Aktuelle IT-Governance und IT-Compliance

EU Data Act: Rechtliche Bindung ab 12. September 2025

Zusammenfassung

Der EU Data Act wird nach 20-monatiger Übergangsfrist EU-weit verbindlich und regelt umfassend den Zugang und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten. Die Verordnung betrifft nahezu alle Wirtschaftszweige und schreibt Herstellern vor, maschinell lesbare, strukturierte Datenzugänge bereitzustellen. Bei Verstößen gegen zentrale Pflichten (Kapitel II, III und V des Data Acts) können Sanktionen in Anlehnung an die DSGVO verhängt werden.

Analyse & Bewertung

Management-Perspektive:

• Universelle Betroffenheit: Alle Unternehmen mit datenverarbeitenden vernetzten Produkten in der EU sind verpflichtet, Nutzern Zugriff auf Maschinendaten zu gewähren.
• Wettbewerbsdynamik: Erleichterter Datenzugang fördert Wettbewerb, Innovation und neue Geschäftsmodelle, bringt aber auch Anpassungs- und Investitionsbedarf mit sich.
• Vertragsprüfung: Die Überarbeitung bestehender B2B-Verträge und die Berücksichtigung neuer Datenzugangsrechte werden entscheidend sein.
• Nationale Umsetzung: Deutschland hat das Durchführungsgesetz noch nicht verabschiedet. Der aktuelle deutsche Gesetzesentwurf sieht vor, der BNetzA die Befugnis zu erteilen, zur Durchsetzung ihrer Anordnungen Zwangsgelder von bis zu 10 Mio. Euro zu verhängen. Daneben gibt es einen Katalog für Ordnungswidrigkeiten mit geringeren Bußgeldern.
• Compliance-Risiko: Hohe Zwangsgelder und Reputationsrisiken bei Nichteinhaltung drücken den Handlungsdruck auf Unternehmen.

Technische Perspektive:

• Interoperabilität und API-Anforderungen: Hersteller müssen offene, standardisierte und maschinenlesbare Schnittstellen bereitstellen, die einfachen, sicheren Datentransfer ermöglichen.
• Cloud-Switching & Datenportabilität: Kunden müssen die Möglichkeit erhalten, Cloud-Dienste einfach zu wechseln oder parallel zu nutzen.
• Datenschutz & Schutz von Geschäftsgeheimnissen: Die DSGVO bleibt bei personenbezogenen Daten ergänzend und streng anwendbar. Schutzmechanismen für Geschäftsgeheimnisse sind im Einzelfall zu wahren.
• Datenarten: Herausgegeben werden Rohdaten oder vorverarbeitete Produkt- und Dienstdaten, die während der Nutzung entstanden sind – dies betrifft sowohl private als auch industrielle IoT-Geräte.

Risikoeinschätzung: HOCH

Empfehlungen:

• Sofort: Notfall-Compliance-Checks insbesondere für kritische Datenflüsse und Vertragswerke.
• Kurzfristig: Aufbau technischer Schnittstellen, strukturierte Datenformate und Governance-Strukturen für Datenzugang.
• Strategisch: Integration des Data Acts in Unternehmensstrategie, Investition in Dateninfrastruktur und Schulung der Mitarbeiter zum Umgang mit neuen Regelungen.

Zusatzinformationen:

Der EU Data Act ist ein Meilenstein in der europäischen Datenwirtschaft, der den Nutzerrechten bei IoT-Geräten und verbundenen Diensten zu mehr Durchsetzung verhilft und gleichzeitig die digitale Souveränität steigert. Zugangsrechte gelten für eine breite Produktpalette von Smart-TVs, Autos bis Industrieanlagen. Die Verordnung schafft neue Chancen vor allem für KMU, die durch erleichterten Datenzugriff ihr Innovationspotenzial besser nutzen können. Gleichzeitig bleibt der Schutz von Geschäftsgeheimnissen und personenbezogenen Daten (DSGVO) essentiell. Unternehmen müssen jetzt aktiv werden, um Compliance-Risiken zu minimieren und Potenziale zu realisieren.

Vodafone DSGVO-Rekordstrafe: 45 Millionen Euro

Zusammenfassung

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte im Juni 2025 ein Rekord-Bußgeld in Höhe von 45 Millionen Euro gegen Vodafone Deutschland. Grund waren gravierende Datenschutzverstöße durch mangelhafte Kontrolle von Partneragenturen und Sicherheitsmängel im Authentifizierungsprozess des Onlineportals „MeinVodafone". Das Bußgeld übertrifft das vorherige Rekordbußgeld gegen H&M (35,3 Mio. EUR) deutlich.

Analyse & Bewertung

Management-Perspektive:

• Verschärfte Durchsetzung: Die Datenschutzbehörden gehen konsequenter gegen verstärkte Verstöße vor.
• Partnerrisiken: Unzureichende Prüfung und Überwachung von Dienstleistern führten zu fingierten Vertragsabschlüssen zulasten der Kunden.
• Reputationsschaden: Neben dem Bußgeld entsteht erheblicher Imageverlust und vermehrte Schadensersatzforderungen.
• Präzedenzfall: Signalwirkung für Telekommunikationsunternehmen und andere Branchen.

Technische Perspektive:

• Authentifizierungsmängel: Schwachstellen im kombinierten Zugang über Onlineportal und Hotline ermöglichten unbefugten Zugriff auf eSIM-Profile.
• Partnerintegration: Fehlende technische Kontrollen und Auditprozesse bei Drittanbietern.
• DSGVO-Compliance: Verletzungen von Art. 28 (Auftragsverarbeitung) und Art. 32 (Datensicherheit) DSGVO.

Risikoeinschätzung: HOCH

Empfehlung:

• Kurzfristig: Überprüfung aller Partnerverträge und Due-Diligence-Prozesse intensivieren.
• Mittelfristig: Einführung technischer Sicherheitskontrollen und regelmäßiger Audits.
• Strategisch: Stärkung der Datenschutz-Governance und konsequente Umsetzung von Privacy by Design-Prinzipien.

EU AI Act: GPAI-Modelle unter neuer Regulierung

Zusammenfassung

Ab dem 2. August 2025 treten erstmals verbindliche Pflichten für Anbieter von General Purpose AI-Modellen (GPAI) in der EU in Kraft. Die Europäische Kommission hat begleitende Leitlinien sowie einen freiwilligen Verhaltenskodex veröffentlicht, um die praktische Umsetzung zu erleichtern und Transparenz sicherzustellen. Die aktive Kontroll- und Durchsetzungsphase durch das EU AI Office beginnt ein Jahr später, am 2. August 2026.

Analyse & Bewertung

Management-Perspektive:

• Neue Compliance-Kategorie: GPAI-Modelle, die ein systemisches Risiko für den europäischen Markt darstellen, unterliegen umfangreichen regulatorischen Anforderungen.
• Transparenzpflichten: Anbieter müssen detaillierte Informationen zu den Trainingsdaten, -methoden und Sicherheitsmaßnahmen dokumentieren und auf Anfrage bereitstellen.
• Urheberrechtskonformität: Sicherstellung der Compliance im Umgang mit Trainingsdaten, insbesondere hinsichtlich Urheberrecht und geistigem Eigentum.
• Bußgeldrisiko: Bei Verstößen drohen Bußgelder von bis zu 35 Mio. Euro oder bis zu 7% des weltweiten Jahresumsatzes des verantwortlichen Unternehmens.
• Verhaltenskodex: Ein freiwilliger Code of Practice steht zur Unterstützung der Compliance zur Verfügung und kann regulatorische Vorteile bieten.

Technische Perspektive:

• Dokumentationspflichten: Umfassende technische Spezifikationen, Risikobewertungen und Compliance-Nachweise müssen gepflegt werden.
• Test- und Evaluierungsverfahren: GPAI-Modelle sind vor der Markteinführung umfangreichen Tests und Evaluierungen zu unterziehen, um Risiken frühzeitig zu identifizieren.
• Meldepflichten: Schwerwiegende Sicherheitsvorfälle und Missbrauchsfälle müssen unverzüglich den zuständigen Behörden gemeldet werden.
• Security by Design: Sicherheits- und Datenschutzmaßnahmen sind bereits in der Entwicklungsphase verbindlich zu implementieren.

Risikoeinschätzung: MITTEL bis HOCH

Empfehlung:

• Kurzfristig: Bestandsaufnahme aller eingesetzten und angebotenen KI-Systeme mit Klassifizierung nach Risikogruppen, Erfassung des regulatorischen Status.
• Mittelfristig: Aufbau und Implementierung belastbarer KI-Governance-Strukturen einschließlich Verantwortlichkeiten, Prozessbeschreibungen und Kontrollmechanismen.
• Strategisch: Integration der Vorgaben in Produktentwicklungs- und Innovationsprozesse, fortlaufende Schulung der Mitarbeiter im Umgang mit KI-Systemen, laufende Anpassung an neue Leitlinien und Marktanforderungen.

NIS2-Umsetzungsgesetz Deutschland: Finale Gesetzgebungsphase

Zusammenfassung

Das Bundeskabinett hat den finalen Regierungsentwurf des „Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung" beschlossen. Mit dem Gesetz wird die Aufsicht des BSI wesentlich erweitert: Statt bisher ca. 4.500 sind künftig rund 29.500 Einrichtungen betroffen, insbesondere durch Ausweitung auf „wichtige" und „besonders wichtige" Unternehmen in 18 Wirtschaftssektoren.

Management-Perspektive:

• Betroffenheit: Unternehmen ab 250 Mitarbeitenden oder mit mindestens 50 Mio. Euro Jahresumsatz in den vorgesehenen 18 regulierten Sektoren
• Compliance-Anforderungen: Registrierungspflicht beim BSI, verpflichtende Risikoanalysen und Risikomanagement-Maßnahmen, Meldepflichten bei Sicherheitsvorfällen, Einführung von Multi-Faktor-Authentifizierung
• Geschäftsführerhaftung: Klare persönliche Verantwortung der Unternehmensleitung für die Umsetzung und Einhaltung der Cybersicherheitsanforderungen
• Zeitrahmen: Geplantes Inkrafttreten Ende 2025 bis Anfang 2026; Gesetz befindet sich im parlamentarischen Verfahren mit abschließender Verabschiedung noch offen

Technische Perspektive:

• Risikomanagement: Verpflichtende Erstellung und Umsetzung von Risikoanalysen, kontinuierliche Überprüfung und Incident-Response-Konzepte
• Supply Chain Security: Explizite Anforderungen zur Absicherung der Lieferketten- und Dienstleisterbeziehungen
• Technische Maßnahmen: Sicherheitstechnologien wie Multi-Faktor-Authentifizierung, verschlüsselte Kommunikation, regelmäßige Mitarbeiterschulungen und Sensibilisierung

Risikoeinschätzung: HOCH

Empfehlung:

• Kurzfristig: Umfassende Betroffenheitsprüfung durchführen, detaillierte Gap-Analyse der bestehenden Cybersecurity-Maßnahmen starten
• Mittelfristig: Aufbau oder Anpassung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001; sorgfältige Dokumentation der Maßnahmen und Prozesse
• Strategisch: Integration der NIS2-Anforderungen in bestehende Compliance-Programme und IT-Governance, frühzeitige Budgetplanung für die Phasen 2025/2026, regelmäßige Schulungen und Audits etablieren