Deutschland verschärft Regeln für Datenweitergabe und Transparenz

Das zeigt ein Blick auf aktuelle Gesetzespläne und Urteile.

BKA warnt: Deutschland ist Top-Ziel für Cyberkriminelle

Die Bedrohungslage ist ernst. Laut dem aktuellen Lagebericht des Bundeskriminalamts (BKA) für 2025 gehört Deutschland zu den drei weltweit am stärksten von Cyberangriffen betroffenen Ländern – nur die USA und Kanada werden häufiger attackiert. Insgesamt registrierten die Ermittler 334.000 Cyberstraftaten, rund zwei Drittel davon aus dem Ausland gesteuert.

Der wirtschaftliche Schaden ist enorm: 202 Milliarden Euro – das entspricht etwa 4,5 Prozent des Bruttoinlandsprodukts. Besonders alarmierend: Die Zahl der Ransomware-Angriffe stieg um zehn Prozent auf 1.041 Fälle. Zwar zahlten nur sieben Prozent der Opfer Lösegeld, doch die durchschnittliche Forderung schnellte auf umgerechnet rund 430.000 Euro in die Höhe. 90 Prozent der Attacken treffen mittlerweile kleine und mittlere Unternehmen.

Angesichts der massiven Bedrohung durch Cyberkriminelle müssen Unternehmen ihre Sicherheitsstrategien proaktiv anpassen, um sich vor Phishing und Datenklau zu schützen. Dieser kostenlose Leitfaden zeigt in 4 Schritten, wie Firmen aus allen Branchen Angriffe stoppen können, bevor Schäden entstehen. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen

Innenminister Dobrindt reagiert mit einem scharfen Kurs. Geplant sind neue Befugnisse für aktive Cyberabwehr – inklusive der Möglichkeit, die digitale Infrastruktur von Angreifern zu zerstören. Ein „Gegenschlag“ gegen internationale kriminelle Netzwerke, wie es im Ministerium heißt. Die geplante IP-Adressen-Speicherung soll den Ermittlern helfen, Geldflüsse nachzuverfolgen und Täter zu identifizieren. Erfolgreiche Aktionen wie „Operation Endgame 2.0“ mit 20 Haftbefehlen zeigen, dass die Behörden bereits zuschlagen.

Gericht stärkt Arbeitgeber: Hinweisgeber nicht automatisch geschützt

Doch nicht nur der Staat will mehr Daten – auch die Justiz definiert die Spielregeln für interne Meldungen neu. Das Arbeitsgericht Koblenz entschied Ende November 2025: Das Hinweisgeberschutzgesetz (HinSchG) gewährt keinen automatischen Kündigungsschutz.

Konkret ging es um eine Beschwerdemanagerin, die in der Probezeit entlassen wurde. Sie berief sich auf ihr Whistleblower-Recht – vergeblich. Das Gericht urteilte: Für den Schutz nach Paragraf 36 HinSchG muss der Mitarbeiter nachweisen, dass die Meldung der hauptsächliche Grund für die Kündigung war. Im vorliegenden Fall basierte die Entlassung auf einer negativen Leistungsbeurteilung. Eine interne Untersuchung hatte zudem keine Hinweise auf die gemeldeten Rechtsverstöße ergeben.

Die Botschaft ist klar: Meldepflichten für Unternehmen mit mehr als 50 Mitarbeitern bestehen, aber die Beweislast bleibt ein entscheidender Faktor. Seit Frühjahr 2026 drohen mittelständischen Firmen mit 80 bis 250 Beschäftigten Bußgelder von bis zu 50.000 Euro, wenn sie keine internen Meldekanäle eingerichtet haben. Experten warnen: Die persönliche Haftung der Geschäftsführung wird zum wachsenden Risiko.

EU-KI-Verordnung: Transparenzpflichten kommen – mit Verzögerung

Auch Künstliche Intelligenz gerät in den Fokus der Regulierer. Artikel 50 der EU-KI-Verordnung verlangt ab August 2026 strenge Transparenz: Chatbots müssen klar machen, dass sie Maschinen sind. Synthetische Inhalte müssen maschinenlesbar und deutlich gekennzeichnet sein – für Bestandssysteme gilt das ab Dezember 2026.

Allerdings gibt es Bewegung beim Zeitplan. Am 7. Mai 2026 einigten sich EU-Parlament und Rat auf eine „Omnibus-Reform“, die mehrere Fristen verschiebt. Die Regeln für Hochrisiko-KI-Systeme – etwa in kritischer Infrastruktur oder Personalauswahl – treten erst am 2. Dezember 2027 in Kraft. Für KI in Medizinprodukten gilt sogar August 2028.

Trotz der Verzögerungen bleibt der Kern bestehen: Anbieter allgemeiner KI-Modelle wie OpenAI oder Google müssen seit August 2025 ihre Trainingsdaten und den Energieverbrauch offenlegen. Verstöße können teuer werden: Bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes drohen bei schwerwiegenden Verstößen.

Die neuen Transparenzregeln für Künstliche Intelligenz stellen viele IT-Abteilungen vor große Herausforderungen bei der rechtssicheren Dokumentation. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den notwendigen Überblick über Risikoklassen, Pflichten und alle relevanten Übergangsfristen des EU AI Acts. EU-KI-Verordnung in 5 Schritten verstehen und gratis E-Book sichern

Technische Schutzmaßnahmen werden Pflicht

Die Offenlegung von Daten allein reicht nicht – sie muss auch sicher sein. Die Schweizer Firma Bexio führte Anfang Mai 2026 für ihre 100.000 Kunden die Zwei-Faktor-Authentifizierung (2FA) ein. Auslöser war eine Welle von Phishing-Angriffen mit manipulierte IBAN-Daten. Marktforscher berichten: Über 80 Prozent aller Phishing-Mails werden inzwischen von KI generiert. Ein Großteil der Sicherheitsvorfälle in Deutschland ist KI-gestützt.

In Österreich zeigt die Meldestelle „Stopline“ die Dimension des Problems: 2025 gingen über 75.000 Meldungen ein, mehr als die Hälfte davon strafrechtlich relevant. Der Großteil betraf sexuellen Missbrauch Minderjähriger. Auffällig: Keiner der bestätigten illegalen Inhalte wurde von österreichischen Anbietern gehostet – viele Server standen in Vietnam oder im Iran.

OpenAI reagierte im Mai 2026 mit einem speziellen Modell für Sicherheitsexperten, optimiert für Malware-Analyse und Schwachstellen-Bewertung. Ein Zeichen für den wachsenden Markt: Während Regulierer mehr Daten für Transparenz fordern, entwickelt die Industrie gleichzeitig die Werkzeuge, um diese Daten zu schützen und auszuwerten.

Ausblick: Compliance wird zum Dauerbrenner

Die Entwicklung beschleunigt sich. Der Cyber Resilience Act (CRA) soll ab September 2026 Hersteller digitaler Produkte zur Meldung von Sicherheitslücken verpflichten. Und die neue EU-Geldwäschebehörde (AMLA), voraussichtlich 2028 voll einsatzbereit, wird einen zentralen Rahmen für Finanzdaten-Offenlegung schaffen.

Für Unternehmen heißt das: Wer noch keine internen Meldekanäle hat, sollte schnell handeln. Experten empfehlen 60-Tage-Pläne für die Einführung. Die Ära der freiwilligen Transparenz geht zu Ende – wer die neuen Regeln ignoriert, riskiert nicht nur Bußgelder, sondern auch die operative Stabilität.

de | wirtschaft | 69318352 |