Datenschutz-Roundup April 2026: NIS2 läuft, KRITIS-Dachgesetz steht, EuGH stoppt DSGVO-Missbrauch

Inhalt in Kürze

• NIS2 ist geltendes Recht in Deutschland — die Registrierungsfrist ist abgelaufen, jetzt zählt die operative Umsetzung mit Risikomanagement, Meldepflichten und Geschäftsführerhaftung.
• Das KRITIS-Dachgesetz hat am 6. März 2026 den Bundesrat passiert und schafft zusammen mit NIS2 einen neuen Resilienz-Rahmen — auch für Zulieferer und IT-Dienstleister.
• Der EuGH hat mit Urteil C-526/24 dem sogenannten DSGVO-Hopping Grenzen gesetzt: Auch ein erster Auskunftsantrag kann als exzessiv abgelehnt werden.
• Die EU-KI-Verordnung greift stufenweise, das Digital-Omnibus-Paket soll Cookie-Banner durch Opt-out ersetzen, und die DSGVO wird zehn Jahre alt.

80 Prozent aller gemeldeten Ransomware-Angriffe 2025 trafen KMU. Gleichzeitig greifen 2026 so viele neue Gesetze wie nie zuvor: NIS2 ist in der operativen Phase, das KRITIS-Dachgesetz steht, und der EuGH hat ein wegweisendes Urteil gegen DSGVO-Missbrauch gesprochen. In fünf Minuten wissen Sie, was davon für Ihr Unternehmen relevant ist.

NIS2: Die Registrierungsfrist ist rum — was jetzt zählt

Das NIS2-Umsetzungsgesetz ist geltendes Recht. Die Registrierungsfrist ist abgelaufen. Wer jetzt noch nicht registriert ist, hat ein Problem.

Betroffen sind Unternehmen in 18 Sektoren — von Energie über Gesundheit bis zur digitalen Infrastruktur. Neu ist: Die Geschäftsführung haftet persönlich für die Umsetzung der Sicherheitsmaßnahmen. Das war vorher anders.

Konkret müssen betroffene Unternehmen drei Dinge nachweisen: ein funktionierendes Risikomanagement, funktionierende Meldeprozesse bei Sicherheitsvorfällen und die Kontrolle ihrer Lieferkette.

Eine praktische Konsequenz, die viele überrascht: Die DENIC zeigt jetzt Inhaberdaten von Unternehmens-Domains öffentlich an. Name, Anschrift, Kontaktdaten — alles sichtbar. Hintergrund ist die NIS2-Richtlinie.

Und es gibt einen Dominoeffekt: Über die DORA-Verordnung verfolgen Banken NIS2 bis in die Lieferkette. IT-Dienstleister, die für den Finanzsektor arbeiten, werden dadurch indirekt NIS2-pflichtig. Auch wenn sie selbst unter keinen der 18 Sektoren fallen.

KRITIS-Dachgesetz: Der neue Resilienz-Rahmen ab März 2026

Am 6. März 2026 hat das KRITIS-Dachgesetz den Bundesrat passiert. Es schafft einen einheitlichen Ordnungsrahmen für die Resilienz kritischer Anlagen in Deutschland.

Zusammen mit NIS2 und dem Cyber Resilience Act entsteht ein dichtes regulatorisches Netz. Das betrifft nicht nur die großen Betreiber kritischer Infrastrukturen. Auch Zulieferer und IT-Dienstleister des Mittelstands müssen nachweisen, dass sie bestimmte Resilienz-Anforderungen erfüllen.

Was das Gesetz konkret fordert: Risikoanalysen, Notfallpläne, Meldepflichten bei Störungen und regelmäßige Überprüfungen. Wer als Zulieferer für KRITIS-Betreiber arbeitet, sollte jetzt prüfen, welche Anforderungen vertraglich weitergegeben werden.

EuGH-Urteil C-526/24: Schluss mit DSGVO-Hopping

Der EuGH hat am 19. März 2026 ein Urteil gesprochen, auf das viele Unternehmen gewartet haben. In der Rechtssache C-526/24 stellte das Gericht klar: Auch ein erster Auskunftsantrag nach Art. 15 DSGVO kann als exzessiv abgelehnt werden.

Das klingt technisch, hat aber enorme praktische Bedeutung. Bisher mussten Unternehmen jeden Auskunftsantrag beantworten — egal, ob die anfragende Person ein echtes Informationsinteresse hatte oder gezielt Schadensersatzansprüche provozieren wollte. Dieses sogenannte „DSGVO-Hopping" war ein wachsendes Problem.

Laut Haufe gibt das Urteil Unternehmen erstmals eine unionsrechtliche Grundlage, um strategisch missbrauchte Anfragen abzuwehren. Das DSGVO-Portal bestätigt: Ein Antrag ist unzulässig, wenn er gezielt Schadensersatzansprüche auslösen soll.

• Dokumentieren Sie jede eingehende Auskunftsanfrage mit Datum, Absender und Kontext
• Prüfen Sie bei auffälligen Anfragen, ob ein legitimes Informationsinteresse erkennbar ist
• Erstellen Sie ein Muster-Ablehnungsschreiben mit Verweis auf EuGH C-526/24
• Schulen Sie Ihr Team: Nicht jede Anfrage muss sofort beantwortet werden

KI-Verordnung, BDSG-Novelle und das Cookie-Ende

Die EU-KI-Verordnung tritt 2026 stufenweise in Kraft. Unternehmen, die KI einsetzen — auch nur ChatGPT oder automatisierte Entscheidungssysteme — brauchen eine Dokumentation: Welche Systeme nutzen Sie? Welches Risiko geht davon aus? Wer ist verantwortlich?

Das novellierte Bundesdatenschutzgesetz (BDSG-neu) bringt zwei Neuerungen: Rechtssicherheit für Bonitäts-Scoring und ein striktes Verbot bestimmter Datenverarbeitungen. Parallel entsteht ein Beschäftigtendatenschutzgesetz — besonders relevant, wenn Sie KI im HR-Bereich einsetzen.

Und dann ist da das Digital-Omnibus-Paket: Cookie-Opt-out statt Opt-in. Falls das durchkommt, verschwinden die nervigen Cookie-Banner. Nutzer müssten dann aktiv widersprechen statt aktiv zustimmen. Der Data Act wurde am 26. März 2026 vom Bundestag verabschiedet. Und Europrivacy ist jetzt als Transfermechanismus anerkannt — eine Alternative zu Standard-Vertragsklauseln.

Tipp:

Starten Sie jetzt ein KI-Verzeichnis: Listen Sie alle KI-Tools auf, die in Ihrem Unternehmen genutzt werden — von ChatGPT bis zur automatischen Rechnungserkennung. Das wird 2026 Pflicht.

Kurz notiert: Bußgelder, Meta-Pixel, Videoüberwachung

Die DSGVO-Bußgelder steigen weiter. Die Aufsichtsbehörden bleiben aktiv — auch gegen mittelständische Unternehmen.

Laut Dr. Datenschutz gibt es ein neues Urteil zum Meta Pixel. Wer Facebook-Tracking auf seiner Website einsetzt, sollte die Einbindung jetzt prüfen.

Der BGH verhandelte am 23. April 2026 über Videoüberwachung in der Wohnküche (I ZR 289/25) — mit möglichen Auswirkungen auf das Überwachungsrecht im Arbeitskontext.

Die Datenschutzkonferenz hat einen Digital Fitness Check veröffentlicht — ein kostenloses Selbstbewertungs-Tool. Und am 27. April 2026 wird die DSGVO zehn Jahre alt. Was 2016 als Experiment begann, ist heute das weltweit einflussreichste Datenschutzgesetz.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber aufgrund der Lieferkette ein wichtiger Bestandteil sind.

Nils OehmichenDatenschutzberater bei frag.hugo

Das sehen wir gerade täglich in der Beratung. Ein IT-Dienstleister mit 25 Mitarbeitern bekommt Post von seiner Bank: NIS2-Nachweis erforderlich, sonst kein Vertrag mehr. Ein Maschinenbauer mit 80 Leuten soll seinem Kunden aus der Energiebranche ein KRITIS-konformes Sicherheitskonzept vorlegen. Die Regulierung rollt von oben nach unten durch die Lieferkette.

Was Sie diese Woche noch tun können

• NIS2-Umsetzungsstand prüfen: Sind Sie registriert? Haben Sie Risikomanagement, Meldeprozesse und Lieferkettenverantwortung dokumentiert? Falls nicht: Jetzt starten.
• Auskunftsanfragen-Prozess aktualisieren: Nutzen Sie das EuGH-Urteil C-526/24. Erstellen Sie ein Muster für die Ablehnung exzessiver Anfragen.
• KI-Einsatz dokumentieren: Welche KI-Tools werden in Ihrem Unternehmen genutzt? Von wem? Mit welchen Daten? Legen Sie ein Verzeichnis an.
• DSK Digital Fitness Check machen: Kostenlos, 15 Minuten, ehrliche Standortbestimmung.
• Datenschutz-Status testen: Der Hugo Check zeigt Ihnen in wenigen Minuten, wo Ihr Unternehmen steht.

Für Unternehmen, die das nicht allein stemmen wollen: Ein externer Datenschutzbeauftragter übernimmt die operative Umsetzung — von NIS2 über KI-Verordnung bis zur laufenden Dokumentation.

Unsicher, ob NIS2 oder die KI-Verordnung Ihr Unternehmen betrifft?

Nils und das frag.hugo-Team klären das in einem kostenlosen Erstgespräch — pragmatisch und ohne Fachchinesisch.

Erstgespräch buchen

---

Häufige Fragen (FAQ)

Gilt NIS2 auch für Unternehmen unter 50 Mitarbeitern?

Direkt betroffen sind Unternehmen in 18 Sektoren ab einer bestimmten Größe. Aber: Über die Lieferkette können auch kleinere Unternehmen indirekt NIS2-pflichtig werden — etwa als IT-Dienstleister für Banken oder Energieversorger. Die DORA-Verordnung verstärkt diesen Effekt im Finanzsektor.

Kann ich einen DSGVO-Auskunftsantrag jetzt einfach ablehnen?

Nein, nicht pauschal. Der EuGH hat mit Urteil C-526/24 klargestellt, dass ein Auskunftsantrag als exzessiv abgelehnt werden kann — aber nur, wenn er nachweislich missbräuchlich gestellt wurde, etwa um gezielt Schadensersatz auszulösen. Sie brauchen eine saubere Dokumentation und eine nachvollziehbare Begründung.

Was muss ich als KMU wegen der KI-Verordnung tun?

Erstellen Sie ein Verzeichnis aller KI-Systeme in Ihrem Unternehmen. Dokumentieren Sie, welche Daten verarbeitet werden und wer verantwortlich ist. Prüfen Sie, ob eines Ihrer Systeme als „Hochrisiko-KI" eingestuft wird. Die Pflichten greifen stufenweise bis 2027.

Betrifft das KRITIS-Dachgesetz auch meinen Mittelstandsbetrieb?

Direkt betroffen sind Betreiber kritischer Infrastrukturen. Aber: Wenn Sie als Zulieferer oder IT-Dienstleister für KRITIS-Betreiber arbeiten, werden Resilienz-Anforderungen vertraglich an Sie weitergegeben. Prüfen Sie Ihre bestehenden Kundenverträge.

Verschwinden die Cookie-Banner wirklich?

Das Digital-Omnibus-Paket der EU plant ein Opt-out-Modell statt des bisherigen Opt-in. Das würde Cookie-Banner weitgehend überflüssig machen. Allerdings ist das Gesetzgebungsverfahren noch nicht abgeschlossen — mit einer Umsetzung ist frühestens 2027 zu rechnen.

Wo finde ich den DSK Digital Fitness Check?

Die Datenschutzkonferenz (DSK) hat das kostenlose Selbstbewertungs-Tool auf ihrer Website veröffentlicht. Es dauert etwa 15 Minuten und gibt Ihnen eine ehrliche Einschätzung Ihres Datenschutz-Reifegrads. Alternativ nutzen Sie den Hugo Check für eine schnelle Standortbestimmung.