Aktuelle IT-Governance und IT-Compliance

Digital Omnibus Package: Der große „Reparatur-Patch" für das EU-Digitalrecht

Zusammenfassung

Am 19. November 2025 hat die Europäische Kommission das lang erwartete Digital Omnibus Package vorgestellt. Das Ziel: Die zentralen Bausteine des europäischen Digitalrechts (Data Act, DSGVO, AI Act, NIS2, DORA, eIDAS, CER) zu entflechten, zu vereinfachen und besser zu verzahnen.

Die Kernpunkte versprechen echte Entlastung:

• Ein einheitlicher Meldekanal („Single Entry Point") für Sicherheitsvorfälle und Datenpannen.
• Die Bündelung verschiedener Daten-Regularien direkt im Data Act.
• Gezielte Anpassungen der DSGVO (u. a. pragmatischere Meldefristen, Klarstellungen bei Pseudonymisierung).
• Erleichterungen im AI Act für KMU und vereinfachte Konformitätsbewertungen.

Kritiker warnen zwar vor einer Aufweichung des Schutzniveaus, doch aus Wirtschaftsperspektive ist das Paket der notwendige Schritt, um die Compliance-Last handhabbar zu machen.

EU AI Act: Wie sich Unternehmen auf Konformitätsprüfungen vorbereiten

Zusammenfassung

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende Rechtsrahmen für Künstliche Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis zum 2. August 2026 vollständig anwendbar.

Während verbotene KI-Praktiken bereits seit Februar 2025 untersagt sind und Regelungen zu General Purpose AI (GPAI) seit August 2025 gelten, rückt nun der komplexeste Teil in den Fokus: Die strengen Vorgaben für Hochrisiko-KI-Systeme, die ab August 2026 (bzw. für bestimmte integrierte Produkte ab 2027) greifen.

Für diese Hochrisiko-Systeme sind Konformitätsprüfungen der zentrale Hebel. Sie bewerten Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht sowie Cybersicherheit und führen zur Vergabe der CE-Kennzeichnung. Experten (u. a. ICAEW) betonen, dass Unternehmen jetzt ihr KI-Inventar bereinigen und Governance-Strukturen aufbauen müssen, um ab 2026 marktfähig zu bleiben.

NIS2-Umsetzungsgesetz in Deutschland: Ab sofort neue Pflichten für tausende Unternehmen

Zusammenfassung

Am 5. Dezember 2025 wurde das deutsche NIS2-Umsetzungsgesetz im Bundesgesetzblatt veröffentlicht und trat am 6. Dezember 2025 in Kraft. Damit wird die EU-NIS2-Richtlinie in deutsches Recht überführt und der Kreis der betroffenen Einrichtungen massiv ausgeweitet: Statt bislang rund 4.500 gelten nun geschätzt bis zu 30.000 Unternehmen und Organisationen als reguliert, eingeteilt in „wichtige" und „besonders wichtige" Einrichtungen.

Zentrales Element sind ein verpflichtendes Cybersicherheits-Risikomanagement, strenge Meldepflichten für Sicherheitsvorfälle sowie eine Registrierung beim BSI. Für das digitale Unternehmenskonto „Mein Unternehmenskonto" empfiehlt das BSI eine Einrichtung spätestens bis Ende 2025; die Registrierung im neuen BSI-Portal soll ab dem 6. Januar 2026 möglich sein.

Wichtig: Übergangsfristen für die Sicherheitsmaßnahmen gibt es praktisch nicht. Bei Verstößen drohen Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes (für besonders wichtige Einrichtungen) bzw. 7 Mio. Euro oder 1,4 % (für wichtige Einrichtungen).

EU Data Act: Rechtliche Bindung ab 12. September 2025

Zusammenfassung

Der EU Data Act wird nach 20-monatiger Übergangsfrist EU-weit verbindlich und regelt umfassend den Zugang und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten. Die Verordnung betrifft nahezu alle Wirtschaftszweige und schreibt Herstellern vor, maschinell lesbare, strukturierte Datenzugänge bereitzustellen. Bei Verstößen gegen zentrale Pflichten (Kapitel II, III und V des Data Acts) können Sanktionen in Anlehnung an die DSGVO verhängt werden.

Vodafone DSGVO-Rekordstrafe: 45 Millionen Euro

Zusammenfassung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte im Juni 2025 ein Rekord-Bußgeld in Höhe von 45 Millionen Euro gegen Vodafone Deutschland. Grund waren gravierende Datenschutzverstöße durch mangelhafte Kontrolle von Partneragenturen und Sicherheitsmängel im Authentifizierungsprozess des Onlineportals „MeinVodafone". Das Bußgeld übertrifft das vorherige Rekordbußgeld gegen H&M (35,3 Mio. EUR) deutlich.

EU AI Act: GPAI-Modelle unter neuer Regulierung

Zusammenfassung

Ab dem 2. August 2025 treten erstmals verbindliche Pflichten für Anbieter von General Purpose AI-Modellen (GPAI) in der EU in Kraft. Die Europäische Kommission hat begleitende Leitlinien sowie einen freiwilligen Verhaltenskodex veröffentlicht, um die praktische Umsetzung zu erleichtern und Transparenz sicherzustellen. Die aktive Kontroll- und Durchsetzungsphase durch das EU AI Office beginnt ein Jahr später, am 2. August 2026.

NIS2-Umsetzungsgesetz Deutschland: Finale Gesetzgebungsphase

Zusammenfassung

Das Bundeskabinett hat den finalen Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" beschlossen. Mit dem Gesetz wird die Aufsicht des BSI wesentlich erweitert: Statt bisher ca. 4.500 sind künftig rund 29.500 Einrichtungen betroffen, insbesondere durch Ausweitung auf „wichtige" und „besonders wichtige" Unternehmen in 18 Wirtschaftssektoren.

Zusammenfassung

Am 13. Oktober 2025 fand im Innenausschuss des Deutschen Bundestages die öffentliche Anhörung zum Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie" (NIS2UmsuCG, BT-Drs. 21/1501) statt. Der Entwurf soll die EU-Richtlinie (EU) 2022/2555 in nationales Recht überführen und das BSI-Gesetz (BSIG) sowie weitere Fachgesetze anpassen. Ziel ist es, den Geltungsbereich der Cybersicherheitsanforderungen deutlich zu erweitern und Aufsicht, Meldewege und Mindeststandards neu zu ordnen.

Mehrere Sachverständige, darunter Vertreter:innen von Bitkom, eco, BDI und der Datenschutzkonferenz (DSK), mahnten jedoch rechtliche und organisatorische Unschärfen an. Insbesondere die Abgrenzung zwischen „wesentlichen" und „wichtigen Einrichtungen", das dreistufige Meldesystem, die Aufsichtskompetenzen des BSI und die Interoperabilität mit bestehenden Regimen (z. B. DSGVO, DORA, KRITIS-DachG) gelten als noch nicht praxistauglich ausgestaltet.

Der Gesetzentwurf befindet sich weiterhin in der Ausschussberatung; eine zweite und dritte Lesung im Bundestag ist frühestens im November oder Dezember 2025 zu erwarten.