Datenschutz-Roundup März 2026: NIS2 greift, EuGH stoppt DSGVO-Hopping, EU prüft Ihre Dienstleister

Inhalt in Kürze

• Die NIS2-Registrierungsfrist beim BSI ist seit dem 6. März 2026 abgelaufen — Geschäftsführer haften jetzt persönlich für IT-Sicherheitsmängel.
• Der EuGH hat DSGVO-Hopping als Rechtsmissbrauch eingestuft und stärkt damit KMU gegen systematische Abmahner.
• Die europäische Datenschutzaufsicht prüft flächendeckend, ob Unternehmen wissen, was ihre Dienstleister mit Daten machen.
• Die EU plant eine Fristverlängerung bei der KI-Verordnung für den Mittelstand — Entwarnung ist das nicht.

Die NIS2-Registrierungsfrist ist seit dem 6. März durch. Tausende Unternehmen haben sie verpasst. Gleichzeitig hat der EuGH ein Urteil gefällt, das KMU gegen Datenschutz-Abmahner schützt, und die EU prüft europaweit, ob Ihre Auftragsverarbeiter sauber dokumentiert sind. Ein Monat, drei Baustellen — hier ist, was Sie wissen müssen.

NIS2: Registrierungsfrist ist durch — und jetzt?

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Am 6. März 2026 lief die BSI-Registrierungsfrist ab. Wer mehr als 50 Mitarbeiter beschäftigt oder über 10 Millionen Euro Jahresumsatz macht, fällt mit hoher Wahrscheinlichkeit unter die Richtlinie.

Das betrifft zehntausende deutsche Unternehmen. Und seit März gilt: Geschäftsführer haften persönlich für IT-Sicherheitsmängel. Kein Delegieren an die IT-Abteilung, kein Verstecken hinter Versicherungen.

Der blinde Fleck dabei: Nicht nur Ihre eigene IT muss sicher sein. Die SaaS-Lieferkette wird zur größten Compliance-Lücke. Jeder Cloud-Dienst, jedes externe Tool muss dokumentiert und auf Sicherheitsstandards geprüft sein. CANCOM warnt: „Abwarten ist keine Option mehr."

Sie haben die Frist verpasst? Dann registrieren Sie sich jetzt. Das BSI hat noch kein Bußgeld für verspätete Registrierung angekündigt — aber die Pflicht besteht. Wer gar nicht registriert ist, hat im Ernstfall ein doppeltes Problem: den Vorfall selbst und die fehlende Registrierung.

KRITIS-Dachgesetz: Physische Sicherheit trifft Cyber

Am selben Tag, dem 6. März, hat das KRITIS-Dachgesetz den Bundesrat passiert. Erstmals gibt es einen sektorübergreifenden Ordnungsrahmen für die Resilienz kritischer Infrastrukturen — und der geht über reine Cybersicherheit hinaus. Physische Sicherheit, Personalprüfung, Krisenmanagement: alles drin.

Für Zulieferer kritischer Infrastrukturen heißt das: Auch wenn Sie selbst kein KRITIS-Betreiber sind, können Ihre Kunden Nachweise von Ihnen verlangen. Die Lieferketten-Compliance wird zum Wettbewerbsfaktor.

EuGH stoppt DSGVO-Hopping — gute Nachricht für KMU

Ein Optiker wurde verklagt, weil er angeblich gegen die DSGVO verstoßen hatte. Der Kläger hatte zuvor gezielt eine Datenauskunft angefordert — nicht, weil er seine Daten wollte, sondern um Material für eine Schadensersatzklage zu sammeln. Der EuGH entschied: Das ist Rechtsmissbrauch.

Für den Mittelstand ist das eine echte Entlastung. Systematische Abmahner, die DSGVO-Auskunftsrechte nur als Hebel für Klagen nutzen, haben es jetzt schwerer. Die Auskunftspflicht nach Art. 15 DSGVO bleibt bestehen — aber der Zweck muss ehrlich sein.

Gleichzeitig wächst der Druck von anderer Seite: Der EuGH hat bestätigt, dass Verbandsklagen nach Art. 80 Abs. 2 DSGVO schon bei einer möglichen Verletzung des Informationsrechts möglich sind. Verbraucherschutzverbände können also auch ohne konkreten Schaden klagen.

EU-Großprüfung: Wissen Sie, was Ihre Dienstleister mit Daten machen?

Die europäische Datenschutzaufsicht hat eine flächendeckende Kontrollaktion gestartet. Der Fokus: Transparenz bei externen Dienstleistern. Deutschland will zusätzlich Hersteller stärker in die Pflicht nehmen.

Konkret prüfen die Behörden, ob Unternehmen wissen, welche Daten ihre Auftragsverarbeiter erheben, wohin sie fließen und auf welcher Rechtsgrundlage. Wer hier nur einen veralteten Auftragsverarbeitungsvertrag in der Schublade hat, bekommt ein Problem.

• Auftragsverarbeitungsverträge (AVV) aller Dienstleister auf Aktualität prüfen
• Verarbeitungsverzeichnis aktualisieren — alle externen Tools und Cloud-Dienste erfassen
• Datenschutzerklärung auf der Website gegenlesen: Stimmen die genannten Dienstleister noch?
• Subunternehmer-Ketten klären: Wer verarbeitet Daten im Auftrag Ihrer Auftragsverarbeiter?
• Den Hugo Check durchlaufen — kostenloser Schnelltest für Ihre DSGVO-Basics

KI-Verordnung, Datenzugang, E-Evidence: Was noch kommt

Vier Regulierungswellen treffen den Mittelstand gleichzeitig: Datenschutz, Datennutzung, KI und Cybersicherheit. Das zeigt der Rechtsrahmen-Überblick 2026 deutlich.

Gute Nachricht für KMU: Die wichtigsten EU-Ausschüsse schlagen eine Fristverlängerung bei der KI-Verordnung vor. Kleine und mittlere Unternehmen sollen mehr Zeit für die Umsetzung der Hochrisiko-KI-Regeln bekommen. Das heißt aber nicht: abwarten. Wer KI-Tools im Unternehmen einsetzt, sollte jetzt dokumentieren, welche Systeme im Einsatz sind und welches Risiko sie bergen.

Ab dem 18. August 2026 gilt die E-Evidence-Verordnung. Behörden können dann elektronische Beweismittel grenzüberschreitend anfordern — direkt beim Anbieter. Der Bundestag stimmt parallel über neue Datenzugangsregeln ab.

Der Trend zur digitalen Souveränität im DACH-Raum verstärkt sich. Immer mehr Unternehmen setzen bewusst auf europäische Cloud-Anbieter. Angesichts der geopolitischen Lage und verschärfter Regulierung eine nachvollziehbare Entscheidung.

Tipp:

Erstellen Sie eine einfache Liste aller KI-Tools, die in Ihrem Unternehmen genutzt werden — vom Chatbot bis zur automatischen E-Mail-Sortierung. Diese Bestandsaufnahme ist der erste Schritt zur KI-Compliance und hilft auch bei der nächsten Datenschutz-Folgenabschätzung.

Aus der Praxis

Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber aufgrund der Lieferkette ein wichtiger Bestandteil sind.

Nils OehmichenDatenschutzberater bei frag.hugo

Was Nils bei seinen Mandanten sieht: Ein Unternehmen mit 30 Mitarbeitern denkt, NIS2 betrifft es nicht. Dann fragt der größte Kunde nach einem Sicherheitskonzept, weil er selbst unter NIS2 fällt. Ohne Nachweis kein Auftrag. Das passiert gerade überall.

Nils' To-do-Liste für April

• NIS2-Registrierung nachholen, falls Sie die Frist am 6. März verpasst haben. Das BSI-Portal ist weiterhin offen.
• SaaS-Lieferkette dokumentieren: Welche Cloud-Dienste nutzen Sie, wo liegen die Daten, welche Sicherheitszertifikate liegen vor?
• AVV-Dokumentation prüfen: Sind alle Auftragsverarbeitungsverträge aktuell? Stimmen die Subunternehmer-Listen?
• KI-Bestandsaufnahme starten: Welche KI-Tools sind im Einsatz? Welche Daten fließen hinein?
• Einen externen Datenschutzbeauftragten einbinden, wenn Sie unsicher sind, wo Sie stehen.

Datenschutz pragmatisch umsetzen

Sie sind unsicher, ob NIS2 oder die EU-Transparenzprüfung Sie betrifft? Lassen Sie uns in 15 Minuten klären, wo Sie stehen — kostenlos und unverbindlich.

Erstgespräch buchen

---

Häufige Fragen (FAQ)

Muss ich mich als Unternehmen mit weniger als 50 Mitarbeitern bei NIS2 registrieren?

Grundsätzlich nicht. Die NIS2-Pflicht greift ab 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Aber: Wenn Sie Zulieferer eines betroffenen Unternehmens sind, kann Ihr Kunde Sicherheitsnachweise von Ihnen verlangen. Prüfen Sie Ihre Kundenverträge.

Was passiert, wenn ich die NIS2-Registrierungsfrist am 6. März verpasst habe?

Holen Sie die Registrierung sofort nach. Das BSI-Portal ist weiterhin zugänglich. Bisher sind keine Bußgelder für verspätete Registrierung bekannt, aber die Pflicht besteht. Bei einem Sicherheitsvorfall wiegt die fehlende Registrierung besonders schwer.

Was bedeutet das EuGH-Urteil zum DSGVO-Hopping konkret für mein Unternehmen?

Wenn jemand nur eine Datenauskunft verlangt, um anschließend auf Schadensersatz zu klagen, kann das als Rechtsmissbrauch gewertet werden. Ihre Auskunftspflicht nach Art. 15 DSGVO bleibt aber unverändert bestehen. Jede echte Anfrage müssen Sie weiterhin innerhalb von 30 Tagen beantworten.

Wie bereite ich mich auf die EU-Transparenzprüfung vor?

Prüfen Sie Ihre Auftragsverarbeitungsverträge auf Aktualität, aktualisieren Sie Ihr Verarbeitungsverzeichnis und gleichen Sie Ihre Datenschutzerklärung mit den tatsächlich eingesetzten Dienstleistern ab. Der Hugo Check gibt Ihnen einen schnellen Überblick, wo Sie stehen.

Betrifft mich die KI-Verordnung als KMU schon 2026?

Die EU-Ausschüsse schlagen eine Fristverlängerung für KMU vor. Trotzdem sollten Sie jetzt eine Bestandsaufnahme Ihrer KI-Tools machen. Wer Hochrisiko-KI einsetzt — etwa im Personalwesen oder bei Kreditentscheidungen — muss sich vorbereiten, auch wenn die Frist verschoben wird.

Was ist die E-Evidence-Verordnung und warum ist sie relevant?

Ab dem 18. August 2026 können Behörden elektronische Beweismittel grenzüberschreitend direkt beim Anbieter anfordern. Für Unternehmen bedeutet das: Sie müssen auf solche Anfragen vorbereitet sein und wissen, welche Daten wo gespeichert sind. Eine aktuelle Datendokumentation wird noch wichtiger.