AI Act, NIS2, DSGVO: Wie KMU den Compliance-Dschungel 2025 überleben

Von David Oberholzner | CompliantDesk | April 2026

---

Drei Buchstabenkombinationen bestimmen gerade die Schlaflosigkeit vieler Geschäftsführer und IT-Leiter in Deutschland: DSGVO. NIS2. AI Act.

Jede dieser Regulierungen für sich wäre schon eine Herausforderung. Zusammen bilden sie einen Compliance-Dschungel der selbst erfahrene Unternehmer überfordert — und kleine und mittlere Unternehmen an den Rand der Handlungsfähigkeit bringt.

Dabei ist die Situation nicht hoffnungslos. Sie ist nur komplex. Und Komplexität lässt sich strukturieren.

---

Drei Regulierungen, ein Unternehmen

Bevor wir über Lösungen sprechen, lohnt ein kurzer Blick auf die drei Regelwerke — und was sie gemeinsam haben.

DSGVO: Der bekannte Veteran

Die Datenschutz-Grundverordnung ist seit 2018 in Kraft. Sie ist die bekannteste der drei Regulierungen — und gleichzeitig die am häufigsten unterschätzte.

Viele Unternehmen haben 2018 eine Datenschutzerklärung auf ihre Website gesetzt, einen Auftragsverarbeitungsvertrag mit dem Webhoster abgeschlossen und das Thema als erledigt abgehakt. Das war falsch.

DSGVO ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess: Verarbeitungstätigkeiten dokumentieren, Betroffenenrechte erfüllen, technische und organisatorische Maßnahmen umsetzen und — wichtig — nachweisen können dass man das alles tut.

Die Durchsetzung hat sich in den letzten Jahren deutlich verschärft. Deutsche Datenschutzbehörden haben 2024 Bußgelder in Rekordhöhe verhängt. Der Trend zeigt klar nach oben.

NIS2: Der neue Pflichtgast

NIS2 ist seit Oktober 2024 in deutsches Recht umgesetzt und betrifft direkt über 30.000 Unternehmen — und indirekt viele mehr über Lieferkettenpflichten.

Die Kernbotschaft von NIS2: IT-Sicherheit ist Chefsache. Die Geschäftsführung ist persönlich verantwortlich für die Umsetzung von Cybersicherheitsmaßnahmen. Bußgelder bis 10 Millionen Euro und persönliche Haftung der Leitungsorgane sind möglich.

Was NIS2 fordert ist im Kern vernünftig: Risikomanagement, Incident Reporting, Business Continuity, Supply Chain Security. Nichts davon ist raketenwissenschaftlich. Aber es muss dokumentiert, umgesetzt und nachgewiesen werden.

AI Act: Der kommende Sturm

Der EU AI Act ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Er tritt schrittweise bis 2027 vollständig in Kraft — aber erste Verbote gelten bereits seit Februar 2025.

Für KMU bedeutet der AI Act vor allem eines: Wenn ihr KI-Systeme einsetzt — und das tun inzwischen fast alle, ob bewusst oder nicht — müsst ihr das dokumentieren, bewerten und in bestimmten Fällen spezifische Anforderungen erfüllen.

Der AI Act klassifiziert KI-Systeme nach Risikostufen:

• Inakzeptables Risiko: Verboten (z.B. Social Scoring durch Behörden)
• Hohes Risiko: Strenge Anforderungen (z.B. KI in Personalentscheidungen, kritischer Infrastruktur)
• Begrenztes Risiko: Transparenzpflichten (z.B. Chatbots müssen sich als KI zu erkennen geben)
• Minimales Risiko: Keine besonderen Anforderungen

Für die meisten KMU liegt der Fokus auf der praktischen Frage: Welche KI-Tools setzen wir ein, und was bedeutet das für unsere Compliance-Pflichten?

---

Was die drei Regulierungen gemeinsam haben

Auf den ersten Blick wirken DSGVO, NIS2 und AI Act wie drei völlig separate Baustellen. Auf den zweiten Blick haben sie mehr gemeinsam als man denkt.

Erstens: Dokumentation. Alle drei Regulierungen fordern nachweisbare Compliance — nicht nur das Tun, sondern das Belegen. Wer keine revisionssichere Dokumentation hat, hat rechtlich gesehen nichts.

Zweitens: Kontinuität. Keine der drei Regulierungen ist ein einmaliges Projekt. Alle drei fordern regelmäßige Überprüfung, Aktualisierung und Anpassung an neue Risiken und Entwicklungen.

Drittens: Verantwortung. Alle drei Regulierungen machen Leitungsorgane persönlich verantwortlich. Das ist neu und das ist ernst gemeint.

Viertens: Skalierung. Alle drei Regulierungen gelten prinzipiell auch für kleine Unternehmen — mit abgestuften Anforderungen, aber ohne vollständige Ausnahme.

---

Die Überlappungen nutzen statt dreifach arbeiten

Hier ist die gute Nachricht: Wer Compliance strategisch angeht, kann erhebliche Synergien nutzen.

Risikomanagement: NIS2 fordert ein IT-Risikoregister. DSGVO fordert eine Datenschutz-Folgenabschätzung für riskante Verarbeitungen. AI Act fordert eine Risikobewertung für KI-Systeme. Das sind nicht drei separate Dokumente — das ist ein integriertes Risikomanagement mit drei Perspektiven.

Technische und organisatorische Maßnahmen: Die TOMs der DSGVO überschneiden sich erheblich mit den Sicherheitsanforderungen von NIS2. Wer seine TOMs sauber dokumentiert hat, hat einen erheblichen Teil der NIS2-Anforderungen bereits erfüllt.

Incident Management: NIS2 fordert schnelles Reporting bei Sicherheitsvorfällen. DSGVO fordert Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Ein einziger, gut dokumentierter Incident-Response-Prozess kann beide Anforderungen abdecken.

Lieferkette: NIS2 fordert die Bewertung von Lieferanten. DSGVO fordert Auftragsverarbeitungsverträge mit Dienstleistern die personenbezogene Daten verarbeiten. AI Act fordert Transparenz über eingesetzte KI-Systeme — auch solche die als Dienstleistung bezogen werden. Eine strukturierte Lieferantenliste mit den richtigen Informationen deckt alle drei ab.

---

Der praktische Weg durch den Dschungel

Statt sich von der Komplexität lähmen zu lassen, empfehle ich einen strukturierten Ansatz in drei Phasen:

Phase 1: Orientierung (Woche 1-2)

Betroffenheit klären: Fällt das Unternehmen unter NIS2? Welche KI-Systeme werden eingesetzt? Wo werden personenbezogene Daten verarbeitet?

Ist-Zustand erfassen: Ein strukturierter Sicherheitscheck gibt schnell Aufschluss über den aktuellen Stand. Welche Maßnahmen sind bereits vorhanden? Wo sind die größten Lücken?

Prioritäten setzen: Nicht alles auf einmal. Was ist das größte Risiko? Was hat den höchsten regulatorischen Druck? Was lässt sich am schnellsten umsetzen?

Phase 2: Fundament bauen (Monat 1-3)

Dokumentation aufbauen: Verzeichnis der Verarbeitungstätigkeiten, Risikoregister, Lieferantenliste, TOMs. Das ist die Basis für alle drei Regulierungen.

Richtlinien erstellen: IT-Sicherheitsrichtlinie, Datenschutzrichtlinie, KI-Nutzungsrichtlinie, Incident Response Plan. Keine 50-seitigen Dokumente — klare, lebbare Richtlinien die Mitarbeiter tatsächlich verstehen.

Prozesse einrichten: Incident Reporting, Datenschutz-Folgenabschätzung, Lieferantenbewertung. Prozesse die im Ernstfall funktionieren — nicht erst aufgebaut werden müssen.

Phase 3: Kontinuität sicherstellen (laufend)

Regelmäßige Überprüfung: Mindestens jährlich — besser quartalsweise — prüfen ob die Dokumentation noch aktuell ist, ob neue Risiken entstanden sind und ob alle Maßnahmen noch greifen.

Schulung und Sensibilisierung: Compliance lebt von Menschen die sie verstehen und leben. Mitarbeitersensibilisierung ist kein Einmalevent — es ist ein kontinuierlicher Prozess.

Nachweis sicherstellen: Im Ernstfall muss man nachweisen können was man wann getan hat. Revisionssichere Dokumentation mit Zeitstempel und Integritätsnachweis ist dafür unerlässlich.

---

KI als Teil des Problems — und der Lösung

Es wäre unvollständig, über den AI Act zu schreiben ohne die Rolle von KI in der Compliance selbst zu adressieren.

KI-gestützte Compliance-Tools — wie CompliantDesk — nutzen künstliche Intelligenz um automatisch Richtlinien zu generieren, Maßnahmen vorzuschlagen und Risiken zu bewerten. Das ist effizienter als manuelle Erstellung, aber es wirft auch Fragen auf.

Transparenz ist Pflicht: KI-generierte Inhalte müssen als solche erkennbar sein. In CompliantDesk wird jede KI-generierte Richtlinie mit einem expliziten Hinweis versehen und muss durch einen menschlichen Verantwortlichen freigegeben werden. Der digitale Freigabestempel dokumentiert wer wann was freigegeben hat.

Datenschutz by Design: Personenbezogene Daten werden nicht an externe KI-Systeme übermittelt. Nur unternehmensbezogene Informationen wie Firmenname, Branche und Infrastrukturmerkmale fließen in die KI-Verarbeitung ein — vertraglich abgesichert durch AVV und SCCs.

Menschliche Verantwortung bleibt: KI-Tools sind Assistenten, keine Entscheider. Die rechtliche Verantwortung für Compliance-Maßnahmen liegt beim Unternehmen — nicht beim Tool. Das muss klar sein, und das muss kommuniziert werden.

---

Was 2025 und 2026 noch kommt

Der regulatorische Kalender ist voll:

DORA (Digital Operational Resilience Act) tritt Januar 2025 für den Finanzsektor in Kraft — und hat erhebliche Auswirkungen auf IT-Dienstleister die Finanzunternehmen bedienen.

CRA (Cyber Resilience Act) betrifft Hersteller von Produkten mit digitalen Elementen — also fast jedes technische Gerät das mit dem Internet verbunden ist.

AI Act entfaltet seine volle Wirkung schrittweise bis 2027, mit wichtigen Meilensteinen für Hochrisiko-KI und General Purpose AI Models.

Die Richtung ist klar: Mehr Regulierung, nicht weniger. Wer jetzt die Grundlagen legt, ist für kommende Anforderungen deutlich besser aufgestellt.

---

Fazit: Compliance als Wettbewerbsvorteil

Der Compliance-Dschungel aus DSGVO, NIS2 und AI Act ist real und er ist anspruchsvoll. Aber er ist bewältigbar — wenn man ihn strukturiert angeht.

Unternehmen die Compliance nicht als lästige Pflicht sondern als strategische Investition verstehen, haben einen echten Wettbewerbsvorteil: Sie gewinnen das Vertrauen von Kunden und Partnern, sie reduzieren ihr Haftungsrisiko, und sie sind für künftige regulatorische Anforderungen besser aufgestellt.

Der erste Schritt ist der schwierigste: anfangen. Den aktuellen Stand verstehen. Prioritäten setzen. Und dann einen konkreten, umsetzbaren Plan verfolgen.

Das geht schneller als die meisten denken.

---

CompliantDesk ist eine DSGVO-konforme Compliance-Management-Plattform für den deutschsprachigen Mittelstand. Entwickelt für Unternehmen die DSGVO, NIS2 und AI Act Act gemeinsam und effizient umsetzen wollen — ohne Enterprise-Budget und ohne externen Berater.

Jetzt kostenlos starten →