Zum Hauptinhalt springen
Regulatorik 10 min read

EU-Compliance für Softwareteams: DSGVO, KI-Gesetz, NIS2 und mehr

Ein praktischer Überblick über EU-Vorschriften für die Softwareentwicklung — Anforderungen, Fristen und wie Sie Compliance in Ihre Architektur einbauen.

BrotCode
Aktualisiert 8. Mai 2026
Read in English
EU-Compliance für Softwareteams: DSGVO, KI-Gesetz, NIS2 und mehr

Der Regulierungsstapel wächst. Ihre Architektur sollte mithalten.

Vor fünf Jahren war die DSGVO die einzige EU-Verordnung, die die meisten Softwareteams interessierte. Diese Zeit ist vorbei.

Sechs große EU-Regulierungen prägen heute, wie Software in Europa entwickelt, betrieben und bereitgestellt wird. DSGVO. KI-Gesetz. NIS2. DORA. Data Act. Und der Cyber Resilience Act. Ein vorgeschlagener Digital Omnibus überarbeitet zudem Teile der DSGVO und des KI-Gesetzes.

Die meisten gelten bereits. Der Rest folgt 2026 und 2027.

Verpassen Sie eine Frist, drohen Bußgelder von bis zu 7 % des weltweiten Jahresumsatzes. Nicht theoretisch. Allein 2025 verhängten EU-Aufsichtsbehörden 1,15 Milliarden Euro an DSGVO-Bußgeldern.

TikTok kassierte 530 Millionen Euro für rechtswidrige Datenübermittlungen nach China. Google zahlte 325 Millionen Euro wegen Gmail-Werbung ohne gültige Einwilligung. Shein 150 Millionen für Cookie-Verstöße.

Die Durchsetzungsmaschinerie läuft.

Dieser Leitfaden zeigt Ihnen die regulatorische Landschaft für Softwareteams. Keine juristische Theorie. Praktische Anforderungen, echte Fristen und Architekturmuster, die Sie compliant halten, ohne die Entwicklung lahmzulegen.

DSGVO 2026: Immer noch das Fundament, aber im Wandel

Die DSGVO wird dieses Jahr acht Jahre alt. Die meisten Teams denken, sie haben alles im Griff. Viele irren sich.

Der Digital-Omnibus-Vorschlag der Europäischen Kommission (November 2025) durchläuft noch das Gesetzgebungsverfahren. EDSA und EDSB haben im Februar 2026 eine gemeinsame Stellungnahme abgegeben, die die Vereinfachung grundsätzlich befürwortet, aber Bedenken äußert.

Der durchgesickerte Kompromiss des EU-Rates kippt die umstrittenste Änderung: die geplante engere Definition personenbezogener Daten. Andere Punkte werden voraussichtlich kommen.

Die Befreiung vom Verzeichnis der Verarbeitungstätigkeiten dürfte von Organisationen unter 250 auf unter 750 Mitarbeitende steigen. Die Verabschiedung wird bis Mitte 2026 erwartet.

Das sind gute Nachrichten für kleinere Unternehmen.

Die schlechte Nachricht? Die Durchsetzung verschärft sich bei Dark Patterns, KI-gestützter Verarbeitung und Einwilligungsmanipulation. Der Schwerpunkt der koordinierten EDSA-Durchsetzungsaktion 2026 liegt auf Transparenz nach Artikel 12 bis 14. Aufsichtsbehörden nehmen gezielt Softwaredesign-Entscheidungen ins Visier, die Nutzer zu mehr Datenpreisgabe drängen.

Was das für Ihre Architektur bedeutet:

  • Einwilligungsmanagement braucht granulare Kontrollen und unveränderliche Prüfpfade. Kein Cookie-Banner, sondern ein echtes System, das festhält, was jeder Nutzer wann und wofür zugestimmt hat.

  • Das Recht auf Löschung (Artikel 17) erfordert kaskadierende Löschung über jedes System, das eine Kopie hält. Backups eingeschlossen.

  • Datenportabilität (Artikel 20) bedeutet Export-APIs in strukturierten, maschinenlesbaren Formaten wie JSON oder CSV.

Einen tieferen Einblick in datenschutzgerechte Architektur finden Sie in unserem Leitfaden zur DSGVO-konformen Softwarearchitektur.

Das EU-KI-Gesetz: Eine Verschiebung ist da, aber noch nicht Recht

Das EU-KI-Gesetz ist die weltweit erste umfassende KI-Regulierung. Nach geltendem Recht fällt die wichtigste Frist weiter auf den 2. August 2026. Dann greifen Hochrisiko-Pflichten nach Anhang III, Transparenzpflichten nach Artikel 50 und die öffentliche EU-Datenbank nach Artikel 49.

Dieser Zeitplan steht vor einer Verschiebung. Nachdem ein erster Trilog am 28. April scheiterte, erzielten Rat und Parlament eine Woche später eine vorläufige politische Einigung zum Digital Omnibus zum KI-Gesetz.

Hochrisiko-Pflichten nach Anhang III rücken auf den 2. Dezember 2027. KI als Sicherheitskomponente nach Anhang I auf den 2. August 2028. Die Wasserzeichenpflicht nach Artikel 50(2) auf den 2. Dezember 2026.

Die Einigung muss bis zum 2. August 2026 förmlich angenommen werden, um zu greifen. Bis dahin bleibt der ursprüngliche Zeitplan des KI-Gesetzes verbindlich.

Die Durchsetzung der bereits geltenden Teile begann früher als die meisten Teams denken. Verbotene KI-Praktiken sind seit Februar 2025 illegal.

Pflichten für Allzweck-KI-Modelle folgten am 2. August 2025. Der Sanktionsrahmen wurde am gleichen Tag scharfgeschaltet.

Planen Sie nach geltendem Recht. Behandeln Sie die Verschiebung als Planungsoption, nicht als Freibrief.

Wenn Ihr System Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum oder Ausnutzung von Schwachstellen umfasst, sind Sie bereits exponiert. Diese Frist fiel im Februar 2025.

Die Risikokategorien sind entscheidend

Das Gesetz klassifiziert KI-Systeme in vier Stufen. Unannehmbares Risiko: komplett verboten. Hohes Risiko: umfangreiche Pflichten bei KI in Personalwesen, Kreditwürdigkeitsprüfung, kritischer Infrastruktur und Bildung. Begrenztes Risiko: Transparenzpflichten. Minimales Risiko: keine besonderen Auflagen.

Der Haken: “KI-System” ist breit definiert. Traditionelles Machine Learning, regelbasierte Systeme unter bestimmten Bedingungen und sogar manche fortgeschrittenen Analysetools könnten darunter fallen.

Bitkom-Daten zeigen: Die KI-Nutzung in deutschen Unternehmen sprang von 17 % im Jahr 2024 auf 41 % im Jahr 2026. Bei Unternehmen im Geltungsbereich des KI-Gesetzes sind es im Schnitt 1,5 Systeme pro Haus.

Die wenigsten haben jedoch eine formale Inventur. Ohne diese ist eine Risikoklassifizierung Glückssache.

Die meisten KMU sind Betreiber, nicht Anbieter. Ihre Pflichten sind leichter, umfassen aber Transparenz, menschliche Aufsicht bei Hochrisikosystemen und KI-Kompetenzvermittlung für Ihr Team. Die KI-Kompetenzpflicht aus Artikel 4 gilt seit Februar 2025.

Bußgelder bei Nichteinhaltung: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Je nachdem, was höher ist.

Eine zweite Frist fällt auf den 2. August 2027: Pflichten nach Artikel 6(1) und volle GPAI-Compliance für Modelle, die vor August 2025 auf den Markt kamen.

Lesen Sie unsere detaillierte Analyse: Das EU-KI-Gesetz: Was Softwareteams vor August 2026 wissen müssen.

NIS2: Cybersicherheit ist jetzt Chefsache

Deutschland hat NIS2 am 6. Dezember 2025 in nationales Recht umgesetzt. Keine Übergangsfrist. Die BSI-Registrierungsfrist am 6. März 2026 ist verstrichen. Wer betroffen war und sich nicht registriert hat, ist bereits in Verzug.

Die Ausweitung des Geltungsbereichs ist dramatisch. Die Zahl der regulierten Unternehmen in Deutschland ist von etwa 4.500 auf rund 29.500 gestiegen. Achtzehn Branchen sind betroffen: Energie, Transport, Gesundheit, digitale Infrastruktur, IKT-Dienstemanagement, öffentliche Verwaltung, Lebensmittel, Fertigung, Chemie und Abfallwirtschaft.

Deutschland ist nicht das einzige Land mit Reibungsverlusten, sondern eines der wenigen mit fertiger Umsetzung. Im Frühjahr 2025 schickte die EU-Kommission begründete Stellungnahmen an 19 Mitgliedstaaten wegen unvollständiger NIS2-Umsetzung.

Wenn Sie EU-weit tätig sind, verschiebt sich Ihre Compliance-Basis von Land zu Land. Italien war früh dran. Frankreich, Spanien, die Niederlande und andere holen noch auf.

Was NIS2 von Ihrer Software verlangt

Die technischen Anforderungen sind konkret. Risikomanagementmaßnahmen müssen umfassen: Risikoanalyse für Informationssysteme, Erkennung und Reaktion auf Vorfälle, Geschäftskontinuität und Backup-Management, Lieferkettensicherheit, Netzwerksicherheit und Zugangskontrolle, Verschlüsselung, Schwachstellenmanagement und Schulungen zur Cyberhygiene.

Bei der Meldung von Sicherheitsvorfällen gilt ein strenger Zeitplan. Sie haben 24 Stunden für eine Erstmeldung nach Bekanntwerden eines bedeutenden Vorfalls. Ein vollständiger Bericht ist innerhalb von 72 Stunden fällig.

Und Cybersicherheit ist nicht mehr nur IT-Thema. Geschäftsführer und Vorstände haften persönlich für Compliance-Verstöße.

Das Kernstück der deutschen Umsetzung ist das überarbeitete BSI-Gesetz (BSIG). Alle betroffenen Unternehmen müssen sich innerhalb von drei Monaten beim BSI registrieren. Das BSI-Portal dafür ist seit dem 6. Januar 2026 geöffnet.

Unser technischer NIS2-Compliance-Leitfaden führt durch die Architekturmuster und Umsetzungsschritte.

Der EU Data Act: September 2026 verändert das IoT-Spiel

Der EU Data Act ist seit 12. September 2025 in Anwendung. Damit greifen das Verbot unfairer Klauseln in Datenteilungsverträgen sowie die Cloud-Switching-Regeln mit ihrer dreijährigen Übergangsfrist.

Der nächste Meilenstein trifft Produktteams. Ab dem 12. September 2026 müssen alle vernetzten Produkte, die neu auf den EU-Markt kommen, “Access by Design” nach Artikel 3(1) erfüllen.

Wenn Sie IoT-Geräte, vernetzte Maschinen, Smart-Home-Produkte oder jegliche Hardware bauen oder verkaufen, die während der Nutzung Daten generiert, betrifft Sie das.

Die Kernanforderung: Nutzer müssen ihre Daten “einfach, sicher, kostenlos, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format, kontinuierlich und in Echtzeit” abrufen können. Das ist ein direktes Zitat aus der Verordnung.

Die Geschäftsmodell-Implikationen sind erheblich. Wenn Ihr Umsatz davon abhängt, Nutzer in Ihr Daten-Ökosystem einzusperren, erzwingt der Data Act ein Umdenken.

Für eine technische Aufschlüsselung siehe Der EU Data Act: Was er für vernetzte Produkte und IoT bedeutet.

DORA und Cyber Resilience Act: Zwei weitere Regelwerke, die Sie kennen sollten

Zwei Verordnungen, die für die meisten Teams vor einem Jahr noch keine Rolle spielten, tun es jetzt.

DORA, der Digital Operational Resilience Act, ist seit 17. Januar 2025 in Anwendung. Er deckt Banken, Versicherer, Zahlungsdienste, Krypto-Dienstleister und die IKT-Anbieter ab, die diese beliefern.

Die fünf Säulen: IKT-Risikogovernance, Vorfallsmeldung, Lieferantenregister, bedrohungsorientierte Penetrationstests und Informationsaustausch. Sanktionen liegen bei 2 % des weltweiten Jahresumsatzes für Finanzentitäten und 1 % des durchschnittlichen Tagesumsatzes für kritische IKT-Dienstleister.

Wenn Sie Software für den europäischen Finanzsektor bauen, prägt DORA bereits Ihre Verträge.

Der Cyber Resilience Act ist die breitere Bühne. Er gilt für nahezu jedes Produkt mit digitalen Elementen, das in der EU verkauft wird.

Der CRA trat am 10. Dezember 2024 in Kraft, mit gestaffelter Anwendung.

Die Meldepflicht für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gilt ab 11. September 2026. Volle Compliance für alle neuen Produkte ab 11. Dezember 2027.

Wer Hardware, Firmware oder bestimmte SaaS-Komponenten in die EU liefert, sollte sich diese Termine notieren.

Wie sich diese Regulierungen überschneiden (und warum das hilft)

Was die meisten Compliance-Leitfäden übersehen: Diese Regulierungen konvergieren, sie divergieren nicht.

Der Digital-Omnibus-Vorschlag will die Meldung von Sicherheitsvorfällen konsolidieren. Statt separater Meldungen unter DSGVO, NIS2 und DORA ist ein einheitlicher Meldemechanismus über ENISA geplant. Ein Bericht, mehrere Aufsichtsbehörden.

DSGVO und KI-Gesetz teilen sich die Durchsetzungsinfrastruktur. NIS2 und DSGVO stimmen bei Sicherheitsmaßnahmen überein. Wenn Ihre Architektur die technischen NIS2-Anforderungen für Verschlüsselung, Zugangskontrolle und Monitoring erfüllt, decken Sie damit auch die meisten DSGVO-Sicherheitspflichten ab.

Diese Konvergenz ist eine gute Nachricht für Teams, die Compliance in ihre Architektur einbauen, statt sie Verordnung für Verordnung nachzurüsten.

Compliance in die Architektur einbauen

Compliance im Nachhinein kostet 5-10x mehr als Compliance by Design. Das ist keine Vermutung. Das sehen wir in jedem Projekt, bei dem Sicherheit und Datenschutz “Phase zwei” waren.

Privacy by Design

Datenminimierung ist nicht nur ein DSGVO-Grundsatz. Es ist gute Architektur. Erheben Sie nur, was Sie brauchen, und speichern Sie es nur so lange wie nötig.

Verschlüsseln Sie im Ruhezustand und bei der Übertragung. Feldebene-Verschlüsselung für personenbezogene Daten, Pseudonymisierung wo keine vollständige Identifizierung erforderlich ist.

Security by Design

NIS2 und DORA fordern es. Aber auch ohne Regulierung sind Zero-Trust-Architektur, Netzwerksegmentierung und unveränderliche Audit-Protokollierung Grundanforderungen für jedes Produktionssystem 2026.

Prüfpfade überall

Jede Regulierung verlangt den Nachweis der Compliance. Das bedeutet: Protokollierung, wer auf was zugegriffen hat, wann und warum. Unveränderliche Logs. Manipulationssichere Speicherung.

Mehr dazu in unserem Security-by-Design-Leitfaden.

Datenresidenz: Wo Ihre Daten liegen, ist wichtig

Die DSGVO verlangt nicht strikt EU-Datenresidenz. Aber die praktische Realität 2026 macht es zum einfachsten Compliance-Weg.

Der US CLOUD Act erlaubt US-Strafverfolgungsbehörden, US-Unternehmen zur Herausgabe von Daten zu zwingen, unabhängig davon, wo diese physisch gespeichert sind. Daten in Frankfurt bei einem US-Hyperscaler zu speichern, garantiert keine Souveränität.

Europäische Cloud-Alternativen existieren: OVHCloud, Hetzner, IONOS, Scaleway. Sie bieten nicht die Feature-Breite von AWS oder Azure, aber für viele Workloads sind sie mehr als ausreichend.

Unser Leitfaden zur Datenresidenz in der EU behandelt das Entscheidungsrahmenwerk im Detail.

Ihre Compliance-Checkliste: Was jetzt und was später

Jetzt tun (Q2 2026)

  • KI-Systeme inventarisieren. Jedes ML-Modell, automatisierte Entscheidungssystem und KI-gestützte Feature erfassen. Die Hochrisiko-Frist am 2. August bleibt verbindlich, bis der Digital Omnibus förmlich angenommen ist.
  • NIS2-Status klären. Die deutsche BSI-Registrierungsfrist endete am 6. März. Wer betroffen war und nicht registriert ist, sollte jetzt registrieren und die Verspätung dokumentieren.
  • Datenflüsse auditieren. Wissen, wo personenbezogene Daten liegen, wer sie verarbeitet und welche Auftragsverarbeiter beteiligt sind.
  • Notfallplan prüfen. Können Sie einen Vorfall erkennen und innerhalb von 24 Stunden melden? Falls nicht, beheben Sie das zuerst.

Bis 2. August 2026

  • KI-Gesetz-Compliance. Technische Dokumentation, menschliche Aufsichtsmechanismen und Konformitätsbewertungen für Hochrisiko-KI-Systeme.
  • Transparenzpflichten. KI-Chatbots offenbaren ihre Natur. Deepfakes erhalten maschinenlesbare Wasserzeichen.

Bis 11.-12. September 2026

  • Data Act. Neue vernetzte Produkte auf dem EU-Markt müssen “Access by Design” unterstützen. Nutzerdatenexport in maschinenlesbaren Formaten, kostenlos, in Echtzeit.
  • CRA-Meldepipeline. Reporting-Strukturen für aktiv ausgenutzte Schwachstellen und schwerwiegende Vorfälle gehen scharf.

Bis 11. Dezember 2027

  • Volle CRA-Compliance für jedes neue Produkt mit digitalen Elementen, das in der EU vertrieben wird.

Laufend

  • DSFAs für neue Verarbeitungen. Jedes neue Feature, das personenbezogene Daten im großen Umfang verarbeitet, braucht eine Datenschutz-Folgenabschätzung.
  • Lieferkettensicherheit. NIS2 verlangt die Bewertung der Cybersicherheitslage Ihrer Lieferanten. Drittanbieter-Risikomanagement ist jetzt regulatorische Pflicht.
  • Schulungen. KI-Kompetenz (KI-Gesetz), Cyberhygiene (NIS2), Datenschutzbewusstsein (DSGVO). In das Onboarding einbauen.

Das Fazit

Das EU-Regulierungsrahmenwerk ist komplex. Aber kohärenter als es aussieht. Der gemeinsame Nenner: Bauen Sie sichere, datenschutzrespektierende Software, die Nutzern die Kontrolle über ihre Daten gibt. Dokumentieren Sie, was Sie tun und warum. Melden Sie Vorfälle schnell. Übernehmen Sie Verantwortung.

Teams, die Compliance als Architekturthema behandeln statt als juristisches Nachspiel, geben weniger aus, bewegen sich schneller und schlafen besser.

Die Fristen verlangsamen sich nicht. Ihre Vorbereitung sollte es auch nicht.

EU-Compliance für Ihr Softwareprojekt navigieren? Lassen Sie uns gemeinsam Ihre Anforderungen durchgehen. Wir bauen DSGVO- und KI-Gesetz-konforme Software standardmäßig.

Artikel teilen
Compliance DSGVO KI-Gesetz NIS2 Sicherheit Architektur

Verwandte Artikel

Brauchen Sie Hilfe beim Bauen?

Wir verwandeln komplexe technische Herausforderungen in produktionsreife Lösungen. Sprechen wir über Ihr Projekt.

Kontakt aufnehmen So arbeiten wir