DOAG Datenbank Kolumne: Commit to Compliance – von DSGVO bis Data Act

  • Erstellt von Andreas Buckenhofer
  • Datenbank Kolumne, Datenschutz, Datenbank

Andreas Buckenhofer gibt in seiner Kolumne einen Überblick über wichtige Verordnungen und Gesetze, die für Unternehmen im Umgang mit Daten relevant sind.

Frei nach den Fantastischen Vier:
"DSGVO, BDSG, ESG – FIDA, und noch viel mehr".

Der Datenkosmos wächst. Neben Datenbanken, Pipelines und KPIs haben wir heute auch ein wachsendes Set an Datengesetzen, die mindestens so komplex sind wie ein Star-Schema mit 1001 Tabellen. Diese Kolumne gibt euch einen schnellen Überblick: Welche Verordnungen und Gesetze sollten Daten-Profis kennen – und was heißt das für die Datenhaltung? Die Übersicht stellt eine Auswahl relevanter Rechtsakte dar.

Bevor wir in die Details springen, kurz die wichtigsten Unterschiede:

  • EU-Verordnung: Gilt direkt in allen Mitgliedstaaten, ohne Übersetzung ins nationale Recht.
  • EU-Richtlinie: Gibt Ziele vor, muss aber noch in nationales Recht gegossen werden.
  • Bundesgesetz: Klassischer Gesetzgebungsprozess über Bundestag/Bundesrat.
  • Verordnung (national): Konkrete Ausführungsregeln, oft von Ministerien.

 

DSGVO – Datenschutz-Grundverordnung

  • Art: EU-Verordnung
  • Inkrafttreten: 25. Mai 2018

Worum geht es?
Die DSGVO ist der Grundpfeiler des europäischen Datenschutzrechts. Sie regelt umfassend die Verarbeitung personenbezogener Daten – von der Erhebung bis zur Löschung. Zentral sind die sieben Grundsätze: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit und Rechenschaftspflicht.

Relevanz für Datenhaltung:

  • Rechte von Betroffenen: Auskunft, Löschung, Datenportabilität.
  • Dokumentation: Verzeichnis von Verarbeitungstätigkeiten, Nachweis der Rechtsgrundlage.
  • Privacy by Design: Architektur, die Datenminimierung und Schutzmaßnahmen integriert.

Kurz: DSGVO ist der Default-Constraint "Privacy by Design" für personenbezogene Daten – sonst Bußgeld.

 

AI Act – Verordnung über Künstliche Intelligenz

  • Art: EU-Verordnung
  • Inkrafttreten: 1. August 2024
  • Wichtige Deadlines: Verbotene KI-Praktiken ab 2. Februar 2025, Hochrisiko-Systeme ab 2. August 2025, vollständige Anwendung ab 2. August 2026

Worum geht es?
Der AI Act verfolgt einen risikobasierten Ansatz. KI-Systeme mit inakzeptablem Risiko (z. B. Social Scoring) sind verboten. Hochrisiko-Anwendungen (Medizin, kritische Infrastrukturen, biometrische Systeme) unterliegen strengen Anforderungen an Governance und Nachvollziehbarkeit.

Relevanz für Datenhaltung:

  • Dokumentation: Trainings- und Testdaten müssen vollständig nachvollziehbar sein.
  • Transparenzpflicht: Quellen, Protokolle und Audit-Trails sind Pflicht.
  • Sicherheit: "Stopp-Knopf"-Mechanismen für KI-gestützte Systeme.

Kurz: AI Act ordnet KI nach Risiko erst dokumentieren und prüfen, dann deployen.

 

Data Act – Verordnung über den Zugang zu Daten

  • Art: EU-Verordnung
  • Inkrafttreten: 11. Januar 2024
  • Relevanz ab: 12. September 2025

Worum geht es?
Der Data Act verpflichtet Hersteller, Nutzern Zugriff auf die von ihnen erzeugten Daten zu ermöglichen. Das betrifft insbesondere vernetzte Geräte wie Fahrzeuge oder Solaranlagen. Ziel ist es, Innovation zu fördern, Reparaturen zu erleichtern und Datenmonopole aufzubrechen.

Relevanz für Datenhaltung:

  • Data Access by Design: Nutzer müssen ihre Daten einfach exportieren und weitergeben können.
  • Interoperabilität: Standardisierte, übertragbare Formate erleichtern den Wechsel zwischen Cloud-Anbietern.
  • Vorrang der DSGVO: Personenbezogene Daten erfordern weiterhin eine Rechtsgrundlage.

Kurz: Data Act macht Datenexport zum Pflichtfeld – Portabilität statt Vendor-Lock-in.

 

NIS2 – Network and Information Security Directive 2

  • Art: EU-Richtlinie
  • Inkrafttreten: 16. Januar 2023
  • Umsetzung in nationales Recht: bis 17. Oktober 2024 (Stand Herbst 2025: Umsetzung in Deutschland noch in Arbeit)

Worum geht es?
NIS2 ist das zentrale EU-Instrument zur Stärkung der Cybersicherheit. Es gilt für Unternehmen und Organisationen in Sektoren wie Energie, Gesundheit, Verkehr, Finanzen, Verwaltung und digitale Infrastruktur. Ziel ist ein einheitlich hohes Schutzniveau für Netz- und Informationssysteme in Europa.

Relevanz für Datenhaltung:

  • Einführung eines umfassenden Informationssicherheitsmanagements (ISMS).
  • Klare Notfallprozesse, Backup-Strategien und Zugriffskontrollen.
  • Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle.

Kurz: NIS2 macht Sicherheitspflichten verbindlich – auch dort, wo bisher nur „Best Practice“ galt.

 

DORA – Digital Operational Resilience Act

  • Art: EU-Verordnung
  • Inkrafttreten: 17. Januar 2023
  • Anzuwenden ab: 17. Januar 2025

Worum geht es?
DORA adressiert die digitale Resilienz im Finanzsektor. Banken, Versicherungen und andere Finanzinstitute müssen ihre Informations- und Kommunikationstechnologien (IKT) so absichern, dass Cyberangriffe oder Systemausfälle nicht das Finanzsystem destabilisieren.

Relevanz für Datenhaltung:

  • Risikomanagement für Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
  • Verpflichtung zu Verschlüsselung, Zugriffskontrollen und Protokollierung.
  • Regelmäßige Tests (z. B. Penetrationstests) und Nachweise gegenüber Aufsichtsbehörden.

Kurz: DORA ist das "Hochverfügbarkeitskonzept" für den Finanzsektor – ohne Ausreden.

 

Weitere relevante Rechtsakte

Data Governance Act – Verordnung über Daten-Governance

  • Art: EU-Verordnung
  • Inkrafttreten: 23. Juni 2022
  • Gültig ab: 24. September 2023
  • Worum geht es? Regelt die freiwillige Weitergabe von Daten öffentlicher Stellen über Datenvermittlungsdienste und Data Hubs.

Beschäftigtendatenschutzgesetz (BeschDG – geplant)

  • Art: Bundesgesetz (Entwurf)
  • Inkrafttreten: noch offen
  • Worum geht es? Soll § 26 BDSG ablösen und den Umgang mit Beschäftigtendaten (z. B. Bewerbungsverfahren, Konzernübermittlungen, Videoüberwachung) detailliert regeln.

ESG-Rahmen (Environmental, Social, Governance)

  • Art: Zusammenspiel mehrerer EU-Rechtsakte (CSRD, ESRS, EU-Taxonomie, SFDR, CSDDD)
  • Inkrafttreten: gestaffelt seit 2020
  • Worum geht es? Legt Standards für Nachhaltigkeitsberichte fest und definiert, welche ESG-Daten Unternehmen erfassen und veröffentlichen müssen.

FIDA – Framework for Financial Data Access (geplant)

  • Art: EU-Verordnung (Gesetzgebungsverfahren läuft)
  • Inkrafttreten: noch offen
  • Worum geht es? Soll einen EU-weiten Rahmen für sicheren, standardisierten Zugriff auf Finanzdaten schaffen – über den Zahlungsverkehr hinaus.

 

Fazit: Compliance ist Pflicht – aber kein Selbstläufer

Compliance ist heute kein "Nice-to-have mehr", sondern eine zentrale Voraussetzung für den Betrieb jeder datengetriebenen Organisation. DSGVO, AI Act, Data Act, NIS2 oder DORA – jedes Regelwerk bringt klare [?] Anforderungen mit, die niemand ignorieren darf.

Gleichzeitig darf man die Schattenseiten nicht ausblenden:

  • Die Vielzahl an Gesetzen und Verordnungen ist schwer überschaubar. Der Artikel gibt nur einen kleinen Ausschnitt wieder.
  • Umsetzungspflichten sind komplex, teils widersprüchlich und unklar – vor allem, solange nationale Gesetze oder Leitlinien fehlen (Beispiel: NIS2).
  • Die Einhaltung bindet enorme Ressourcen, die an anderer Stelle für Innovation und Wertschöpfung fehlen.
  • Eine enge Zusammenarbeit von IT, Legal und Fachbereichen ist unumgänglich.

Mit anderen Worten: Compliance ist wichtig – aber der Weg dorthin ist steinig, kostspielig, aufwendig und voller Fragezeichen. Unternehmen müssen nicht nur technische Maßnahmen umsetzen, sondern auch Prozesse und Verantwortlichkeiten klar strukturieren. Wer den Überblick verliert, riskiert nicht nur Bußgelder, sondern auch operative Risiken.

👉 Die Herausforderung: einen Weg durch das regulatorische Dickicht zu finden, ohne dass die eigentliche Mission – aus Daten echten Nutzen zu schaffen – auf der Strecke bleibt. Erneut frei nach Fanta4:
"DSGVO, NIS2, DORA – fast Pandora".
MfG, mit freundlichen Grüßen
Die Welt liegt uns zu Füßen, Compliance obendrauf.

 

Andreas Buckenhofer

(Ich arbeite bei Adam Riese als Senior Data Architect in Controlling/Finanzen/Regulatorik rund um Datenarchitekturen, Datenbanken, AI, Data Lakehouse, Data Governance. In der DOAG bin ich aktives Mitglied in der Datenbank-Community und Co-Themenverantwortlicher für "Data Governance & Sovereignty").
 

Andreas Buckenhofer könnt ihr auf der DOAG 2025 Konferenz + Ausstellung mit folgenden beiden Vorträgen erleben:

Datensouveränes Lakehouse – Offene Formate wie Apache Iceberg, Delta & Co

Agentic AI zum Anfassen – Notebook-Agenten für Recherche & Datenhygiene

 

Die Anwenderkonferenz

📍DOAG 2025 Konferenz + Ausstellung | Nürnberg Convention Center 

📅 18.–21. November 2025 

🔗 Anmeldung 

🔗 Agenda

🔗 Konferenz

 

Achtung

Tickets zum günstigen Frühbucherpreis gibt es noch bis zum 30. September in unserem Shop.

DOAG-Mitglieder erhalten zu diesem sogenannten Early-Bird-Preis nochmals einen speziellen Mitgliederrabatt. Alles zur DOAG-Mitgliedschaft erfahrt ihr hier!

© Urban Origami, Pixabay
Zurück zur Übersicht
"Warum ich wieder zur DOAG 2025 Konferenz + Ausstellung komme"
"Es gibt keine bessere Möglichkeit als ein Besuch der DOAG Anwenderkonferenz, um sein Wissen auf dem Laufenden zu halten"