interpretation angepasst hat, muss womöglich umdenken.

Digitale Identität: Wo alle Fäden zusammenlaufen

Zeitgleich läuft die Umsetzung von eIDAS 2.0. Die EU-Verordnung schafft die Grundlage für die Europäische Digitale Identitäts-Brieftasche (EUDI-Wallet). Bürger können darin künftig Ausweise, Führerscheine oder Gesundheitsdaten digital speichern und teilen. Sensible Identitätsdaten in nie dagewesener Konzentration – und genau an dieser Schnittstelle treffen alle aktuellen Regulierungs-Stränge aufeinander.

Die NIS-2-Sicherheitsanforderungen gelten auch für alle, die mit der EUDI-Wallet interagieren. Gleichzeitig bestimmen die künftigen GDPR-Regeln aus dem Digital Omnibus, wie diese Identitätsdaten verarbeitet werden dürfen. Die Datenschutzgarantien von eIDAS 2.0 orientieren sich zwar an der GDPR – doch was, wenn sich deren Auslegung gerade fundamental wandelt?

Was Unternehmen jetzt wissen müssen

Die aktuelle Entwicklung ist eindeutig: GDPR-Compliance existiert nicht mehr isoliert. Sie verschmilzt mit Cybersicherheit unter NIS-2 und wird durch das Digital Omnibus neu justiert. Ein gefährlicher Dreiklang für alle, die nicht rechtzeitig reagieren.

Identitätsbasierte Cyberangriffe bleiben eine der größten Bedrohungen. Eine einzige erfolgreiche Attacke kann nicht nur zu Reputationsschäden führen, sondern auch Bußgelder in Millionenhöhe nach sich ziehen. Die Regulierungsbehörden haben in den vergangenen Jahren deutlich gemacht, dass sie bereit sind, ihre Befugnisse auszuschöpfen – mehrere Tech-Konzerne können davon ein Lied singen.

Countdown zur Klarheit – oder zum Chaos?

Am 19. November will die Kommission ihre konkreten Digital-Omnibus-Vorschläge präsentieren. Dann erst wird sich zeigen, wie radikal die GDPR-Reform tatsächlich ausfällt. Parallel dazu müssen betroffene deutsche Unternehmen ihre NIS-2-Compliance beschleunigen, bevor die Durchsetzung beginnt.

Die Strategie für die kommenden Monate? Proaktiv statt reaktiv. Wer Cybersicherheit und Datenschutz nicht als integrierte Gesamtstrategie begreift, verliert den Anschluss. Die Vorbereitung auf digitale Identitäten über die EUDI-Wallet gehört ebenfalls auf die Agenda. Denn eines ist sicher: Die Rechnung für Versäumnisse wird in dieser neuen Regulierungslandschaft teurer denn je.

PS: Neben rechtlicher Compliance ist praktische IT-Sicherheit entscheidend – besonders unter NIS‑2. Dieses kostenlose E‑Book zu Cyber‑Security‑Awareness erklärt aktuelle Bedrohungen, welche neuen Gesetze (inkl. KI-Regelungen) jetzt relevant sind und einfache, sofort umsetzbare Schutzmaßnahmen für Mittelstand und IT‑Verantwortliche. Perfekt, um Ihre Compliance‑Lücke zu schließen, bevor eine Meldung fällig wird. Cyber-Security-Report kostenlos herunterladen