Das ist kein Einzelfall und kein Versagen von Menschen. Es ist das Ergebnis einer Compliance-Organisation, die historisch gewachsen ist: eine Richtlinie nach der anderen, jedes Mal ein neues System, jedes Mal ein neues Zuständigkeitsgefüge.
Wer gestern noch ein Silo hatte, hat heute drei
Vor zehn Jahren war die DSGVO das drängendste Thema. Datenschutzbeauftragte bauten Managementsysteme auf, entwickelten Prozesse, etablierten ihre Rolle. Das war schon viel Arbeit.
Aber die DSGVO blieb nicht das einzige Regelwerk. Immer wieder kamen weitere Anforderungen hinzu: Lieferkettensorgfaltspflichten, Hinweisgeberschutz, KRITIS-Anforderungen und branchenspezifische Vorgaben für Gesundheitswesen, Finanzsektor und Industrie. Jedes Mal eine neue Aufgabe, jedes Mal ein neuer Prozess – und stetig wuchs auch die Zahl von Zuständigkeiten und neuen Rollen in den Unternehmen. Die aktuelle Welle trägt jetzt Namen wie NIS-2, DORA, AI-Act und Cyber Resilience Act. Und damit stellt sich eine Frage täglich neu: Wo hört das eine auf und fängt das andere an? Ein Vorfall muss plötzlich unter drei Richtlinien bewertet werden. Mit unterschiedlichen Fristen, unterschiedlichen Behörden, unterschiedlichen Formaten. Lieferanten werden doppelt geprüft, weil Datenschutz und Informationssicherheit verschiedene Listen pflegen. Und der Compliance Manager, den es vor fünf Jahren im Unternehmen unter Umständen noch gar nicht gab, entwickelt eigene Prozesse, die mit denen von DSB und ISB teilweise kollidieren, teilweise dieselbe Arbeit machen. Am Ende des Tages weiß keiner der drei, was die anderen gerade tun.
Ein Münchner SaaS-Anbieter mit 350 Mitarbeitenden erlebte das sehr konkret: Im ersten Quartal 2025 folgten ISO-Überwachungsaudit, SOC-2-Prüfung und drei Kundenaudits in kurzer Folge. Alle Prüfer wollten im Kern dasselbe sehen: Zugriffskontrollen, Incident-Management, BCM. Aber jeder in seinem eigenen Format. Das Compliance-Team kopierte dieselben Screenshots und Konfigurationsnachweise in vier verschiedene Ordnerstrukturen. Als das Berechtigungskonzept im April geändert wurde, war der Nachweis im ISO-Ordner aktuell, im SOC-2-Ordner nicht.
Brüssel hat das Problem erkannt
Was in Unternehmen auf Schreibtischebene Mehraufwand verursacht, wird inzwischen auf europäischer Ebene aufgegriffen. Der Digital Omnibus, den die EU-Kommission im November 2025 vorgelegt hat, ist im Kern eine Reaktion auf genau diese Fragmentierung: Regelwerke, die inhaltlich eng zusammenhängen, aber unterschiedliche Begriffe, Verfahren und Fristen verwenden. Eines der zentralen Elemente des Pakets ist eine Harmonisierung für Meldepflichten, eine einzige Stelle, über die Vorfälle nach DSGVO, NIS-2, DORA und weiteren Richtlinien gemeldet werden können, anstatt parallel an verschiedene Behörden.
Es ist ein politisches Signal: Compliance-Anforderungen lassen sich nicht mehr isoliert betrachten.
Integriert denken, bevor das nächste Audit kommt
Bei einer Genossenschaftsbank im Rhein-Main-Gebiet führte die Parallelführung von IKT-Drittanbieter-Register, Auslagerungsregister und Lieferketten-Dokumentation dazu, dass das Compliance-Team für denselben Cloud-Dienstleister drei verschiedene Register pflegte – mit 70 Prozent identischen Inhalten. Geschätzter Aufwand: 15 Stunden pro Woche, nur für die Übersetzung desselben Sachverhalts in unterschiedliche Formate. Die Lösung war ein zentrales Dienstleister-Register, aus dem sich alle drei Sichten automatisch ableiten lassen.
Das klingt simpel. Ist es auch, wenn die Entscheidung einmal getroffen ist, nicht drei Systeme parallel zu befüllen, sondern eine gemeinsame Grundlage zu schaffen. Die eigentliche Hürde ist nicht technischer Natur. Es ist die Haltung: Compliance nicht als Summe einzelner Pflichten zu begreifen, sondern als ein zusammenhängendes System, das einheitlich gesteuert wird.
Integrierte Governance bedeutet konkret: Risiken einmal bewerten und mehreren Regelwerken zuordnen. Maßnahmen einmal dokumentieren und für verschiedene Nachweise nutzen. Meldeprozesse nicht je Richtlinie neu erfinden, sondern einheitlich aufsetzen. Ein praktischer Ansatz: Anbieter von Datenschutz- oder Compliance-Management-Software erkennen diese Notwendigkeit und entwickeln ihre Tools inzwischen zu GRC-Plattformen, die wirklich integriert arbeiten und die technische Struktur für eine praxistaugliche multi-regulatorischer Herausforderungen schaffen. Die Voraussetzung ist die saubere Implementierung, damit DSB, ISB, CISO und Compliance Manager zukünftig auf derselben Datenbasis arbeiten.
Drei Fragen für den Selbstcheck
Wer wissen will, wie weit die eigene Organisation von einer integrierten Compliance entfernt ist, kann mit drei Fragen starten:
- Gibt es einen gemeinsamen Vorfall- und Meldeprozess oder entscheiden Datenschutz und Informationssicherheit im Ernstfall getrennt, was gemeldet wird, an wen und bis wann?
- Könnten wir morgen früh vollständig die Compliance zu verschiedenen Regelwerken vorlegen oder würde das Team Wochen damit verbringen, Nachweise aus verschiedenen Systemen, Ordnern und E-Mail-Verläufen zusammenzusuchen?
- Weiß die Geschäftsführung heute, wie es um den Compliance-Status steht? Nicht in Regulierungsdetails – sondern in einer Sprache, die Entscheidungen ermöglicht?
Wer eine dieser Fragen mit Nein beantwortet, muss anfangen Compliance und Security integriert zu betrachten. Denn andernfalls werden die Aufgaben und Herausforderungen so groß, dass Unternehmen und Einrichtungen unter der Compliance-Last kollabieren.