Digitale Souveränität: Cloud-Dienste ohne Exit-Strategie sind ein Risiko
Die jüngsten Entwicklungen rund um US-amerikanische Cloud-Anbieter zeigen einmal mehr, wie wichtig es ist, nicht nur in die Cloud zu gehen, sondern auch den Weg heraus im Blick zu behalten. Eine Exit-Strategie ist kein Zeichen von Misstrauen gegenüber einem Anbieter, sondern schlicht gute Unternehmensführung – und aus Datenschutzsicht ohnehin geboten, um die Verfügbarkeit und Kontrolle über personenbezogene Daten sicherzustellen. Konkret bedeutet das: Datenportabilität vertraglich sichern, Formate standardisieren und regelmäßig prüfen, ob ein Anbieterwechsel technisch und organisatorisch tatsächlich möglich wäre. Wer das jetzt klärt, spart sich im Ernstfall erheblichen Aufwand – und schützt sich vor Abhängigkeiten, die regulatorisch und strategisch problematisch werden können.
Zölle, Dekrete und andere kurzfristige Maßnahmen sind in der Lage die Nutzung von Cloud-Diensten kurzfristig zu erschweren oder sogar zu blockieren. Sorgen Sie daher neben einer soliden Exit-Strategie dafür, dass eine Sicherung der Daten auch im Krisenfall zugreifbar bleibt!
BCM: Notfallpläne gehören regelmäßig auf den Prüfstand
Eine Exit-Strategie ist nur so gut wie der Notfallplan, der sie begleitet. Im Business Continuity Management (BCM) wird dieser Zusammenhang häufig unterschätzt: Notfallpläne, die vor Jahren erstellt wurden, spiegeln oft nicht mehr die aktuelle IT-Landschaft wider – insbesondere wenn zwischenzeitlich neue Cloud-Dienste eingeführt oder bestehende Systeme migriert wurden. Wir empfehlen daher eine mindestens jährliche Überprüfung und Aktualisierung aller relevanten Notfalldokumentationen. Dabei sollte auch geprüft werden, ob die definierten Wiederanlaufzeiten (RTO/RPO) noch realistisch sind und mit dem Schutzbedarf der betroffenen Systeme übereinstimmen. Veraltete Notfallpläne geben trügerische Sicherheit – eine regelmäßige Übung der Pläne in der Praxis ist ebenso unverzichtbar.
Wir aktualisieren derzeit unser Basismuster und stellen in Kürze einen neuen Entwurf als Grundgerüst zur Verfügung!
NIS2: Registrierungspflicht nicht vergessen – Frist: 06.03.2026
Mit dem Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes am 6. Dezember 2025 besteht für betroffene Einrichtungen nun eine aktive Registrierungspflicht beim BSI. Viele Unternehmen haben inzwischen geprüft, ob sie in den Anwendungsbereich fallen – doch der nächste Schritt, die tatsächliche Registrierung, bleibt häufig aus. Hierbei gilt: Auch Unternehmen, die sich unsicher über ihre Einordnung als „wichtige“ oder „besonders wichtige Einrichtung“ sind, sollten dies zeitnah klären und dokumentieren, um sich im Zweifel nicht dem Vorwurf der Untätigkeit auszusetzen. Die Pflicht betrifft mittlere und große Unternehmen aus 18 regulierten Sektoren – und mittelbar über die Lieferkette auch viele kleinere Dienstleister und Zulieferer.
Wichtig: Für die Registrierung benötigen Sie ein ELSTER-Organisationszertifikat, damit Sie sich am Dienst „Mein Unternehmenskonto“ (MUK) anmelden können. Dieses Konto ist sowohl für die Registrierung, als auch für alle späteren Meldungen notwendig.
NIS2: EU-Kommission schlägt gezielte Anpassungen vor
Am 20. Januar 2026 hat die EU-Kommission ein neues Cybersicherheitspaket vorgelegt, das unter anderem gezielte Änderungen der NIS2-Richtlinie vorsieht. Ziel ist es, Rechtsklarheit zu erhöhen und bürokratischen Aufwand zu reduzieren – insbesondere für die rund 28.700 betroffenen Unternehmen, darunter viele Kleinst- und Kleinunternehmen. Geplant ist außerdem, dass Unternehmen NIS2-Konformität künftig über anerkannte EU-Zertifizierungen nachweisen können, was die derzeit verbreitete „Fragebogenflut“ in der Lieferkette eindämmen soll. Parallel dazu soll die Rolle der ENISA gestärkt und der Cybersecurity Act umfassend reformiert werden. Wichtig zu wissen: Bis diese Änderungen in nationales Recht umgesetzt sind, bleibt das geltende Recht maßgeblich – Unternehmen sollten die Umsetzung nicht mit Verweis auf mögliche künftige Erleichterungen aufschieben.
Meeting-Transkripte: Rechtsgrundlage zwingend erforderlich
Immer mehr Unternehmen nutzen automatische Transkriptions- und KI-Zusammenfassungsfunktionen in Tools wie Microsoft Teams – oft ohne sich der datenschutzrechtlichen Konsequenzen bewusst zu sein. Dabei handelt es sich um eine Verarbeitung personenbezogener Daten der Gesprächsteilnehmenden, die einer klaren Rechtsgrundlage nach Art. 6 DSGVO bedarf und in den meisten Fällen zusätzlich die ausdrückliche Einwilligung der Betroffenen erfordert. Hinzu kommen arbeitsrechtliche Aspekte: In Unternehmen mit Betriebsrat ist in der Regel eine Betriebsvereinbarung notwendig, bevor solche Funktionen aktiviert werden dürfen. Wer Transkriptionen ohne entsprechende Grundlage einsetzt, riskiert nicht nur Abmahnungen und Bußgelder, sondern auch erheblichen Vertrauensverlust bei Mitarbeitenden und Geschäftspartnern. Wir empfehlen, die Nutzung dieser Funktionen in einer internen Richtlinie zu regeln und die Rechtsgrundlage vor der Aktivierung schriftlich zu dokumentieren.
Alle genannten Themen berühren Bereiche, in denen Handlungsbedarf oft besteht, aber noch keine Umsetzung stattgefunden hat. Wir stehen Ihnen gerne beratend und unterstützend zur Seite – sei es bei der Aktualisierung Ihrer Notfallpläne, der NIS2-Betroffenheitsprüfung oder der datenschutzkonformen Gestaltung Ihrer Meeting-Tools. Sprechen Sie uns an.
