Experten-Statements zum Data Privacy Day (28.01.2026).
Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz. Er wird seit 2007 jährlich am 28. Januar begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet worden war. Wir haben Experten gebeten, ihre Gedanken dazu zu formulieren.
Datenschutz braucht Vertrauen – und Vertrauen braucht Kryptografie: Datenschutz beginnt mit der Frage, wem wir im digitalen Raum vertrauen können. Sensible Daten fließen heute kontinuierlich zwischen Unternehmen, Cloud-Diensten und Endgeräten. Die sichere Identifizierung aller Kommunikationspartner ist dabei die Grundvoraussetzung für wirksamen Schutz.
Digitale Zertifikate bilden das unsichtbare Fundament dieser Vertrauensinfrastruktur. Sie gewährleisten, dass verschlüsselte Verbindungen tatsächlich mit dem gewünschten Gegenüber zustande kommen – und nicht mit einem Angreifer, der sich als legitimer Dienst ausgibt. Ohne diese Vertrauensanker wäre selbst die beste Verschlüsselung wertlos. Denn Verschlüsselung schützt nur dann, wenn die Gegenseite auch die ist, für die sie sich ausgibt.
Der Data Privacy Day erinnert uns daran, dass Datenschutz kein statischer Zustand ist, sondern kontinuierliche Aufmerksamkeit erfordert. Das gilt umso mehr angesichts einer Bedrohung, die sich bereits heute abzeichnet. Leistungsfähige Quantencomputer werden die asymmetrischen Verschlüsselungsverfahren brechen können, auf denen unsere gesamte digitale Vertrauensinfrastruktur basiert. RSA und elliptische Kurven, die heute Milliarden von Verbindungen absichern, werden dann keinen Schutz mehr bieten.
Was abstrakt klingt, hat konkrete Auswirkungen auf den Datenschutz. Angreifer sammeln bereits heute verschlüsselte Daten, um sie später zu entschlüsseln – eine Strategie, die als „Harvest Now, Decrypt Later” bekannt ist. Sensible Informationen, die heute übertragen werden, könnten in einigen Jahren offenliegen. Für Unternehmen, die mit personenbezogenen Daten, Geschäftsgeheimnissen oder regulierten Informationen arbeiten, ist das keine theoretische Gefahr, sondern ein reales Risiko, das bereits in heutigen Datenschutzstrategien berücksichtigt werden muss.
Die gute Nachricht ist, dass mit der Standardisierung quantensicherer Algorithmen durch das US-amerikanische NIST im vergangenen Jahr nun erprobte Verfahren bereitstehen, die auch Angriffen durch Quantencomputer standhalten. Der Übergang zur Post-Quantum-Kryptografie ist damit keine Frage des Ob mehr, sondern des Wann und Wie.
Entscheidend ist jetzt, dass Unternehmen ihre kryptografische Infrastruktur auf den Prüfstand stellen. Wo werden welche Verschlüsselungsverfahren eingesetzt? Welche Systeme und Zertifikate müssen migriert werden? Wie lässt sich der Übergang gestalten, ohne den laufenden Betrieb zu gefährden? Wer diese Fragen heute beantwortet und die Weichen für crypto-agile Systeme stellt, schützt die Daten seiner Kunden, Partner und Mitarbeiter auch in einer Post-Quantum-Welt zuverlässig. Datenschutz war nie nur eine Frage der Gegenwart. Er bedeutet auch, Verantwortung für die Zukunft zu übernehmen.
Datenschutz ist kein Standortnachteil – sondern ein europäischer Wettbewerbsvorteil: RISK IDENT will die Bedeutung europäischer Datensouveränität mit einem klaren Signal unterstreichen: Der Hamburger Spezialist für Betrugserkennung hat die ISO/IEC 27001:2022-Zertifizierung vom TÜV SÜD erhalten. Geopolitische Verwerfungen stellen die Verlässlichkeit transatlantischer Datenströme zunehmend in Frage – RISK IDENT positioniert sich bewusst als europäische Alternative mit höchsten Sicherheitsstandards. Die vom TÜV SÜD vergebene Zertifizierung nach ISO/IEC 27001:2022 umfasst die Entwicklung von Software und deren Bereitstellung als SaaS-Dienst zur Erkennung von Betrug im Onlinehandel und bei Kreditanträgen. Damit erfüllt RISK IDENT die international anerkannten Anforderungen an ein Informationssicherheitsmanagementsystem und dokumentiert die konsequente Ausrichtung auf den Schutz sensibler Kundendaten.
„Für unsere Kunden – Banken, Versicherungen, E-Commerce-Unternehmen – ist die Sicherheit ihrer Daten geschäftskritisch“, erklärt Frank Heisel, CEO von RISK IDENT. „Mit der TÜV-Zertifizierung geben wir ihnen die Gewissheit, dass ihre sensiblen Transaktions- und Kundendaten nach höchsten Standards geschützt sind – und zwar vollständig unter europäischer Jurisdiktion.“
Die Zertifizierung fällt in eine Zeit, in der Fragen der digitalen Souveränität drängender werden denn je. Die jüngsten Entwicklungen rund um das Weltwirtschaftsforum in Davos haben einmal mehr vor Augen geführt, wie schnell sich geopolitische Rahmenbedingungen verschieben können. Wenn territoriale Ansprüche zur Verhandlungsmasse werden und langjährige Bündnisse auf dem Prüfstand stehen, gewinnt die Frage an Gewicht, wem Unternehmen ihre sensibelsten Daten anvertrauen.
Gesetze wie der US CLOUD Act verpflichten amerikanische Anbieter zur Herausgabe von Daten an US-Behörden – selbst wenn diese auf europäischen Servern gespeichert sind. Laut der Bitkom-Studie ‚Digitale Souveränität 2025′ fordern 84 Prozent der befragten Unternehmen, dass die Bundesregierung Bestrebungen zu mehr digitaler Souveränität priorisiert. Gleichzeitig verfügen knapp 80 Prozent über keine dezidierte Strategie – obwohl fast die Hälfte mangelnde digitale Souveränität als Gefahr für die eigene Wettbewerbsfähigkeit betrachtet.
„Europa muss sich nicht verstecken“, betont Frank Heisel. „Wir verfügen über erstklassige Expertise, strenge Datenschutzstandards und ein regulatorisches Umfeld, das Vertrauen schafft. Die DSGVO ist kein Wettbewerbsnachteil – sie ist ein Qualitätsversprechen. Und die TÜV-Zertifizierung untermauert: Deutsche Technologieunternehmen können Sicherheit auf Weltniveau liefern.“
Die persönlichen Daten eines jeden Einzelnen sind zu einer Währung geworden:
Beim Datenschutz geht es nicht nur darum, die eigene IT mitsamt Daten und Systeme zu sichern oder Compliance-und Datenschutz-Anforderungen zu erfüllen. Nicht weniger wichtig ist es, das Vertrauen der Menschen, ihre digitalen Routinen und Abläufe sowie deren Privatsphäre zu schützen. Die persönlichen Daten eines jeden Einzelnen sind zu einer Währung geworden, die ständig gesammelt, weitergegeben und manchmal auf eine Weise genutzt wird, die den meisten Anwendern verborgen bleibt. Hinter jeder Schlagzeile über unerlaubte Zugriffe auf digitale Informationen stehen aber Menschen. Das Bewusstsein für die Risiken ist genauso wichtig, wie das Wissen um die Technik. Der Europäische Datenschutztag erinnert alle daran, genauer darauf zu achten, welche Daten man weitergibt, in wessen Hände sie gelangen, wie Dritte sie nutzen und was geschieht, wenn sie offengelegt werden. Wenn alle beginnen, den Wert der Daten zu ihrer Person zu verstehen, können sie eine aktivere Rolle für ihren Schutz einnehmen.
Informationssicherheit, Compliance und Datenschutz 2026: Strategische Prioritäten für Unternehmen:
Datenschutz, Informationssicherheit und Compliance stehen für Unternehmen künftig nicht mehr nur als regulatorische Pflichtprogramme auf der Agenda – sie werden zu zentralen Erfolgsfaktoren. Das spiegelt sich auch im Management wider: Laut einer internationalen Gartner-Studie sehen 85 Prozent der CEOs Cybersecurity inzwischen als kritischen Faktor für künftiges Unternehmenswachstum. Gleichzeitig verdeutlichen Zahlen des Bitkom die reale Bedrohungslage: Der Schaden für die deutsche Wirtschaft durch Spionage, Sabotage und Datendiebstahl lag alleine 2025 bei 289,2 Milliarden Euro – rund 8 Prozent mehr als im Vorjahr. Vor diesem Hintergrund wird 2026 ein Jahr, in dem Unternehmen ihre Prioritäten neu ordnen müssen. Welche Entwicklungen dabei besonders prägend sein werden, zeigt der folgende Überblick.
Mit dem Inkrafttreten der NIS2-Richtlinie zum 06.12.2025 ohne jegliche Übergangsfristen steigen die Anforderungen an Informations- und IT-Sicherheit deutlich. Unternehmen müssen nun ein systematisches Risikomanagement etablieren, Cyberresilienz stärken und robuste Business-Continuity-Strukturen schaffen – nicht nur zum Schutz vor aktuellen Angriffen, sondern als Grundlage für nachhaltige digitale Stabilität. Trotz des Aufwands sieht der Mittelstand den Nutzen: 51 Prozent der deutschen KMU begrüßt die Richtlinie. Und das zurecht, denn NIS2 schafft keine neuen Probleme, sondern adressiert bereits bestehende Risiken. Wer jetzt handelt, vermeidet Haftungsrisiken, hohe Bußgelder und sichert sich Wettbewerbsvorteile.
Die im November letzten Jahres vorgestellte EU-Digital-Omnibus-Reform adressiert zentrale Bereiche des Datenschutzes, der Datennutzung und der KI-Regulierung und führt zu einer eng verflochtenen Compliance-Landschaft. Ein Punkt der neuen „To Do“-Liste: Die innovationsfreundlichere Gestaltung von KI-Regeln und die Modernisierung von Cookie-Regeln. Datenschützer sehen hier die Gefahr des Rückschritts in Sachen digitaler Grundrechte. Für KMU könnte das Reformpaket dagegen eine Entlastung darstellen. Vorausgesetzt, sie stellen ihre Datenschutz- und Compliance-Maßnahmen so auf, dass diese sich flexibel an Neuerungen anpassen lassen.
Angesichts der steigenden Komplexität von Regularien und Cyberbedrohungen gewinnt die Vernetzung von Datenschutz-, IT-Sicherheits- und Complianceprozessen erhebliches an Bedeutung. Sie schafft Transparenz, reduziert operative Risiken und ermöglicht eine agile Anpassung an neue Vorgaben. Nur so können Unternehmen effizient und skalierbar auf Veränderungen reagieren. Laut einer aktuellen PwC-Umfrage kann ein „Connected Compliance“-Ansatz mit besserer Vernetzung und Koordination Entscheidungen erleichtern, mehr Transparenz schaffen und insgesamt die betriebliche Compliance-Kultur stärken.
Auch 2026 werden geopolitische Spannungen Unternehmen zunehmend dazu bringen, ihre digitale Infrastruktur „souverän“ zu gestalten. Strategische Unabhängigkeit von globalen Tech-Giganten und die Nutzung europäischer Alternativen werden hier zu einem zentralen Wettbewerbsfaktor – besonders aus Compliance- und IT-Sicherheitsperspektive. Aber auch Konsumenten könnten dies künftig vermehrt fordern: Laut Bitkom wünschen sich 98 Prozent der Bundesbürger mehr digitale Unabhängigkeit Deutschlands. Gleichzeitig schätzen 93 Prozent der Unternehmen Deutschland aktuell stark, bzw. eher abhängig, von digitalen Technologien und Leistungen aus dem Ausland ein. Somit wird Digitale Souveränität im neuen Jahr klar zur strategischen Geschäftsentscheidung. Verantwortliche sollten bei jeder Software-Implementierung europäische Alternativen in Betracht ziehen und die wichtigsten Bausteine ihres Tech-Stacks auf diese Alternativen umstellen.
Künstliche Intelligenz bleibt 2026 sowohl Wachstums- als auch Risikofaktor. Die KI-Regulierung EU-AI-Act, der weltweit erste umfassende Rechtsrahmen für KI, bringt neue Anforderungen an Risikomanagement, Transparenz und Dokumentation mit sich. Nach der formalen Verabschiedung und Vorstellung im Sommer 2024, tritt dieser nun schrittweise in Kraft. Unternehmen sollten ihre bisher genutzten Systeme prüfen und eine zentrale Übersicht über den Einsatz aller KI-Technologien im Unternehmen schaffen, etwa in Form eines Asset Hubs. Ab August 2026 kommen weitere Pflichten für Hochrisiko-KI hinzu – darunter Konformitätsbewertungen, ein strukturiertes Risikomanagement und die Registrierung entsprechender Systeme. Zudem rücken Transparenzanforderungen für Deepfakes und Chatbots sowie spezifische Vorgaben für Basismodelle in den Fokus. Unabhängig davon sollten Firmen ihre KI-Risiken konsequent steuern, auf sichere Konfigurationen setzen und den gesamten Lebenszyklus ihrer KI-Systeme nachvollziehbar dokumentieren. Unternehmen müssen KI-Systeme nicht nur regulierungskonform einsetzen, sondern auch systematisch überwachen und in bestehende Sicherheits- und Datenschutzprozesse integrieren. Gleichzeitig könnte der digitale Omnibus vieles einfacher gestalten, KI-Kompetenzpflichten sollen etwa gelockert werden. Trotzdem gilt für Betriebe Vorsicht beim Einsatz von KI. Denn auch Cyberkriminelle beschäftigen sich zunehmend mit der Technologie. Um Gefahren von Schatten-KI oder Schadcode zu reduzieren, bleiben Awareness-Schulungen über die Vor- und Nachteile der Technologie auch 2026 essenziell, genauso wie die enge Zusammenarbeit mit externen KI-Experten, um keine Entwicklung zu verpassen.
