309.000 neue Schadprogramme. Pro Tag. Das zählt das BSI in seinem aktuellen Lagebericht. Gleichzeitig melden 81 Prozent aller deutschen Unternehmen Cyberangriffe, die allein 2024 einen Gesamtschaden von 266 Milliarden Euro verursacht haben. In dieser Realität klingt "Wir warten erst ab, bis die Rechtslage klar ist" nicht mehr nach Vorsicht. Es klingt nach einem Risiko.
Denn die Datenschutzaufsicht baut Druck auf - über einen Hebel, der in vielen KMU noch kaum bekannt ist. Artikel 32 der DSGVO verlangt den "Stand der Technik" als Maßstab für technische Schutzmaßnahmen. Und dieser Stand verschiebt sich gerade messbar in Richtung KI-gestützter Sicherheitsanalyse. Wer das ignoriert, schützt sich nicht durch Zurückhaltung. Er macht sich angreifbar - von zwei Seiten gleichzeitig.
Was DSGVO Art. 32 wirklich fordert
Die meisten Betriebsinhaber kennen die DSGVO als Pflichtprogramm mit Datenschutzerklärungen und Einwilligungsformularen. Was in Artikel 32 steht, ist weniger bekannt - aber juristisch folgenreicher. Dort heißt es, Verantwortliche müssen "geeignete technische und organisatorische Maßnahmen" ergreifen und dabei "den Stand der Technik" berücksichtigen. Keine Ausnahme für kleine Betriebe. Kein Schonraum für "wir haben das bisher anders gemacht."
Was "Stand der Technik" juristisch bedeutet
Der Begriff ist eine offene Rechtskategorie. Er beschreibt das Schutzniveau, das Unternehmen praktisch realisierbar und wirtschaftlich vertretbar einsetzen können. Nicht das theoretisch Maximale - aber das, was am Markt bereits verfügbar und für Betriebe vergleichbarer Größe einsetzbar ist. Entscheidend dabei: Aufsichtsbehörden und Gerichte prüfen nicht, was Sie hatten, sondern was zum Zeitpunkt eines Vorfalls bereits verfügbar gewesen wäre.
Konkret bedeutet das: Wenn ein Datenleck auf einer bekannten Schwachstelle beruht, die ein gängiges KI-Analysetool in wenigen Minuten identifiziert hätte, und Sie dieses Tool nicht eingesetzt haben - dann riskieren Sie nicht nur einen Imageschaden. Sie riskieren eine Bußgeldgrundlage nach Art. 83 DSGVO (bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes).
Warum KI-gestützte Sicherheitstools in diese Definition fallen
KI-Tools zur automatisierten Schwachstellenanalyse - von Code-Scanning bis zu Konfigurationsaudits - sind seit spätestens 2023 für KMU zugänglich und wirtschaftlich vertretbar einsetzbar. Die Modelle werden schneller besser: Aktuelle Systeme erkennen Code-Schwachstellen zuverlässiger und konsistenter als manuelle Reviews, zu einem Bruchteil der Kosten früherer Penetrationstests. Monatliche Kosten für Einstiegslösungen liegen häufig unter 100 EUR.
Das hat eine direkte Konsequenz für die Compliance-Einschätzung: Was 2021 noch als experimentell galt, ist heute Stand der Technik - zumindest für die automatisierte Prüfung öffentlich erreichbarer Schnittstellen und des eigenen Quellcodes. Ignorieren Sie das, stehen Sie bei einer Behördenprüfung nicht neutral da.
Die Compliance-Lücke bei KI-Abstinenz
Unternehmen, die KI-Tools mit Verweis auf Datenschutz ablehnen, bauen sich unwissentlich eine neue Compliance-Lücke auf. Die Logik "Wir nutzen keine KI, weil wir Datenschutz ernst nehmen" klingt vernünftig - ist juristisch aber ein zweischneidiges Argument, wenn dabei auf Prüfmethoden verzichtet wird, die mittlerweile dem Stand der Technik entsprechen.
Drei Beispiele aus der Praxis in Nordhessen und Umgebung:
- Ein Dienstleistungsbetrieb, dessen Webanwendung seit Jahren nicht auf bekannte Schwachstellen geprüft wurde, obwohl kostenfreie Scanner in zehn Minuten erste Ergebnisse liefern würden.
- Eine Beratungskanzlei, die auf manuelles Code-Review setzt, während automatisierte Systeme CVE-Schwachstellen in genutzten Bibliotheken in Echtzeit erkennen.
- Ein Handelsunternehmen, das Passwort-Richtlinien per Tabellenkalkulation verwaltet, obwohl KI-gestützte Identitätsmanagementsysteme für unter 20 EUR monatlich verfügbar sind.
Keiner dieser Betriebe agiert fahrlässig. Aber alle hätten bei einer Datenschutzprüfung Erklärungsbedarf - nicht wegen dem, was sie getan haben, sondern wegen dem, was sie nicht getan haben.
Warum Abwarten aktiv riskant wird
Die Intuition, erst abzuwarten bis Gerichte und Behörden Klarheit schaffen, ist menschlich verständlich. Aber sie übersieht, wie sich regulatorischer Druck aufbaut: nicht plötzlich und eindeutig, sondern kumulativ und leise.
Das regulatorische Umfeld verdichtet sich
Neben DSGVO Art. 32 ist seit Dezember 2024 die NIS2-Richtlinie deutsches Recht. Sie erfasst erheblich mehr Unternehmen als die alte NIS-Richtlinie von 2016:
| Sektor | Schwellenwert (vereinfacht) |
|---|---|
| Digitale Infrastruktur | ab 50 Mitarbeiter oder 10 Mio. EUR Umsatz |
| Verarbeitendes Gewerbe (bestimmte Branchen) | ab 250 Mitarbeiter oder 50 Mio. EUR Umsatz |
| Gesundheitswesen | breite Erfassung |
| Zulieferer kritischer Sektoren | indirekter Einbezug möglich |
Dazu kommt der EU AI Act, der seit August 2024 gilt und bis 2027 vollständig greift. Er schafft Pflichten für Unternehmen, die KI einsetzen - aber auch für solche, die KI-Dienste nutzen, ohne das bewusst zu wissen. Ein Buchhaltungstool mit KI-Komponente, ein Chatbot auf der Website, ein E-Mail-Filter mit automatischer Spam-Erkennung - alle können in den Anwendungsbereich fallen.
Aufsichtsbehörden: Knapp besetzt, aber nicht untätig
Ein verbreiteter Gedanke in KMU: "Die kommen bei uns nicht. Die haben mit Konzernen genug zu tun." Statistisch ist das nicht ganz falsch - die meisten Bußgeldverfahren betreffen größere Unternehmen. Aber er ignoriert eine wichtige Trendlinie.
Die Landesdatenschutzbehörden sind chronisch unterbesetzt. Das BSI berichtet selbst, dass der durch NIS2 entstehende Aufgabenzuwachs erheblichen Personalaufbau erfordert. Gerade dieser Ressourcenmangel hat eine paradoxe Wirkung: Behörden automatisieren ihre eigenen Prüfprozesse und setzen verstärkt auf beschwerdebasierte Verfahren. Ein einzelner unzufriedener Kunde oder ein Mitbewerber, der eine Beschwerde einreicht, kann ein Verfahren auslösen, das ohne diesen Engpass nie stattgefunden hätte.
Wer dann keine dokumentierten Maßnahmen vorweisen kann - keinen Nachweis über den Stand der Technik - steht ohne belastbare Verteidigung da.
Was der globale Markt bereits entschieden hat
JPMorgan-CEO Jamie Dimon ließ bei seiner Ankündigung zur sofortigen und umfassenden KI-Integration keinen Zweifel an der Dringlichkeit. Für einen Großkonzern ist das eine Frage von Wettbewerbsposition. Für einen Handwerksbetrieb in Kassel ist es eine Frage des rechtlichen Mindeststandards - ob man will oder nicht.
Der Punkt ist nicht, dass jeder KMU-Inhaber das Tempo eines Großbanken-Konzerns replizieren soll. Der Punkt ist: "KI ignorieren" ist keine neutrale Option mehr. Es ist eine aktive Entscheidung gegen den technischen Zeitgeist - und wird im Schadensfall auch so bewertet.
KI in der Schwachstellenanalyse: Was heute schon möglich ist
Für Betriebsinhaber, die bislang wenig mit KI-gestützter Sicherheitsprüfung zu tun hatten, ist die praktische Seite oft überraschend zugänglich. Kein Rechenzentrum, keine eigene IT-Abteilung nötig.
Automatisierte Code-Prüfung für KMU
Wer eine Website, ein Buchungsportal oder eine interne Webanwendung betreibt, hat Quellcode. Und dieser Code kann Sicherheitslücken enthalten: Eingabefelder ohne Validierung, veraltete Bibliotheken mit bekannten Schwachstellen, fehlerhafte Konfigurationen. Ein professioneller Penetrationstest kostet je nach Umfang 3.000 bis 15.000 EUR - einmalig, nicht fortlaufend.
KI-gestützte statische Analysetools übernehmen einen erheblichen Teil dieser Arbeit automatisiert. Sie gleichen Code-Muster gegen CVE- und CWE-Datenbanken ab, priorisieren Befunde nach Kritikalität und geben konkrete Empfehlungen zur Behebung. Kosten für KMU-Einstiegslösungen: häufig unter 100 EUR monatlich. Das ersetzt keinen vollständigen Penetrationstest - aber es hebt das Schutzniveau auf einen dokumentierbaren Punkt, der bei einer Datenschutzprüfung als Nachweis für die Auseinandersetzung mit dem Stand der Technik zählt.
Vom Einzel-Audit zum kontinuierlichen Monitoring
Der Unterschied zwischen einem einmaligen Sicherheits-Audit und kontinuierlichem Monitoring ist fundamental. Ein Audit, der heute grünes Licht gibt, kann morgen veraltet sein - weil eine neue Schwachstelle in einer eingesetzten Bibliothek entdeckt wurde.
KI-gestützte Monitoring-Systeme erkennen automatisch:
- Neue CVEs in verwendeten Softwarekomponenten, sobald sie veröffentlicht werden
- Konfigurationsabweichungen zu Sicherheitsbaselines
- Ungewöhnliche Zugriffsmuster als frühe Angriffsindikatoren
- KI-generierte Phishing-Mails mit spezifischen Merkmalen, bevor sie den Posteingang erreichen
Laut BSI-Bericht zur IT-Sicherheit 2024 dauert die durchschnittliche Erkennungszeit eines Datenlecks in KMU noch immer über 200 Tage. In diesem Zeitraum können Angreifer Daten stehlen, manipulieren, löschen und verschlüsseln. Kontinuierliches Monitoring komprimiert dieses Zeitfenster auf Stunden - und dokumentiert gleichzeitig, dass Sie aktiv gehandelt haben.
EU AI Act: Die zweite Regulierungsschicht
Der EU AI Act gilt seit August 2024 und tritt gestaffelt bis 2027 vollständig in Kraft. Er ist weltweit das erste umfassende KI-Gesetz und gilt für alle Unternehmen, die in der EU tätig sind - unabhängig vom Standort des KI-Anbieters.
Risikokategorien und was sie für Mittelständler bedeuten
Für die meisten KMU unter 50 Mitarbeitern gilt: Der AI Act trifft Sie vor allem als Anwender von KI-Systemen, nicht als Entwickler. Das klingt harmloser als es ist.
| Kategorie | Beispiel | Pflicht |
|---|---|---|
| Verbotene Praktiken | Social Scoring, manipulative KI | Vollständiges Verbot seit Feb. 2025 |
| Hochrisiko-Systeme | HR-Entscheidungssupport, Biometrie | Dokumentation, Transparenz, menschliche Aufsicht |
| Allgemeine KI-Modelle | GPT-basierte Dienste | Transparenzpflichten für Anbieter, indirekt für Nutzer |
Wer heute noch nicht prüft, in welche Kategorie die genutzten KI-Tools fallen, baut Compliance-Schulden auf. Diese werden 2026 und 2027 fällig - bei schwerwiegenden Verstößen mit Bußgeldern bis zu 35 Millionen EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Proaktives Handeln als einzige rationale Strategie
Die regulatorische Unklarheit, die viele als Argument für Abwarten nutzen, ist kein Sicherheitsnetz. Sie ist eine Übergangsphase. Unternehmen, die diese Phase nutzen, um sich zu orientieren, Maßnahmen zu dokumentieren und Prozesse anzupassen, werden 2027 in einer deutlich besseren Position sein als jene, die erst bei Bußgeldern reagieren.
Das Argument "Die Rechtslage ist noch nicht klar" gilt nicht als Schuldausschluss - jedenfalls nicht, wenn der Stand der Technik zu diesem Zeitpunkt bereits klar war und bewusst ignoriert wurde. Das zeigen Behördenentscheidungen aus anderen Bereichen der DSGVO konsistent. Wer proaktiv handelt, hat im Zweifelsfall Dokumentation auf seiner Seite.
Checkliste: Sofort-Maßnahmen für Ihren Betrieb
Mit diesen Schritten schaffen Sie eine vertretbare Compliance-Position - ohne Großprojekt, ohne externe Berater für jeden einzelnen Punkt:
- KI-Tools vollständig erfassen: Alle genutzten KI-gestützten Dienste dokumentieren - einschließlich Software, die KI unsichtbar einsetzt (Spam-Filter, Buchhaltungsautomatisierung, CRM-Scoring).
- DSGVO-Verarbeitungsverzeichnis aktualisieren: Werden über KI-Dienste personenbezogene Daten an Dritte übermittelt? Wenn ja: Auftragsverarbeitungsvertrag prüfen oder abschließen.
- Stand der Technik dokumentieren: Schriftlich festhalten, welche Sicherheitsmaßnahmen eingesetzt werden und warum - als belastbarer Nachweis bei Behördenanfragen.
- Schwachstellenscanning aktivieren: Mindestens einen kostengünstigen Scan-Dienst für Webanwendungen und verwendete Softwarebibliotheken einrichten und regelmäßig auswerten.
- AI Act-Kategorien prüfen: Eingesetzte Software gegen die Risikokategorien des AI Act abgleichen - besonders HR-Tools und automatisierte Entscheidungsunterstützung.
- Phishing-Schutz bewerten: Technische Maßnahmen gegen KI-generierte Phishing-Angriffe gehören spätestens seit 2024 zum Stand der Technik. Lücken jetzt schließen.
- NIS2-Betroffenheit klären: Branche, Mitarbeiterzahl und Umsatz gegen die NIS2-Schwellenwerte prüfen - auch als indirekter Zulieferer kritischer Sektoren.
- Notfallplan aktualisieren: Wer wird bei einem Datenleck wann informiert? DSGVO Art. 33 gibt 72 Stunden für die Meldung an die Behörde - ohne dokumentierten Plan ist das nicht erreichbar.
Unsere Einordnung
Wir hören in Nordhessen regelmäßig denselben Satz: "Wir sind zu klein, um ein Ziel zu sein." Das stimmt nicht mehr - und das wissen Angreifer. KMU sind heute häufig Einfallstor für größere Angriffe, entweder über Lieferketten oder weil ungeschützte Systeme günstige Sprungbretter sind. Gleichzeitig wächst der regulatorische Druck von der anderen Seite: DSGVO Art. 32, NIS2 und der EU AI Act ergänzen sich zu einem Rahmen, in dem Passivität aktiv riskant wird.
Unsere Empfehlung: Beginnen Sie mit einer ehrlichen Bestandsaufnahme. Welche KI-Tools nutzen Sie - wissentlich oder nicht? Welche Sicherheitsprüfungen laufen regelmäßig? Und was würde ein Datenschutzprüfer sehen, wenn er heute Ihre Dokumentation aufschlägt? Wer auf eine dieser Fragen keine klare Antwort hat, hat seinen Startpunkt gefunden. Wir helfen Betrieben in Nordhessen und dem Weserbergland, diese Fragen strukturiert zu beantworten - mit Maßnahmen, die zum Betrieb passen. Sprechen Sie uns an: kontakt@it-meeder.de
FAQ
Bin ich als Kleinstbetrieb wirklich von DSGVO Art. 32 betroffen?
Ja, uneingeschränkt. Die DSGVO kennt keine Freistellung nach Betriebsgröße für Artikel 32. Wer personenbezogene Daten verarbeitet - und das tun praktisch alle Betriebe ab dem ersten Kundenkontakt oder Mitarbeiter - muss geeignete technische und organisatorische Maßnahmen treffen. Der Maßstab skaliert auf den Risikoumfang der Verarbeitung, nicht auf die Unternehmensgröße. Ein Betrieb, der sensible Gesundheitsdaten verarbeitet, hat höhere Anforderungen als einer, der nur Lieferantenadressen pflegt. Aber Artikel 32 gilt für beide.
Was versteht die DSGVO konkret unter "Stand der Technik"?
Der Begriff ist bewusst offen gehalten und entwickelt sich mit dem Markt. Aufsichtsbehörden und Gerichte orientieren sich an technischen Normen wie ISO 27001 und BSI IT-Grundschutz, an branchenüblichen Standards und daran, was für Betriebe ähnlicher Größe wirtschaftlich verfügbar ist. KI-gestützte Schwachstellenanalyse-Tools sind für KMU seit 2023 zugänglich und preisgünstig einsetzbar - das fließt in die Bewertung des Stands der Technik ein. Wer keine vergleichbaren Maßnahmen nachweisen kann, hat bei einem Sicherheitsvorfall Erklärungsbedarf gegenüber der Aufsichtsbehörde.
Ich nutze kaum KI - muss ich den AI Act trotzdem beachten?
Wahrscheinlich ja, auch wenn das nicht auf den ersten Blick erkennbar ist. Viele Standardanwendungen enthalten KI-Komponenten: E-Mail-Filter mit Spam-Erkennung, Buchhaltungssoftware mit automatischer Kategorisierung, HR-Tools mit Bewerbungsscreening, Chatbots auf Unternehmenswebsites. Fällt eines dieser Systeme in eine Hochrisiko-Kategorie des AI Act, entstehen dokumentarische Pflichten - unabhängig davon, ob Sie den KI-Anteil bewusst eingekauft haben. Eine strukturierte Bestandsaufnahme der eingesetzten Software ist deshalb kein Mehraufwand, sondern der obligatorische erste Schritt.
Was ist der praktische Unterschied zwischen NIS2 und DSGVO bei IT-Sicherheitspflichten?
Die DSGVO schützt personenbezogene Daten und verlangt technische Schutzmaßnahmen von allen Verantwortlichen, die solche Daten verarbeiten. NIS2 adressiert die operative Widerstandsfähigkeit von Unternehmen in bestimmten Sektoren gegen Cyberangriffe - unabhängig davon, ob personenbezogene Daten betroffen sind. Beide überschneiden sich erheblich bei technischen Sicherheitsanforderungen. NIS2 hat jedoch schärfere Meldepflichten: 24 Stunden Erstmeldung bei erheblichen Vorfällen statt 72 Stunden bei der DSGVO. Für Unternehmen, die unter beide Regelwerke fallen, gilt: Notfallpläne und Meldeketten müssen beide Fristen abbilden.
Welche KI-Anwendungen gelten als Hochrisiko im Sinne des AI Act?
Hochrisiko-KI-Systeme sind laut AI Act solche, die erhebliche Risiken für Gesundheit, Sicherheit oder Grundrechte darstellen können. Für KMU besonders relevant: KI-Systeme zur Bewerbungsauswahl und zum HR-Management, zur Kreditwürdigkeitsbewertung, zur Überwachung von Mitarbeitern sowie biometrische Identifizierungssysteme. Auch Systeme in der Zugangskontrolle zu wesentlichen privaten und öffentlichen Dienstleistungen fallen darunter. Diese erfordern eine Konformitätsbewertung, technische Dokumentation und in bestimmten Fällen menschliche Aufsicht vor automatisierten Entscheidungen. Wer unsicher ist, ob ein eingesetztes System betroffen ist, sollte das jetzt klären - nicht 2027.