DSGVO, NIS2 und der EU-Cyber Resilience Act (CRA) sollen den Datenschutz sicherstellen. Dennoch hat ein Drittel der KMU keinen Plan, welche Konsequenzen eine Missachtung hat. Ein Whitepaper von SEP in Kooperation mit einem Rechtsanwalt klärt auf.
Welche harten finanziellen und strafrechtlichen Folgen die Missachtung der DSGVO, der NIS2-Richtlinie oder des Cyber Resilience Act haben kann, ist vor allem KMU oft nicht bewusst.
(Bild: DOC RABE Media - stock.adobe.com)
Dass Cybercrime-Fälle zunehmen, ist leider keine News mehr. Laut Bitkom haben sich die finanziellen Schäden von 2019 bis 2021 auf 223,5 Milliarden Euro verdoppelt. Gemessen am Bruttoinlandsprodukt sind die Schäden in Deutschland im Bereich Wirtschaftsspionage und Cyberkriminalität am höchsten. Um dem entgegenzuwirken, gibt es einige Gesetze, die den Datenschutz verstärken sollen: die DSGVO, das neue Cyber- und IT-Sicherheitsrecht gemäß der NIS2-Richtlinie, eine EU-Resilienz-Richtlinie sowie der EU-Cyber Resilience Act (CRA).
Doch vor allem bei kleinen und mittelständischen Unternehmen hapert es mit der Umsetzung. Außerdem ist ihnen oft nicht bewusst sind, mit welchen Konsequenzen sie bei Nichtbeachtung rechnen müssen. In welche Haftungsfallen KMU tappen können und was für Strafen fällig werden, hat Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, gemeinsam mit dem plattformunabhängigen Backup- und Disaster-Recovery-Anbieter SEP herausgearbeitet.
DSGVO: Verschärfte Sanktionen
Die DSGVO ergänzt das im Jahr 2021 überarbeitete deutsche IT-Sicherheitsgesetz von 2015 und die Richtlinien der EU für ein einheitliches Datenschutz-/Datensicherheitsrecht in Europa. Sie enthält unter anderem technische Vorschriften, die ein entsprechendes Schutzniveau gewährleisten müssen. Betroffen sind alle privatwirtschaftlichen Unternehmen sowie Behörden, die private Daten sammeln, verarbeiten und speichern. Eine Datenschutzverletzung muss innerhalb von 72 Stunden den Aufsichtsbehörden gemeldet werden. Die DSGVO soll die Rolle des betrieblichen Datenschutzbeauftragten stärken. „Die DSGVO auferlegt den betrieblichen Datenschutzbeauftragten (bDSB) eine Kontroll-/ Überwachungsfunktion gegenüber dem Management anstelle der bisherigen (bloßen) Hinweispflicht“, führt Dr. Bücking in einem Whitepaper aus.
Werden die Vorgaben der DSGVO nicht ordnungsgemäß umgesetzt, drohen den Verantwortlichen (Unternehmen und natürliche Personen) im Haftungsfall zivilrechtliche und öffentlich-rechtliche Sanktionen wie Geld- und Freiheitsstrafen (bis zu drei Jahre), Schadenersatzzahlungen sowie Ordnungsmaßnahmen, die bis zur Stilllegung des Betriebs führen können. Berechnet werden die Bußgelder anhand des weltweiten Konzernumsatzes.
NIS2: KRITIS-Einrichtungen
Die EU-Cybersecurity-Richtlinie, die so genannte NIS2-Richtlinie, betrifft KRITIS-Unternehmen, wie Post- und Kurierdienste, Abfallbewirtschaftung, Medizinprodukte, Maschinenbau, Kraftwagen, Anbieter digitaler Dienste sowie Forschungseinrichtungen. Neben dem Katalog an Cybersicherheitsmaßnahmen enthält NIS2 auch einen Maßgabenkatalog zur Zertifizierung kritischer Komponenten, ebenso wie Berichtspflichten bei IT-Sicherheitsvorfällen und mögliche Bußgelder bei Verstößen. Umzusetzen ist sie bis zum 17.10.2024. Für die betroffenen Unternehmen ist das mit höheren Kosten verbunden, weiß Dr. Brücking: „Die von NIS2 betroffenen Einrichtungen werden nach bisherigen Schätzungen ihr Cybersicherheitsbudget um rund 22 Prozent erhöhen müssen im Vergleich zu den von NIS1 betroffenen Einrichtungen mit dem dortigen Kostenanstieg von 12 Prozent.“
Im Schadensfall fällige Geldbußen können allerdings deutlich höher sein: maximal zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
IT-Sicherheitsgesetz für KRITIS-Betreiber
Betreiber kritischer Infrastrukturen müssen dem Gesetz zufolge „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen KRITIS vor dem Hintergrund der Schutzziele Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von IT-Systemen und Prozessen maßgeblich sind“, erklärt Dr. Brücking. Anforderungsmaßstab sei der jeweilige Stand der Technik. Je nach Schwere des Verstoßes kann das BSI hier Geldbußen zwischen 50.000 und 100.000 Euro ansetzen.
Für geschäftsmäßige Internetdienste wurden die IT-sicherheitsspezifischen Vorgaben und Strafen verschärft. Sie müssen, so Dr. Brücking im Whitepaper, technische und organisatorische Vorkehrungen zum Schutz des Zugriffs auf ihre Angebote – wiederum nach dem Stand der Technik – erfüllen. Insgesamt drohen bei Sicherheitsvorfällen Bußgelder bis zu 20 Millionen Euro. Zudem kann das BSI die Dienste untersagen oder sperren. „Haftungsrechtlich bestehen gegenüber den Nutzern Schadensersatzpflichten aus Vertragsverletzung und – außerhalb einer vertraglichen Beziehung – aus unerlaubter Handlung aufgrund so genannter ‚Verkehrssicherungspflichtverletzung‘“, so Dr. Brücking.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KRITIS-Dachgesetz
Das KRITIS-Dachgesetz gibt kritischen Einrichtungen Mindestvorgaben im Bereich der physischen und Cyber-Sicherheit an die Hand. Diese sollen deren Schutzniveau und Resilienz stärken. „Wie das IT-Sicherheitsgesetz erhält auch das KRITIS-Dachgesetz ein Meldesystem“, erläutert Dr. Brücking. „Für die effiziente Durchsetzung gilt analog der Sanktionenkatalog der NIS2-Richtlinie und der DSGVO. Die Strafen müssen hiernach wirksam, verhältnismäßig und abschreckend sein.“ Außerdem nimmt das Gesetz eine Erweiterung der KRITIS auf mindestens elf Sektoren vor. Das Gesetz soll ebenfalls im Jahr 2024 in Kraft treten.
Produkthaftung: Übertragung auf Cybersicherheit
Bereits am 13. September 2022 stellte die EU den Cyber Resilience Act (CRA) vor, der eine Lücke in der europäischen Digitalgesetzgebung schließen soll und den Produktlebenszyklus regelt. Werden die vier spezifischen Ziele (s. Kasten) nicht eingehalten, drohen Geldbußen bis maximal 15 Millionen Euro beziehungsweise bis zu 35 Prozent des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr. Auch geringfügigere Verstöße werden geahndet: mindestens fünf Millionen Euro bzw. ein Prozent des gesamten weltweiten Jahresumsatzes im vorausgegangenen Geschäftsjahr werden dabei fällig. Nach der Übergangsfrist von 24 Monaten betrifft das Gesetz alle Akteure der Lieferkette.
Spezifische Ziele des Cyber Resilience Act
1. Gewährleistung, dass die Hersteller die Sicherheit von Produkten mit digitalen Elementen (wie z.B. Betriebssystem- oder Steuerungssoftware) von der Entwurfs- und Entwicklungsphase an und während des gesamten Lebenszyklus verbessern („cybersecurity by design“) 2. Etablierung eines kohärenten Rechtsrahmens für die Cybersicherheit, der den Herstellern von Hardware und Software die Einhaltung der Compliance-Vorgaben erleichtert 3. Verbesserung der Transparenz der Sicherheitseigenschaften von Produkten mit digitalen Elementen 4. Befähigung von Unternehmen und Verbrauchern, Produkte mit digitalen Elementen sicher zu nutzen
Eine ausführliche Beschreibung der gesetzlichen Vorgaben und der Strafmaße finden Sie im Whitepaper von Dr. Brücking und SEP zum Download als pdf.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/8a/738a14c02d5f128dc1aeeb97426878cb/0129113507v1.jpeg "Wire hat sein Führungsteam erweitert und Adam Low (l.) zum CTO sowie Oliver Brown zum CCO berufen. (Bild: Wire)")
:quality(80)/p7i.vogel.de/wcms/f6/51/f651404395d1655ecfa20879930712cd/0129045915v2.jpeg "Gregor Liedhegener gehört nun zur Firmenleitung von Enreach am deutschen Standort Bochum. (Bild: © Enreach)")
:quality(80)/p7i.vogel.de/wcms/76/71/7671625a0fed3298a58928830fccd075/0129044146v2.jpeg "Ben Jones, Chief Technology Officer (CTO) bei Infinigate (Bild: Infinigate)")
:quality(80)/p7i.vogel.de/wcms/ec/57/ec578f26cbc8dd2cb06a61728c77afde/0129045922v1.jpeg "Michael Stuhr übernimmt als Country Manager die Leitung von Acer Deutschland. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/2b/d9/2bd9722b3e4e44a20a193b8bddcc5cfa/0129148723v1.jpeg "Genau die Nachricht, die Angst schürt: Amazon entlässt Mitarbeiter und automatisiert vieles mit KI. (Bild: © S.JR Stocker - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/37/2737f8902c2221e4fcd30eb390df45f5/0129136870v2.jpeg "Der Datenschutz in Europa wird derzeit von einer Vielzahl von Faktoren beeinflusst. Dazu zählen rasante Entwicklungen im Bereich der Künstlichen Intelligenz, zunehmende Cyberbedrohungen sowie neue nationale und internationale gesetzliche Rahmenbedingungen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/df/44/df441c26901f6171b5fac6baf7add441/0129107400v2.jpeg "Die Initiatoren des „German Digital Commerce Operation Model“von Stackit, Empiriecom und Adesso: (v. l.) Samuel Boger, Quan Mach, Nico Kollmar, Udo Bischof, Ralf Männlein, Bernd Wagner, Oliver Schobert (Bild: Stackit, Empiriecom & Adesso)")
:quality(80)/p7i.vogel.de/wcms/0a/fc/0afc6036f91d235a93a0527f9339f81f/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/00/1d0036c8b1393bfba719437de22a0659/0129020958v2.jpeg "Wer zieht noch die Fäden? Autonome KI-Systeme stellen Governance und Sicherheit in Unternehmen infrage. (Bild: © Autism in Focus - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/63/7d634afbaa49454d513a3567bdfeaae7/0129100796v1.jpeg "Microsoft hat einen neuen KI-Chip, Maia 200, vorgestellt. Der Spezialchip soll KI-Anwendungen schneller und günstiger machen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fe/6e/fe6e0f99b50670d6972a1236a3009602/0128950755v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/41/084122c6fc26b3269f951ead2c69e923/0128893676v1.jpeg "Bis jetzt war die Umsetzung des Digital Operational Resilience Act (Dora) für die Unternehmen noch bequem, sagt Autor Andreas Seibert. (Bild: © john - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/ab/2bab9bf9922e330aaca10908c33f2ba5/0128978843v2.jpeg "Ab Anfang 2027 gelten mit der neuen Maschinenverordnung (2023/1230/EU) der Europäischen Union (EU) für Fertigungsunternehmen verschärfte Anforderungen für den Schutz vor Cyberangriffen. (Bild: © Pisit - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/60/cb/60cb1e784befc/securepoint-logo-800-400-max.jpeg "securepoint-logo-800-400-max (Securepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/1b/671b7b77086d8/cii-logo-schriftzug-mit-icon-bk.png "cii-logo-schriftzug-mit-icon-bk (cyberintelligence.institue)"){kind=icon}
:quality(80)/p7i.vogel.de/wcms/e1/6e/e16ea28829170ffbd4decbca91c2e576/0125049002v2.jpeg "Da der CRA Teil der CE-Kennzeichnung wird, müssen alle betroffenen Produkte die neuen Anforderungen erfüllen, bevor sie auf den EU-Markt gelangen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a0/93a0504222a784d74e5d8e0deb576889/0127375001v1.jpeg "In Anbetracht geopolitischer Spannungen und steigender Cyberbedrohungen sehen die Sachverständigen einen enormen Zeitdruck hinter der Umsetzung von NIS 2 in nationales Recht. (Bild: Midjourney / KI-generiert)")