Datenschutz: EU-Behörden starten Offensive gegen Datenbroker

Datenschutzverstöße werden in Europa jetzt proaktiv und mit hohen Strafen geahndet. Diese Woche markiert eine Zäsur in der europäischen Datenschutzpraxis. Die Behörden rücken von reaktiven Untersuchungen ab und gehen mit Inspektionen und neuen Analysetools in die Offensive. Für Unternehmen bedeutet das: Datenschutz muss im Kerngeschäft verankert sein – oder es wird teuer.

Lückenhafte Dokumentationen sind bei proaktiven Behörden-Inspektionen ein hohes Risiko und können Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Vorlage für das Verarbeitungsverzeichnis herunterladen

Neue Waffe für Aufsichtsbehörden: Risiko-Landkarte für Datenhändler

Am 4. März 2026 veröffentlichte der Europäische Datenschutzausschuss (EDPB) eine bahnbrechende Marktstudie zu Datenbrokern. Die Untersuchung, ursprünglich von der belgischen Aufsichtsbehörde in Auftrag gegeben, kartiert erstmals systematisch den undurchsichtigen Markt der Unternehmen, die personenbezogene Daten sammeln, handeln oder bereitstellen.

Das zentrale Ergebnis: Bisherige Klassifizierungssysteme versagen bei der Identifizierung von Datenbrokern. Branchencodes, die von den Unternehmen selbst gemeldet werden, bilden deren tatsächliche Datenverarbeitung oft nicht ab. Die Studie liefert den Aufsichtsbehörden in allen EU-Mitgliedstaaten daher eine praktische Methodik, um Hochrisiko-Datenanbieter aufzuspüren.

Besonders riskant sind Aktivitäten, bei denen Daten aus mehreren Quellen zusammengeführt, für Profiling-Zwecke verarbeitet oder ohne ausreichende Nutzerkontrolle zwischen Organisationen transferiert werden. Für Unternehmen ist die Botschaft klar: Die Aufseher rüsten sich mit ausgefeilten Werkzeugen, um Daten-Lieferketten nachzuverfolgen. Lückenlose Datenkartierung wird zur Überlebensfrage.

Polen setzt Zeichen: Rekordstrafe für Logistik-Riesen

Die neuen Methoden kommen nicht ohne scharfe Zähne. Schon zwei Tage vor der EDPB-Studie demonstrierte Polens Datenschutzbehörde (UODO), was proaktive Durchsetzung bedeutet. Am 2. März verhängte sie gegen einen großen Paketdienstleister Strafen von über 11 Millionen Z?oty (rund 2,5 Millionen Euro) wegen fundamentaler GDPR-Verstöße.

Die Strafe ist in zweierlei Hinsicht bemerkenswert. Erstens traf es nicht eine Digital-Plattform, sondern den operativen Logistiksektor – eine Branche, die täglich mit Namen, Adressen und Lieferhinweisen umgeht. Zweitens leitete die Behörde das Verfahren nicht durch eine Meldung über einen Datenvorfall ein, sondern durch eine proaktive Inspektion.

Die Strafe setzt sich aus zwei Posten zusammen: Rund 6,25 Millionen Z?oty gab es für Mängel in den erforderlichen Datenverarbeitungsverträgen mit externen Transportpartnern. Weitere 5,2 Millionen Z?oty wurden für Defizite bei technischen und organisatorischen Maßnahmen fällig, insbesondere bei Zugriffsrechten für Mitarbeiter. Die Lehre: Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss echte, durchgängige Kontrollen implementieren.

Fehler bei der Auftragsverarbeitung zählen zu den häufigsten Ursachen für hohe Bußgelder, wie aktuelle Verfahren gegen Logistikunternehmen eindrucksvoll zeigen. Sichern Sie Ihr Unternehmen mit diesem Gratis-E-Book inklusive fertiger Vertragsvorlagen und Checklisten rechtssicher ab. Gratis E-Book zur Auftragsdatenverarbeitung anfordern

Unabhängige Datenschutzbeauftragte und verschärfte Transparenz

Unternehmen reagieren auf diesen verschärften Kurs, indem sie ihre interne Governance stärken. Anfang März analysierten Compliance-Experten neue verbindliche Regeln des Europäischen Datenschutzbeauftragten (EDPS) zur Unabhängigkeit von Datenschutzbeauftragten (DSB). Diese gelten zwar primär für EU-Institutionen, setzen aber einen Maßstab für die Wirtschaft: DSB müssen ihre Aufgaben ohne Druck des Managements erfüllen können, ihre Abberufung muss strengen Verfahren folgen.

Gleichzeitig bereiten sich Unternehmen auf den Koordinierte-Durchsetzungs-Rahmen (CEF) 2026 vor. Der Fokus liegt dieses Jahr auf den Transparenz- und Informationspflichten nach den Artikeln 12 bis 14 der DSGVO. Nationale Behörden weiten ihre Prüfungen jedoch aus. So will die österreichische Datenschutzbehörde zusätzlich die Sicherheit der Verarbeitung (Artikel 32 DSGVO) sowie die zugehörige Dokumentation und Risikobewertung auditieren.

Gesetzgebung im Fluss: Streit um den „Digital Omnibus“

Neben der verschärften Durchsetzung müssen Unternehmen mit unsicheren gesetzlichen Rahmenbedingungen kämpfen. In der ersten Märzwoche tobte weiterhin der Streit um den von der EU-Kommission vorgeschlagenen „Digital Omnibus“.

Der EDPB und der EDPS warnten in einer gemeinsamen Stellungnahme eindringlich davor, dass Teile des Entwurfs den Begriff der personenbezogenen Daten erheblich einschränken könnten. Gängige digitale Spuren wie Geräte-Kennungen oder gehashte E-Mail-Adressen könnten so aus dem Schutz der DSGVO fallen. Während Befürworter von mehr Wettbewerbsfähigkeit und Entlastung für Unternehmen sprechen, sehen Aufseher massive Rechtsunsicherheit und Gefahren für die Privatsphäre. Für Compliance-Verantwortliche bedeutet das: Ihre Strategien zur Datenklassifizierung müssen extrem anpassungsfähig bleiben.

Fazit: Die Ära der Papierversicherungen ist vorbei

Die Ereignisse dieser Woche bestätigen einen klaren Trend: Datenschutz-Compliance ist keine Formsache mehr, sondern eine Säule des unternehmerischen Risikomanagements. Aufsichtsbehörden handeln zunehmend aus eigenem Antrieb.

Unternehmen sollten umgehend ihre Datenverarbeitungsverträge mit Partnern überprüfen und interne Zugriffskontrollen rigoros auditieren. Wer Datenschutz weiterhin als lästige Pflichtübung behandelt, wird unweigerlich auf verschärfte regulatorische Eingriffe stoßen. Die Erwartung ist klar: nachweisbare, operative Datensicherheit.