Datenschutz 2026: Zwischen Cyberangriffen, Reformstreit und schärferen Kontrollen

Die europäische Datenschutz-Grundverordnung (DSGVO) steht im Frühjahr 2026 unter massivem Druck: Während ein Cyberangriff auf einen deutschen Händler die praktischen Herausforderungen verdeutlicht, formiert sich Widerstand gegen geplante Reformen. Gleichzeitig kündigen Aufsichtsbehörden verschärfte Kontrollen an.

Cyberangriff auf asgoodasnew als Weckruf

Die Theorie der DSGVO traf am 1. März 2026 auf die harte Praxis der IT-Sicherheit. Unbekannte Angreifer nutzten eine Schwachstelle im Klarna-Zahlungsmodul des Online-Shops des Refurbished-Händlers asgoodasnew aus. Sie erbeuteten Kundennamen, Adressen, E-Mails, Bestellhistorie und verschlüsselte Passwörter.

Der aktuelle Cyberangriff auf asgoodasnew zeigt deutlich, wie verwundbar deutsche Unternehmen trotz Sicherheitsvorkehrungen sind. Dieser Experten-Report enthüllt effektive Strategien, wie sich mittelständische Unternehmen ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Experten-Report zur Cyber Security kostenlos herunterladen

Der Vorfall unterstreicht die Bedeutung der Artikel 32 und 33 der DSGVO. Das Unternehmen reagierte nach eigenen Angaben innerhalb von 20 Minuten mit einer Abschaltung, einem flächendeckenden Passwort-Reset und einer Meldung an die Aufsichtsbehörde. Kunden wurden aufgefordert, ihre Zugangsdaten auch auf anderen Plattformen zu ändern – ein Beispiel für die kaskadierenden Folgen von Sicherheitslücken im E-Commerce.

Widerstand gegen Aufweichung der DSGVO

Parallel zu konkreten Vorfällen tobt ein grundsätzlicher Streit um die Zukunft der Verordnung. Die EU-Kommission will mit ihrem Digital-Omnibus-Vorschlag Bürokratie abbauen, unter anderem durch eine engere Definition personenbezogener Daten bei Pseudonymisierung.

Dagegen regt sich massiver Widerstand. Die Datenschutz-NGO NOYB veröffentlichte am 5. März eine Umfrage unter betrieblichen Datenschutzbeauftragten (DSB). Das Ergebnis: Die Mehrheit lehnt eine Aufweichung des Kernschutzes ab. Statt flexibler, risikobasierter Elemente wünschen sich Compliance-Experten klare Positiv- und Negativlisten.

Diese Haltung findet politischen Rückhalt. Ein durchgesickerter Kompromissentwurf des Europäischen Rates zeigt: Die Mitgliedstaaten haben die Neudefinition personenbezogener Daten komplett gestrichen. Zuvor hatten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) in einer gemeinsamen Stellungnahme vor einer Aushöhlung der Grundrechte gewarnt.

Schwerpunkt 2026: Transparenz unter der Lupe

Während die Reform debattiert wird, schärfen die Aufsichtsbehörden ihre Kontrollen. Der EDPB hat die Einhaltung der Transparenz- und Informationspflichten (Artikel 12 bis 14 DSGVO) zum Schwerpunkt seiner koordinierten Durchsetzungsaktion 2026 erklärt.

Nationale Behörden werden in diesem Jahr synchron prüfen, wie Unternehmen über ihre Datenverarbeitung informieren. Im Fokus stehen Datenschutzerklärungen und Cookie-Hinweise: Sind sie korrekt, leicht zugänglich und in klarer Sprache verfasst? Standardisierte Fragebögen sollen offenlegen, ob Firmen ihre Erhebungszwecke, Datenweitergaben und Übermittlungsmechanismen angemessen offenlegen.

Angesichts der verschärften Kontrollen zur Transparenzpflicht wird eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde rechtssicher zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis sichern

Experten raten dringend, die Dokumentation an die tatsächliche Praxis anzupassen – besonders bei neuen Analysetools, KI-Funktionen oder Zahlungsanbietern. Die Ergebnisse der Prüfungen könnten in gezielten Maßnahmen und hohen Geldbußen münden.

Konflikt mit Geldwäschebekämpfung

Die Komplexität der DSGVO zeigt sich auch an Schnittstellen zu anderen Regelwerken. Die Global Coalition to Fight Financial Crime (GCFFC) warnte am 5. März vor Reibungen zwischen Datenschutz und Geldwäschebekämpfung (AML).

Die Branchenkoalition argumentiert: Die DSGVO-Prinzipien der Datenminimierung und Zweckbindung könnten unbeabsichtigt Schwachstellen im Finanzsystem schaffen. AML-Regime benötigen zwangsläufig umfangreiche Personenprofile und Transaktionshistorien. Fehlende harmonisierte Leitlinien könnten es Kriminellen ermöglichen, Datenschutzbestimmungen zum Schutz illegaler Zahlungsströme zu missbrauchen. Die GCFFC fordert eine klarere Rechtsgrundlage für die AML-Datenverarbeitung.

Ausblick: Mehr Klarheit gefordert

Die Entwicklung zeigt ein gereiftes, aber umkämpftes europäisches Datenschutzumfeld. Der Widerstand gegen den Digital Omnibus signalisiert: Aufseher und Profis wollen keine Verwässerung der Kerndefinitionen. Der Fokus auf Transparenz markiert einen Wechsel von der Grundsatzerfüllung zur Qualitätskontrolle.

Unternehmen müssen sich auf schärfere Prüfungen ihrer datenschutzrechtlichen Offenlegungen einstellen. Der weitere Gesetzgebungsprozess zum Digital Omnibus und eine EDPB-Konferenz zur regulatorischen Zusammenarbeit am 17. März werden wichtige Signale für die Zukunft setzen. Die Herausforderung, Privatsphäre mit Sicherheits- und Regulierungszielen in Einklang zu bringen, bleibt bestehen.