Datenschutz im Wandel: USA und EU setzen auf neue Regeln

Während die USA auf ein einheitliches Bundesgesetz zusteuern, überdenkt die EU ihre strengen Cookie-Regeln und KI-Vorgaben. Beide Entwicklungen könnten den Datenschutz grundlegend neu ausrichten.

Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Gestaltung ihrer Prozesse. Dieser kostenlose Leitfaden unterstützt Sie dabei, die Anforderungen des AI Acts schnell zu verstehen und rechtzeitig umzusetzen. EU AI Act in 5 Schritten verstehen

Zehn Jahre GDPR: Ein Wendepunkt?

Am 27. April 2026 jährte sich die Verabschiedung der Datenschutz-Grundverordnung (GDPR) zum zehnten Mal. Doch statt großer Feierlichkeiten zeichnet sich ein Kurswechsel ab: Neue Gesetzesinitiativen setzen zunehmend auf „berechtigtes Interesse“ und Opt-Out-Mechanismen statt auf das bisher dominierende Einwilligungsmodell. Besonders bei Cookies und dem Training Künstlicher Intelligenz (KI) könnte dies weitreichende Folgen haben.

USA: Der Vorstoß für ein Bundesgesetz

Am 22. April 2026 brachten republikanische Abgeordnete des Energie- und Handelsausschusses den Secure Data Act (H.R. 8413) ein. Das Gesetz soll erstmals einen bundesweiten Standard für Verbraucherdaten schaffen. Es räumt Bürgern das Recht auf Zugang, Korrektur, Löschung und Übertragbarkeit ihrer Daten ein.

Kernstück ist ein nationaler Opt-Out-Mechanismus für zielgerichtete Werbung und den Verkauf persönlicher Daten. Betroffen wären Unternehmen, die Daten von mehr als 200.000 Verbrauchern verwalten und Jahresumsätze über 25 Millionen Dollar erzielen – umgerechnet rund 23 Millionen Euro. Alternativ gilt die Regelung für Firmen mit über 100.000 Datensätzen, wenn mindestens 25 Prozent des Umsatzes aus Datenverkäufen stammen.

Befürworter versprechen sich von dem Gesetz eine Vereinfachung der Compliance – weg vom Flickenteppich der Einzelstaatsregelungen. Kritiker wie die Lobbygruppe Internet for Growth warnen jedoch vor negativen Folgen für kleine und mittlere Unternehmen. Die Durchsetzung obliegt der Federal Trade Commission (FTC) und den Generalstaatsanwälten der Bundesstaaten. Eine 45-tägige „Heilungsfrist“ gibt Firmen Zeit, Verstöße zu korrigieren, bevor Strafen fällig werden.

Europa: Weniger Cookie-Banner, mehr KI-Freiheit?

Parallel zu den US-amerikanischen Entwicklungen justiert auch die EU nach. Das Reformpaket Digital-Omnibus, das die EU-Kommission am 19. November 2025 vorlegte, schlägt eine Abkehr von strengen Einwilligungspflichten vor. Konkret soll das Training von KI-Modellen mit personenbezogenen Daten künftig auf Basis des „berechtigten Interesses“ erlaubt sein – sofern die Daten pseudonymisiert werden.

Auch bei nicht notwendigen Cookies könnte sich das Blatt wenden. Unternehmen sollen sich künftig auf berechtigtes Interesse berufen dürfen, wenn sie eine klare Opt-Out-Möglichkeit anbieten. Das würde die lästigen Cookie-Banner, die seit der GDPR das Surfen im Internet prägen, deutlich reduzieren.

Gleichzeitig rüstet sich Europa für die Vollumsetzung des AI Act. Die meisten Bestimmungen treten am 2. August 2026 in Kraft. Besonders im Personalwesen, wo KI zunehmend für automatisierte Entscheidungen (ADM) genutzt wird, fordern Aufsichtsbehörden mehr Transparenz. Die britische Datenschutzbehörde ICO veröffentlichte am 31. März 2026 einen Bericht, der massive Defizite offenlegt: Viele Arbeitgeber setzen ADM-Tools ohne ausreichende menschliche Kontrolle oder ordnungsgemäße Datenschutz-Folgenabschätzungen ein. Eine Konsultation zu neuen ADM-Richtlinien läuft noch bis zum 29. Mai 2026.

Compliance-Experten warnen davor, die neuen Pflichten der KI-Verordnung zu ignorieren, da bereits seit August 2024 empfindliche Strafen drohen. Sichern Sie sich jetzt den kostenlosen Umsetzungsleitfaden, um rechtlich auf der sicheren Seite zu bleiben. Kostenlosen AI Act Leitfaden herunterladen

Connecticut: Verschärfte Regeln auf Landesebene

Während auf Bundesebene neue Gesetze diskutiert werden, verschärfen einzelne US-Bundesstaaten ihre Vorschriften. In Connecticut treten am 1. Juli 2026 weitreichende Änderungen des Connecticut Data Privacy Act (CTDPA) in Kraft. Die neue Schwelle für betroffene Unternehmen sinkt drastisch: Statt bisher 100.000 Verbrauchern reichen künftig 35.000 aus.

Die Novelle erweitert zudem den Begriff der „sensiblen Daten“ um amtliche Ausweise, Finanzinformationen und Sozialversicherungsnummern. Neu ist auch ein explizites Verbot des Datenverkaufs oder zielgerichteter Werbung gegenüber Minderjährigen zwischen 13 und 17 Jahren. Eine besonders bemerkenswerte Neuerung: Unternehmen müssen offenlegen, ob sie Verbraucherdaten zum Training von Large Language Models (LLMs) nutzen.

Nigeria: Meta-Strafe reduziert – Kritik an Behörde

Auch international bleibt die Durchsetzung von Datenschutzregeln komplex. In Nigeria klärte die nationale Datenschutzkommission (NDPC) Ende April 2026 den Status einer ursprünglich verhängten Strafe von 32,8 Millionen Dollar gegen Meta. Ein vertrauliches Vergleichsabkommen vom 30. Oktober 2025 hatte zunächst den Anschein erweckt, die Strafe sei komplett erlassen worden. Tatsächlich wurde sie jedoch reduziert und teilweise in Compliance-Auflagen umgewandelt. Dazu gehörten Datenschutzkampagnen auf Social-Media-Plattformen im Januar und Februar 2026. Lokale Rechtsgruppen kritisieren das Vorgehen der Behörde scharf und stellen deren Befugnis infrage, Strafen durch außergerichtliche Vergleiche zu reduzieren.

Wettbewerbsrecht trifft Datenschutz: Google und OpenAI unter Druck

Die Verzahnung von Datenschutz und Wettbewerbsrecht wird immer deutlicher. Am 27. April 2026 übermittelte die EU-Kommission Google vorläufige Feststellungen zu dessen Verpflichtungen unter dem Digital Markets Act (DMA). Die Kommission verlangt, dass Drittanbieter-KI-Dienste effektiv mit dem Android-Betriebssystem zusammenarbeiten können – inklusive der Nutzung eigener „Wake Words“ für Sprachassistenten. Google wehrt sich gegen diese Auflagen, die Kommission hat eine endgültige Entscheidung bis zum 27. Juli 2026 angekündigt.

Einen Tag zuvor, ebenfalls am 27. April 2026, gab OpenAI bekannt, seine exklusive Partnerschaft mit Microsoft zu beenden. Microsoft bleibt zwar primärer Cloud-Partner mit Lizenzen bis 2032, doch OpenAI darf seine Dienste nun auch auf konkurrierenden Plattformen von Amazon und Google anbieten. Analysten sehen darin einen strategischen Schritt, um die laufenden Kartellverfahren in Großbritannien, den USA und Europa zu entschärfen.

Zertifizierung und Ausblick: Europrivacy als neuer Standard

Für Unternehmen, die sich in diesem komplexen Umfeld zurechtfinden müssen, entstehen neue Orientierungshilfen. Am 16. April 2026 genehmigte der Europäische Datenschutzausschuss (EDPB) die neueste Version der Europrivacy-Zertifizierung (Version 82). Das erweiterte Schema dient nun als offizielles Instrument für internationale Datentransfers nach Artikel 46 der GDPR und gilt damit auch für Organisationen außerhalb des Europäischen Wirtschaftsraums.

Die zweite Jahreshälfte 2026 bringt weitere wichtige Termine: Neben dem Inkrafttreten des EU AI Act am 2. August müssen die Mitgliedstaaten bis Jahresende funktionsfähige Digitale Identitätsbürgerportale bereitstellen. In Deutschland gilt die NIS-2-Richtlinie bereits seit dem 6. Dezember 2025. Und ab dem 7. Juni 2026 verbietet die EU-Entgelttransparenzrichtlinie Arbeitgebern, nach dem Gehalt aus früheren Beschäftigungen zu fragen.

Für Compliance-Abteilungen bedeutet dies einen grundlegenden Wandel: Weg von statischen Datenschutzerklärungen, hin zu dynamischer Datenverwaltung. Die neuen Gesetze in den USA und die Digital-Omnibus-Vorschläge in der EU deuten darauf hin, dass die nächste Phase des Datenschutzes weniger auf das Einholen von Einwilligungen abzielt – und mehr auf die Rechenschaftspflicht der Verantwortlichen und die Transparenz automatisierter Verarbeitungssysteme.

de | boerse | 69250383 |