Jahrelang war die DSGVO die Verordnung, die die Compliance-Agenda dominierte. Datenschutzteams bauten Prozesse auf, ernannten DSBs, erstellten Verarbeitungsverzeichnisse und führten DPIA-Bewertungen durch. Doch 2026 ist die DSGVO nur noch ein Teil einer wachsenden Regulierungsmatrix. Die NIS2-Richtlinie verlangt Cybersecurity-Risikomanagement. Der EU AI Act fordert Inventare und Risikoklassifizierung von KI-Systemen. Der Digital Services Act und der Digital Markets Act erlegen digitalen Plattformen Transparenz- und Fairnesspflichten auf. Jede Verordnung hat ihren eigenen Geltungsbereich, eigene Definitionen, Fristen und Durchsetzungsbehörden.

Das Ergebnis ist eine Compliance-Landschaft, die kein einzelnes Team allein verantworten kann. Und doch versuchen die meisten Organisationen, diese Pflichten isoliert zu managen — mit getrennten Teams, getrennten Tools und getrennten Berichtslinien, wie der IAPP Organizational Digital Governance Report 2024 zeigt. Der Bericht nennt dies den "analogen" Reifegrad und beschreibt damit die Mehrheit der befragten Organisationen.

Das Problem analoger Governance

Der IAPP-Bericht befragte Datenschutzfachleute aus verschiedenen Branchen und stellte fest, dass die meisten Organisationen mit isolierten Governance-Strukturen arbeiten. Das Datenschutzteam verwaltet die DSGVO. Das Informationssicherheitsteam kümmert sich um NIS2 und Incident Response. KI-Governance — sofern vorhanden — ist verstreut über IT, Rechtsabteilung und einzelne Geschäftsbereiche, die KI-Tools ohne zentrale Aufsicht eingeführt haben.

Dieser isolierte Ansatz verursacht drei Probleme.

Erstens entstehen blinde Flecken. Ein Datendienst, der personenbezogene Daten verarbeitet (DSGVO-Scope), kann gleichzeitig eine kritische Infrastrukturkomponente sein (NIS2-Scope) und KI-gestützte Analysen einsetzen (AI Act-Scope). Wenn drei separate Teams diesen Dienst unabhängig bewerten, sieht jedes nur seinen eigenen Ausschnitt. Niemand sieht das vollständige Risikobild.

Zweitens entsteht Doppelarbeit. Verarbeitungsverzeichnisse für die DSGVO, Asset-Inventare für NIS2 und KI-Systemregister für den AI Act erfassen oft überlappende Informationen über dieselben Dienste. Ohne Koordination pflegen Organisationen drei parallele Inventare, die dieselbe Realität aus verschiedenen Blickwinkeln beschreiben.

Drittens verlangsamt es die Reaktion. Bei einem Sicherheitsvorfall bewältigt das NIS2-Team die technische Reaktion, das Datenschutzteam prüft, ob eine Verletzung des Schutzes personenbezogener Daten nach DSGVO vorliegt, und jemand muss kontrollieren, ob KI-Systeme betroffen sind. In einem analogen Governance-Modell laufen diese Bewertungen nacheinander ab, wobei Informationen per E-Mail und in Besprechungen weitergegeben werden. Bei einem sich schnell entwickelnden Vorfall ist diese Verzögerung gefährlich.

Von analog zu integriert

Der IAPP-Bericht beschreibt drei Reifegrade für Digital Governance:

Analog. Governance-Funktionen arbeiten unabhängig. Jedes Team hat eigene Tools, ein eigenes Risikoregister und eine eigene Berichtslinie. Koordination findet ad hoc statt, meist ausgelöst durch Vorfälle oder Audits. Hier stehen die meisten Organisationen heute.

Erweitert. Teams beginnen, Daten zu teilen und bei überlappenden Pflichten zusammenzuarbeiten. Ein gemeinsames Dateninventar dient sowohl DSGVO- als auch NIS2-Zwecken. Datenschutz- und Sicherheitsteams führen gemeinsame Risikobewertungen durch. KI-Governance-Verantwortlichkeiten werden zugewiesen, auch wenn die Funktion noch in bestehenden Teams eingebettet ist. Die IAPP-Umfrage ergab, dass 69 % der CPOs inzwischen KI-Governance-Verantwortlichkeiten tragen — ein deutliches Zeichen, dass erweiterte Governance auf Führungsebene zur Norm wird, selbst wenn operative Prozesse hinterherhinken.

Integriert. Governance ist von Grund auf integriert aufgesetzt. Ein einziges Daten- und Dienstinventar speist Datenschutz-, Sicherheits- und KI-Compliance-Workflows. Risikobewertungen berücksichtigen alle geltenden Vorschriften gleichzeitig. Berichte an die Führungsebene präsentieren ein einheitliches Bild der regulatorischen Exposition, nicht drei separate Dashboards. Wenige Organisationen haben dieses Niveau erreicht, aber es ist die Entwicklungsrichtung.

Warum 2026 der Wendepunkt ist

Mehrere regulatorische Fristen fallen in den Zeitraum 2025-2026 zusammen, wodurch integrierte Governance von einem Idealziel zur praktischen Notwendigkeit wird.

Die NIS2-Umsetzungsfristen liefen im Oktober 2024 ab, und die nationale Durchsetzung wird in den EU-Mitgliedstaaten hochgefahren. Betroffene Organisationen müssen Cybersecurity-Risikomanagement, Vorfallmeldung und Lieferkettensicherheit nachweisen — Pflichten, die sich erheblich mit den Sicherheitsanforderungen der DSGVO nach Artikel 32 überschneiden.

Die ersten Pflichten des EU AI Act (verbotene KI-Praktiken) gelten seit Februar 2025, Pflichten für Nutzer folgen im August 2025 und August 2026. Organisationen müssen ihre KI-Systeme inventarisieren, nach Risikoniveau klassifizieren, menschliche Aufsicht sicherstellen und die Nutzung dokumentieren — Informationen, die direkt an bestehende Datendienst-Inventare und DPIA-Prozesse anknüpfen.

Dies sind keine künftigen Anforderungen. Es sind aktuelle Pflichten mit Durchsetzungskonsequenzen.

Wie integrierte Governance in der Praxis aussieht

Der Schritt von analoger zu integrierter Governance erfordert keine massive organisatorische Umstrukturierung. Er beginnt mit drei praktischen Schritten.

Schritt 1: Einheitliches Daten- und Dienstinventar. Anstatt separate Register für Datenschutz, Sicherheit und KI zu pflegen, bauen Sie ein Inventar der Datendienste auf. Dokumentieren Sie pro Dienst, welche Daten verarbeitet werden (DSGVO), den Sicherheitsstatus und die Kritikalität (NIS2) sowie ob der Dienst ein KI-System nutzt oder darstellt (AI Act). Diese Single Source of Truth beseitigt Doppelarbeit und offenbart regulierungsübergreifende Abhängigkeiten.

Schritt 2: Geschichtete Risikobewertung. Sobald Ihr Inventar multiregulatorische Attribute erfasst, können Risikobewertungen alle Dimensionen gleichzeitig berücksichtigen. Ein Dienst, der besondere Kategorien personenbezogener Daten verarbeitet, keine Multi-Faktor-Authentifizierung hat und ein KI-Modell für automatisierte Entscheidungen einsetzt, ist nicht nur ein Datenschutzrisiko oder ein Sicherheitsrisiko — es ist ein zusammengesetztes Risiko, das koordinierte Maßnahmen erfordert.

Schritt 3: Gemeinsame Berichterstattung und Überprüfung. Nutzen Sie ein einziges Risikoregister, das Pflichten über Regulierungen hinweg kennzeichnet. Wenn die Führungsebene fragt "wo sind wir exponiert?", sollte die Antwort nicht die Zusammenstellung dreier separater Berichte erfordern. Zugriffsüberprüfungen, DPIA-Tracking, Backup-Compliance und KI-Systemklassifizierung sollten in eine Ansicht einfließen.

Wie Readmodel® integrierte Governance unterstützt

Readmodel® wurde als Data-Mapping- und DSGVO-Compliance-Tool konzipiert, aber seine Architektur unterstützt von Natur aus multiregulatorische Governance. Jeder Datendienst in Readmodel® kann dokumentiert werden mit:

  • Datenelemente und Klassifizierungen — welche personenbezogenen Daten verarbeitet werden, mit Sensitivitätsstufen, die die Risikobewertung antreiben
  • Sicherheitsstatus — Anmeldetypen, Multi-Faktor-Authentifizierung, Passwortspeicherung, Verschlüsselung und Backup-Compliance pro Dienst
  • NIS2-Attribute — Dienstkritikalität, Business-Continuity-Bewertung, Wiederherstellungsbereitschaft und Single-Points-of-Failure-Erkennung über das Resilienz-Modul
  • AI Act-Klassifizierung — KI-System-Flags, Risikoniveaus und Dokumentation der menschlichen Aufsicht pro Dienst
  • Rechtsgrundlagen und Aufbewahrungsfristen — DSGVO-Artikel-6-Dokumentation pro Datenelement, nicht pro Dienst, für präzise Compliance-Zuordnung

Das Risikoregister bündelt all dies in einer einzigen Ansicht mit handlungsorientierten Lücken. Das Resilienz-Modul bewertet die Geschäftskontinuität und identifiziert Single Points of Failure. DPIA-Tracking ist direkt in das Risikoregister integriert für Dienste, die ein hohes oder kritisches Risikoniveau erreichen.

So sieht integrierte Governance auf operativer Ebene aus: eine Plattform, ein Inventar, mehrere Compliance-Perspektiven auf dieselben Daten.

Die Kosten des Abwartens

Organisationen, die mit analoger Governance fortfahren — separate Tabellen für die DSGVO, separate Fragebögen für NIS2 und keine systematische KI-Inventarisierung — werden zunehmende Reibung erleben, da die Durchsetzung in allen drei regulatorischen Bereichen zunimmt. Die Überschneidungen zwischen diesen Vorschriften sind kein Zufall. EU-Gesetzgeber haben sie so konzipiert, dass sie zusammenwirken, mit gemeinsamen Konzepten wie risikobasierten Ansätzen, Rechenschaftsprinzipien und Dokumentationsanforderungen.

Die Frage ist nicht, ob Sie Ihre Governance integrieren sollen. Die Frage ist, ob Sie es proaktiv tun, zu Ihren eigenen Bedingungen, oder reaktiv, unter dem Druck von Auditoren, Regulierungsbehörden oder Vorfällen.

Der IAPP-Bericht zeigt die Richtung klar auf. Die Organisationen, die im multiregulatorischen Zeitalter bestehen, sind diejenigen, die sich von analog zu integriert entwickelten — und sie begannen damit, zu kartieren, was sie haben.