Drei Regelwerke. Ein Rahmen.
Wer alle drei einzeln behandelt, baut dreimal. Wer sie zusammen denkt, baut einmal — und nutzt es dreimal.
Drei Gesetze.
Drei verschiedene Stoßrichtungen.
Auf den ersten Blick getrennt. Auf den zweiten: viele gemeinsame Prozesse, viele gemeinsame Pflichten.
DSGVO
Datenschutz-Grundverordnung
Schutz personenbezogener Daten.
- Verzeichnis der Verarbeitungstätigkeiten
- Rechtsgrundlagen, Auftragsverarbeitung, AVV
- Betroffenenrechte (Auskunft, Löschung, Widerspruch)
- Meldepflicht bei Datenpannen (72 h)
NIS-2
Network Information Security 2
Cyber-Sicherheit für kritische und wichtige Sektoren.
- Risikomanagement-Maßnahmen (Art. 21)
- Geschäftsleitung haftet persönlich
- Meldepflicht bei Sicherheitsvorfällen (24 h)
- Lieferketten-Sicherheit nachweisen
EU AI Act
Verordnung 2024/1689
Risikobasierte Regulierung von KI-Systemen.
- Klassifizierung in 4 Risikoklassen
- KI-Kompetenz im Unternehmen Pflicht
- Hochrisiko: Doku, Aufsicht, Konformität
- Kennzeichnung von Chatbots, Deepfakes
Was Sie einmal aufbauen —
und dreifach nutzen.
Sechs Felder, in denen DSGVO, NIS-2 und AI Act dieselbe Substanz fordern. Wer hier strukturiert investiert, erfüllt drei Pflichten gleichzeitig.
Verzeichnisse pflegen
Eine systematische Liste — egal ob Verarbeitungstätigkeiten (DSGVO), kritische Dienste (NIS-2) oder KI-Systeme (AI Act). Gleiche Logik, gleiches Werkzeug.
DSGVO · NIS-2 · AI Act
Risiko-Methodik
Ob Datenschutz-Folgenabschätzung, Cyber-Risiko-Analyse oder KI-Risikoklassifizierung — eine gemeinsame Methodik spart Doppelarbeit und macht Risiken vergleichbar.
DSGVO · NIS-2 · AI Act
Rollen & Verantwortung
Datenschutzbeauftragte, Informationssicherheitsbeauftragte, KI-Beauftragte — oder eine integrierte Compliance-Funktion. KMU-Realität: oft eine Person, klar geregelt.
DSGVO · NIS-2 · AI Act
Lieferanten-Steuerung
AVV (DSGVO), Lieferketten-Nachweise (NIS-2), KI-Komponenten in Drittsoftware (AI Act). Eine Lieferanten-Risiko-Matrix bedient alle drei.
DSGVO · NIS-2 · AI Act
Schulung & Awareness
Pflicht in allen drei Regelwerken. Ein integriertes Schulungsprogramm vermittelt Datenschutz, Cyber-Hygiene und KI-Kompetenz im selben Kontext.
DSGVO · NIS-2 · AI Act
Vorfallsbearbeitung
Datenpanne (72 h), Sicherheitsvorfall (24 h), KI-Fehlfunktion (unverzüglich). Ein Incident-Response-Prozess für alle drei — mit unterschiedlichen Eskalationspfaden.
DSGVO · NIS-2 · AI Act
Was in der Praxis
schiefläuft.
Drei Tools, drei Ablagen, drei Verantwortliche
Die Datenschutz-Beauftragte pflegt ihr Excel, der IT-Leiter ein anderes, die KI-Verantwortliche fängt von vorne an. Niemand sieht das Ganze. Aufwand verdreifacht, Substanz halbiert.
Compliance erst nach dem ersten Audit
Aufgewacht wird, wenn der Wirtschaftsprüfer fragt oder ein Großkunde Nachweise verlangt. Dann muss in 4 Wochen geschehen, was 18 Monate Vorlauf gebraucht hätte.
Externe Dienstleister außen vor
Hosting, IT-Service-Provider, SaaS-Tools mit KI-Komponenten — nicht eingebunden, nicht vertraglich geregelt. Im Vorfall stellt sich heraus: Pflichten nicht erfüllbar, weil Lieferanten nicht mitspielen.
Pflichten erfüllen statt Substanz aufbauen
Eine Datenschutz-Erklärung copy-paste, ein Sicherheitskonzept als PDF, eine KI-Leitlinie aus dem Internet. Compliance auf dem Papier — ohne dass es im Betrieb gelebt wird. Das wird im Ernstfall sichtbar.
Ein gemeinsamer Startplan
in vier Schritten.
-
01
Bestandsaufnahme
Was haben Sie heute? DSGVO-Verzeichnis vorhanden? NIS-2-Selbsteinstufung gemacht? KI-Inventar gepflegt? Eine ehrliche Standortbestimmung über alle drei.
Liefert: dokumentierter Status quo
-
02
Schnittmengen identifizieren
Wo sind Pflichten gleich oder ähnlich? Welche Systeme sind in mehr als einem Regelwerk relevant? Synergie-Karte mit Prioritäten.
Liefert: Synergie-Inventar
-
03
Gemeinsame Basis aufbauen
Eine integrierte Architektur: ein Verzeichnis, eine Risiko-Methodik, eine Schulungsreihe, eine Vorfalls-Logik — statt drei Parallelwelten.
Liefert: Compliance-Architektur
-
04
Pflichten gestaffelt erfüllen
DSGVO ist Pflicht. NIS-2-Pflichten greifen bereits. AI-Act-Hochrisiko ab 02.08.2026. Reihenfolge nach echtem Risiko, nicht nach Frist-Druck.
Liefert: rollierender Maßnahmenplan
Was Entscheider
am häufigsten fragen.
01 Sind wir überhaupt von NIS-2 betroffen? +
Direkt: Ja, wenn Sie 50 MA oder 10 Mio. € Umsatz haben und in einem der 18 NIS-2-Sektoren tätig sind. Indirekt: auch wenn Sie Zulieferer eines NIS-2-Pflichtigen sind — Ihre Großkunden werden Nachweise verlangen. Klärung in einer Stunde.
02 Reicht es nicht, die DSGVO sauber zu haben? +
Nein. Die DSGVO regelt Daten, NIS-2 regelt Sicherheit, der AI Act regelt KI-Entscheidungen. Sie können in der DSGVO sauber sein und gleichzeitig NIS-2-pflichten verletzen — etwa weil ein Sicherheitsvorfall nicht binnen 24 h gemeldet wurde. Drei Logiken, drei Fristen.
03 Was kostet eine ganzheitliche Compliance-Architektur? +
Bestandsaufnahme über alle drei: 2–4 Termine. Aufbau der gemeinsamen Basis: abhängig vom Reifegrad — typisch 3–6 Monate begleitend. Wer bei Null startet, braucht länger; wer schon DSGVO-Strukturen hat, baut darauf auf.
04 Brauchen wir drei verschiedene Beauftragte? +
Pflicht ist nur der Datenschutzbeauftragte (DSGVO). Bei NIS-2 haftet die Geschäftsleitung persönlich; ein dedizierter Informationssicherheitsbeauftragter ist sinnvoll. AI-Act: KI-Kompetenz ist Pflicht, ein KI-Beauftragter nicht. KMU-Praxis: oft eine integrierte Rolle.
05 Was ist die größte Falle? +
Aufbau in Silos. Wenn Sie für jedes Regelwerk separat ein Werkzeug, eine Methodik und eine Verantwortliche aufbauen, multiplizieren sich Kosten und Aufwand — und im Vorfall reden die drei Systeme nicht miteinander. Genau dafür gibt es die Synergie-Logik.
06 Wann sollten wir anfangen? +
Heute, wenn Sie noch nichts haben. In drei Monaten, wenn Sie bei DSGVO sauber sind und nur NIS-2 / AI Act fehlen. Was Sie nicht tun sollten: warten, bis ein Audit, ein Vorfall oder ein Großkunde es erzwingt — dann sind die Optionen viel teurer.
Eine ehrliche Compliance-Standortbestimmung —
über alle drei Regelwerke.
Kostenfreies Erstgespräch. 20 Minuten. Danach wissen wir beide, ob die Triade-Logik bei Ihnen Substanz hätte.