{"id":9419,"date":"2026-06-22T12:11:17","date_gmt":"2026-06-22T10:11:17","guid":{"rendered":"https:\/\/infosilo.info\/dekom\/?p=9419"},"modified":"2026-06-22T12:11:17","modified_gmt":"2026-06-22T10:11:17","slug":"neue-eu-meldepflichten-beenden-die-rechtliche-grauzone-fuer-kommunale-daten","status":"publish","type":"post","link":"https:\/\/infosilo.info\/dekom\/neue-eu-meldepflichten-beenden-die-rechtliche-grauzone-fuer-kommunale-daten\/","title":{"rendered":"Neue EU-Meldepflichten beenden die rechtliche Grauzone f\u00fcr kommunale Daten"},"content":{"rendered":"\n<p>37 Prozent der deutschen Unternehmen w\u00fcrden inzwischen einen Cloud-Dienst nutzen, der Daten ausschlie\u00dflich in Deutschland verarbeitet, selbst wenn das weniger Funktionen oder h\u00f6here Kosten bedeutet. Vor einem Jahr waren es 27 Prozent. Das geht aus dem \u201eCloud Report 2026\u201c hervor, den der Digitalverband Bitkom am 17. Juni 2026 ver\u00f6ffentlichte. Bitkom-Pr\u00e4sident Ralf Wintergerst fordert deshalb verbindliche Standards und einen Staat, der bei der Umsetzung vorangeht. Der M\u00fcnchner Anbieter <strong><a href=\"https:\/\/www.ftapi.com\/blog\/compliance-update-gesetze\">FTAPI<\/a><\/strong> erf\u00fcllt diese Vorgaben bereits. Die Plattform l\u00e4uft auf Servern in Deutschland und besitzt Zertifikate nach ISO 27001 sowie BSI C5. Gut 2.000 Organisationen aus Verwaltung, Gesundheitswesen und Industrie mit \u00fcber einer Million aktiven Nutzern arbeiten damit. Bei einer europ\u00e4ischen Region eines US-Konzerns entscheidet letztlich die ausl\u00e4ndische Muttergesellschaft \u00fcber den Datenzugriff. Bei FTAPI gilt deutsches Recht. Genau diese juristische Eindeutigkeit vermissen laut Bitkom 87 Prozent der Unternehmen bei internationalen Anbietern. Die Europ\u00e4ische Union reguliert diesen Bereich nun sch\u00e4rfer. Ab dem 11. September 2026 gelten die ersten Meldepflichten des Cyber Resilience Act (CRA). Wenige Monate zuvor, am 3. Juni 2026, stellte die EU-Kommission das Tech Sovereignty Package vor. Der Entwurf regelt die Sektoren Energie, Gesundheit und Wasserversorgung. Dort sind Kommunen \u00fcber Stadtwerke, Kliniken und kommunale Betriebe stark vertreten. Der CRA schreibt seit Dezember 2024 europaweit IT-Sicherheitsstandards f\u00fcr digitale Produkte mit Netzwerkanbindung vor. Kommunen sind in zwei Rollen in der Pflicht. Als Beschafferin d\u00fcrfen sie ab Ende 2027 nur noch Produkte mit entsprechender CE-Kennzeichnung einkaufen. Als Betreiberin m\u00fcssen sie ein funktionierendes Meldewesen f\u00fcr Schwachstellen aufbauen. Ab dem 11. September 2026 gelten feste Fristen. Die Erstmeldung muss binnen 24 Stunden erfolgen, die Folgemeldung binnen 72 Stunden und der Abschlussbericht sp\u00e4testens 14 Tage nach Verf\u00fcgbarkeit eines Patches. Diese Fristen verpflichten prim\u00e4r die Hersteller. Kommunen sp\u00fcren die Konsequenz jedoch direkt, wenn sie ein Softwareprodukt austauschen m\u00fcssen, weil der Anbieter im Verzug ist. Das Tech Sovereignty Package setzt die Forderung nach verbindlichen Standards in Gesetzesform um. Kernst\u00fcck ist der geplante Cloud and AI Development Act (CADA). Er f\u00fchrt ein EU-weites Bewertungsraster f\u00fcr die Kontrollstrukturen von Cloud-Diensten ein. Die strengste Stufe erreichen nur Anbieter mit tats\u00e4chlicher rechtlicher und technischer Kontrolle \u00fcber Infrastruktur, Lieferkette und Daten in Europa. Diese Anforderungen gelten f\u00fcr die Bereiche, die bereits der NIS2-Richtlinie unterliegen. Mitgliedstaaten m\u00fcssen f\u00fcr Stadtwerke, kommunale Kliniken und Wasserversorger eigene Risikobewertungen durchf\u00fchren. EU-Exekutivvizepr\u00e4sidentin Henna Virkkunen formulierte die Pr\u00e4misse klar. Cloud-Anbieter f\u00fcr kritische Systeme d\u00fcrfen keinen \u201eKill Switch\u201c besitzen, der einen Datenzugriff von au\u00dfen erm\u00f6glicht. Amerikanische Anbieter geraten hier in einen rechtlichen Konflikt. Der US CLOUD Act erlaubt US-Beh\u00f6rden den Zugriff auf Daten amerikanischer Unternehmen, unabh\u00e4ngig vom physischen Speicherort. Ein Server in einem deutschen Rechenzentrum sch\u00fctzt Daten nicht vor dem Zugriff durch US-Beh\u00f6rden, wenn der Betreiber ein amerikanischer Konzern ist. Der CADA-Entwurf liegt derzeit den gesetzgebenden Gremien vor. Eine finale Verordnung tritt voraussichtlich nicht vor 2027 in Kraft. Der Bitkom-Report belegt den Bedarf im Markt. 80 Prozent der befragten Unternehmen bef\u00fcrworten europ\u00e4ische Alternativen zu den globalen Marktf\u00fchrern, doch nur 53 Prozent nutzen sie heute. Kommunen entscheiden heute \u00fcber IT-Infrastrukturen, die in den kommenden Jahren den CADA-Vorgaben entsprechen m\u00fcssen. Sie minimieren rechtliche und operative Risiken, wenn sie fr\u00fchzeitig Anbieter mit europ\u00e4ischer Rechtsform w\u00e4hlen. FTAPI vereint die verschl\u00fcsselte E-Mail-\u00dcbertragung (SecuMails), sichere Datenr\u00e4ume (SecuRooms) und automatisierte Formularstrecken (SecuForms) auf einer Plattform. Ein Audit-Trail protokolliert jeden Vorgang. Die Software wickelt den Datenaustausch zwischen Stadtverwaltung und Krankenkasse oder Stadtwerk und Netzbetreiber \u00fcber eine Infrastruktur ab, die keinem ausl\u00e4ndischen Gesetzgeber unterliegt. (DEKOM\/FTAPI, 22.06.2026) <a href=\"https:\/\/www.ftapi.com\/blog\/compliance-update-gesetze\">Ganter Artikel hier\u2026<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>37 Prozent der deutschen Unternehmen w\u00fcrden inzwischen einen Cloud-Dienst nutzen, der Daten ausschlie\u00dflich in Deutschland verarbeitet, selbst wenn das weniger Funktionen oder h\u00f6here Kosten bedeutet. Vor einem Jahr waren es 27 Prozent. Das geht aus dem \u201eCloud Report 2026\u201c hervor, den der Digitalverband Bitkom am 17. Juni 2026 ver\u00f6ffentlichte. Bitkom-Pr\u00e4sident Ralf Wintergerst fordert deshalb verbindliche [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-9419","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/comments?post=9419"}],"version-history":[{"count":1,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9419\/revisions"}],"predecessor-version":[{"id":9420,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/posts\/9419\/revisions\/9420"}],"wp:attachment":[{"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/media?parent=9419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/categories?post=9419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/infosilo.info\/dekom\/wp-json\/wp\/v2\/tags?post=9419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}