EU-Digitalgesetz: Integrierte Compliance auf der Agenda

Von Kate O'Flaherty • 26 Februar 2026

Die EU hat ein neues Digitalisierungsgesetz verabschiedet, das die Regulierung von Datenschutz, Cybersicherheit und KI vereinfachen soll. Wie können Unternehmen sicherstellen, dass ihre Compliance-Strategien anpassungsfähig und vernetzt sind, um angesichts der sich weiterentwickelnden digitalen Regulierung widerstandsfähig zu bleiben?

Von Kate O'Flaherty

Die Vielzahl digitaler Gesetze in verschiedenen Rechtsordnungen zu durchschauen, stellt für die meisten Organisationen ein Minenfeld dar. Der ständige Kampf, alle Vorschriften einzeln zu erfüllen, ist wenig sinnvoll, da sich so viele Anforderungen überschneiden.

Vor diesem Hintergrund hat die EU vorgeschlagen, Digitales Sammelgesetz Entwickelt, um Datenschutz, Cybersicherheit und KI-Regulierung zu optimieren und aufeinander abzustimmen.

Der Gesetzentwurf, der erstmals im November 2025 angekündigt wurde, befindet sich derzeit in der Konsultationsphase und soll Anfang 2027 in Kraft treten. Es wird erwartet, dass er bis 2029 Einsparungen von bis zu 5 Milliarden Euro bringen wird.

Da die digitale Regulierung in den Bereichen Datenschutz, Cybersicherheit und KI immer stärker zusammenwächst, verändern sich auch die Erwartungen an die Bevölkerung. GovernanceVerantwortlichkeit und Risikomanagement sind für Unternehmen unerlässlich. Sie benötigen daher anpassungsfähige und integrierte Compliance-Strategien, um wettbewerbsfähig zu bleiben. federnde im Zuge der Weiterentwicklung der digitalen Regulierung.

Der perfekte Moment für eine Rechnung

Der Gesetzentwurf kommt zum perfekten Zeitpunkt. „Im Laufe der Zeit hat die Anhäufung neuer Vorschriften zu digitaler Sicherheit, Datenintegrität und Datenschutz die Komplexität erhöht und die Compliance-Kosten für in der EU tätige Organisationen in die Höhe getrieben“, sagt Ben Lipczynski, Leiter der Sicherheitsdienste bei Origina.

Regelungen wie die EU-Datenschutzverordnung (DSGVO), Netzwerk- und Informationssysteme 2 (NIS2), die Cyber-Resilienz-Gesetz und der EU-KI-Gesetz wurden mit klaren Zielen eingeführt.

Doch die Überschneidungen hätten „unnötigen Verwaltungsaufwand geschaffen und die Wettbewerbsfähigkeit verringert“, so Lipczynski. Mit dem vorgeschlagenen Digitalgesetz habe die EU erkannt, dass „fragmentierte und redundante digitale Regulierungen“ die Effektivität des Binnenmarktes untergrüben, erklärt er. IO.

Das Digital Omnibus ist nicht einfach nur ein weiteres Gesetz. Es ist vielmehr ein Eingeständnis der EU, dass das alte Modell, zahlreiche Verordnungen als voneinander getrennte Bereiche zu behandeln, nicht mehr funktioniert, so Tracey Hannan-Jones, Consulting Director für Informationssicherheit und GRC sowie Datenschutzbeauftragte der UBDS Digital. „Es ist der erste Versuch der EU, die digitalen Regelungen teilweise zu vereinheitlichen und dabei Daten, KI und Cybersicherheit durch die Anpassung bestehender Instrumente zu optimieren – anstatt neue hinzuzufügen.“

In Wirklichkeit bedeutet dies, dass es sich um eine „horizontale Bereinigung“ handelt. Es ändert die DSGVO, NIS2, das EU-KI-Gesetz, das Data Governance Act und andere Gesetze durch „ein koordiniertes Paket“, erklärt Hannan-Jones.

Rechtsüberschneidungen

Die bestehenden digitalen Gesetze überschneiden sich in vielen Bereichen. Beispielsweise gibt es Überschneidungen zwischen NIS2, dem Cyber Resilience Act und dem EU AI Act hinsichtlich der Anforderungen an die Meldung von Sicherheitsvorfällen und die Resilienz. Diese Überschneidungen sollen durch die geplante zentrale Anlaufstelle (Single-Entry Point) behoben werden, die die Meldepflichten über verschiedene Rahmenwerke hinweg vereinfachen und konsolidieren soll, so Lipczynski von Origina.

Dies bedeutet eine deutliche Abkehr von den oft isolierten Regulierungsrahmen, die laut Lipczynski zu „erhöhter Komplexität und konkurrierenden Anforderungen“ führen können. Derzeit müssen Organisationen bei der Meldung von Cybervorfällen unter Umständen mehrere unabhängige Behörden kontaktieren – jede mit unterschiedlichen Prioritäten für die Datensätze im Vorfallsbericht. „Dies kann in einer kritischen Situation einen erheblichen Verwaltungsaufwand verursachen.“

Ebenso verkompliziert es die Nachverfolgung und Reaktion auf Änderungen in zahlreichen Vorschriften – die oft über unabhängige und verteilte Kanäle kommuniziert werden. „Diese Fragmentierung erschwert die Abstimmung von Reaktionsplänen und Governance-Strukturen und erhöht somit sowohl den Aufwand für die Einhaltung der Vorschriften als auch das operationelle Risiko“, so Lipczynski.

Durch die Angleichung der Prozesse können Unternehmen ihre Compliance-Rahmenbedingungen optimieren und standardisieren sowie betriebliche Effizienzsteigerungen und damit Kosteneinsparungen erzielen, so Lipczynski. „Die freiwerdenden Ressourcen können dann für Maßnahmen eingesetzt werden, die die Fähigkeiten und Wettbewerbsfähigkeit des Unternehmens weiter stärken.“

Organisationen sollten jedoch beachten, dass die regulatorische Konvergenz zwar Chancen eröffnet, aber auch Herausforderungen mit sich bringen kann, so David Dumont, Partner bei Hunton Andrews Kurth. „Ein harmonisiertes und klares Regelwerk für digitale Prozesse kann Organisationen dazu veranlassen, einen umfassenderen und einheitlicheren Ansatz für ihre Datenpraktiken und damit verbundenen Pflichten zu verfolgen. Dadurch bleibt weniger Raum, sich hinter der Komplexität und den Inkonsistenzen des derzeitigen Flickenteppichs an Vorschriften zu verstecken.“

Vernetztes digitales Risikomanagement in der Praxis

Der Digital Omnibus Bill ist ein klares Zeichen dafür, dass Unternehmen ihre isolierten Ansätze in den Bereichen Datenschutz, Cybersicherheit und KI-Compliance überdenken müssen.

Unternehmen sollten eine „vernetzte“ digitale Risikogovernance anstreben, was bedeutet, dass „interne multidisziplinäre Stakeholder zusammenarbeiten und die gleiche Sprache sprechen müssen“, sagt Dumont von Hunton Andrews Kurth.

Um dies zu erreichen, sollten Datenschutz-, Rechts- und Compliance-Teams versuchen, die rechtlichen Anforderungen in technische Begriffe zu übersetzen. „Dies wird IT- und Daten-Governance-Teams dabei helfen, relevante bestehende Maßnahmen innerhalb der Organisation zu identifizieren und diese optimal für die Einhaltung der neuen digitalen Gesetze zu nutzen“, rät er.

In der Praxis bedeutet integriertes digitales Risikomanagement die Einrichtung einer zentralen Governance-Ebene, über die sämtliche sensiblen Datenkommunikationen – ob E-Mail, Dateiaustausch, Managed File Transfer oder Webformulare – gemäß einheitlichen Richtlinien geleitet, überwacht und kontrolliert werden, erklärt Dario Perfettibile, General Manager EMEA GTM und Customer Operations bei Kiteworks. „Das heißt, dieselben Verschlüsselungsstandards, Zugriffskontrollen und Audit-Logs, die die Datenschutzanforderungen der DSGVO erfüllen, dienen gleichzeitig als Nachweis für die Meldung von Sicherheitsvorfällen gemäß NIS2 und das Schwachstellenmanagement nach dem Cyber Resilience Act.“

Das bedeutet auch, dass der Datenaustausch zwischen Mitarbeitern und externen KI-Anbietern automatisch denselben Kontrollmechanismen unterliegt, die auch Patientendaten oder Finanztransaktionen schützen. „Sie benötigen eine lückenlose Nachweiskette, die für Prüfer in allen relevanten Rahmenbedingungen transparent ist“, ergänzt Perfettibile.

Zukunftssichere Compliance

Da das Digitalisierungsgesetz in einem Jahr in Kraft tritt, ist es sinnvoll, damit anzufangen. Zukunftssichere Einhaltung Ihrer Vorschriften Strategie jetzt. Ausrichtung an Governance-Rahmenwerken und ISO-Normen wie z. B. ISO 27001 (Informationssicherheit), ISO 42001 (KI-Management) und ISO 27701 (Datenschutz) ist für die Bewältigung der Veränderungen von entscheidender Bedeutung.

Um künftig eine einheitliche Einhaltung der Vorschriften zu gewährleisten, empfiehlt Hannan-Jones von UBDS Digital Unternehmen, ihre Governance-Gremien zusammenzulegen. Sie schlägt in diesem Zusammenhang die Einrichtung eines zentralen Digitalrisiko-Komitees vor, das die Verantwortung für die Datenschutzstrategie (DSGVO), die Cybersicherheitslage (NIS2/CRA), die KI-Governance (KI-Gesetz) und die Produktkonformität (CRA/branchenspezifische Vorschriften) trägt.

Gleichzeitig ist es laut Hannan-Jones strategisch ratsam, bei Aktivitäten in mehreren Rechtsordnungen alle Gesetze und Rahmenbedingungen zu betrachten und die Überschneidungen, nicht nur die Verpflichtungen, zu erfassen.

Sie empfiehlt, eine Matrix zu erstellen, die aufzeigt, wo Vorschriften wie die DSGVO, das NIS und das KI-Gesetz Risikobewertungen, Governance-Rollen, technische und organisatorische Maßnahmen, Vorfallsmeldungen und Dokumentation mit Aufzeichnungspflichten erfordern. „Entwerfen Sie dann gemeinsame Prozesse dort, wo die Überschneidungen am größten sind.“

Organisationen können ihre Bewertungen und Dokumentationen standardisieren, indem sie eine zentrale Risikobewertungsmethodik mit Modulen für Datenschutz, KI und Sicherheit entwickeln. „Es ist wichtig, einheitliche Ausgangswerte zu erfassen, einschließlich Zugriffskontrolle, Protokollierung und Überwachung, Tests und Verschlüsselung“, fügt sie hinzu.

Mit der Angleichung digitaler Regulierungen sollte dies in ein einheitliches Incident-Response-Programm eingebunden werden, das Verstöße in den Bereichen Datenschutz, Sicherheit und KI klassifiziert. „Und gegebenenfalls diese automatisch den entsprechenden gesetzlichen Meldepflichten und Fristen zuordnen“, so Hannan-Jones. „Dadurch entsteht eine einheitliche Beweiskette, die von mehreren Aufsichtsbehörden genutzt werden kann.“

Kate O’Flaherty

Kate ist Journalistin für Cybersicherheit und Datenschutz mit über zehn Jahren Erfahrung in der Berichterstattung über wichtige Themen für Nutzer, Unternehmen und Regierungen. Neben ISMS.online veröffentlicht sie auch Artikel in Forbes, Wired, The Guardian, The Observer, The Times und The Economist.

Lesen Sie mehr von Kate O'Flaherty

Internet-Sicherheit 19 Februar 2026

Dxs International-Datenschutzverletzung: Lehren für den Gesundheitssektor (Blog)

Datenleck bei DXS International: Lehren für das Gesundheitswesen

Angesichts der zunehmenden Zahl schwerwiegender Vorfälle im Gesundheitswesen müssen Organisationen lernen, Informationssicherheit, Datenschutz und KI-Risiken als ... zu managen.

Kate O’Flaherty

Internet-Sicherheit 29 Januar 2026

700credit-API-Risiken rücken Governance in der Finanzlieferkette in den Fokus (Blog)

700Credit-Sicherheitsvorfall: API-Risiken rücken die Governance der Finanzlieferkette in den Fokus

Was offenbart der Datenverstoß bei 700Credit hinsichtlich der Risiken von Finanzdatensystemen und Lieferketten, und welche Lehren lassen sich daraus ziehen? Von Kate O'Flaherty in ...

Kate O’Flaherty

Internet-Sicherheit 22 Januar 2026

Banner der Herausforderung zur Einhaltung der Vorschriften für Versorgungsunternehmen

Die Herausforderung der Energieversorgungsunternehmen hinsichtlich der Einhaltung der Vorschriften

Energieversorgungsunternehmen kämpfen mit Fragmentierung und Silos, was einen einheitlichen Ansatz zur Einhaltung von Vorschriften verhindert. Eine solidere Grundlage ist erforderlich, ...

Kate O’Flaherty