BGH stärkt Unternehmen bei Datenzugriffsrechten

Der Bundesgerichtshof hat klargestellt: Datenauskunftsansprüche nach DSGVO lassen sich nicht automatisch mit einer finanziellen Forderung übertragen. Das Urteil vom Februar 2026 gibt Unternehmen wichtige Sicherheit im Umgang mit Drittanfragen.

Neues BGH-Urteil: Kein automatischer Datentransfer bei Forderungsabtretung

Am 24. Februar 2026 entschied der Bundesgerichtshof (Az. VI ZR 430/24) einen Grundsatzstreit: Der Auskunftsanspruch aus Artikel 15 DSGVO geht nicht automatisch auf einen Dritten über, wenn eine finanzielle Forderung abgetreten wird. Bisher hatten manche Juristen argumentiert, das Datenzugriffsrecht folge der Forderung als „Nebenrecht“. Der BGH wischte diese Ansicht vom Tisch.

Die Begründung: Datenschutzrechte sind höchstpersönlich. Sie bleiben beim Betroffenen – es sei denn, sie werden ausdrücklich und separat übertragen. Für Unternehmen bedeutet das: Wer auf eine Datenanfrage eines Inkassobüros oder Rechtsdienstleisters reagiert, ohne eine explizite Abtretung des Artikel-15-Rechts zu prüfen, riskiert eine Datenschutzverletzung nach Artikel 33 DSGVO.

Da fehlerhafte Reaktionen auf Datenanfragen schnell zu empfindlichen Sanktionen führen können, ist eine lückenlose Dokumentation für Unternehmen unverzichtbar. Dieser kostenlose Ratgeber inklusive Excel-Vorlage hilft Ihnen, die gesetzliche Dokumentationspflicht nach Art. 30 DSGVO rechtssicher und zeitsparend zu erfüllen. Gratis Muster-Verarbeitungsverzeichnis jetzt herunterladen

Europäischer Gerichtshof zieht nach: Datenauskunft kein Prozessinstrument

Nur einen Monat später, im März 2026, legte der Europäische Gerichtshof im Fall „Brillen Rottler“ (C-526/24) nach. Die Luxemburger Richter entschieden: Eine erste Datenauskunftsanfrage kann als missbräuchlich gelten, wenn ihr Hauptzweck nicht die Überprüfung der Datenverarbeitung ist, sondern die Vorbereitung einer Schadensersatzklage.

Zusammengenommen zeichnen beide Urteile ein klares Bild: Datenschutzrechte sind robust – aber kein taktisches Werkzeug für automatisierte Prozesse oder fremde Rechtsstreitigkeiten.

Zehn Jahre DSGVO: Von der Reform zum globalen Standard

Am 27. April 2026 jährte sich die Verabschiedung der Datenschutz-Grundverordnung zum zehnten Mal. Was als europäisches Projekt begann, entfaltete den sogenannten „Brüssel-Effekt“: Länder von Brasilien bis Indien übernahmen ähnliche Regelungen.

Die Durchsetzungsbilanz spricht Bände:

• 1,2 Milliarden Euro Bußgeld gegen Meta (2023)
• 746 Millionen Euro gegen Amazon (2021)
• 530 Millionen Euro gegen TikTok (angefochten, vom irischen Supreme Court am 30. April 2026 zugunsten TikToks entschieden)

Neue Haftungsrisiken: NIS-2 macht Manager persönlich verantwortlich

Seit dem 6. Dezember 2025 gilt in Deutschland die NIS-2-Richtlinie. Sie führt die persönliche Haftung von Geschäftsführern ein. Die 45-Millionen-Euro-Strafe gegen Vodafone aus dem Jahr 2025 wurde explizit als Versagen der Managementaufsicht gewertet.

Experten warnen: Die Kombination möglicher Bußgelder aus DSGVO, NIS-2 und dem kommenden AI Act könnte bis zu 13 Prozent des globalen Jahresumsatzes eines Unternehmens erreichen.

Digitaler Flickenteppich: Trilog-Verhandlungen gescheitert

Am 28. April 2026 platzten die hochrangigen Trilog-Verhandlungen zum sogenannten „Digital Omnibus“ – einem Reformpaket zur Vereinfachung von Data Act, DSGVO und AI Act. Nach zwölf Stunden ohne Einigung scheiterten die Gespräche am Streitpunkt „sektorale Ausnahmen“. Die EVP-Fraktion fordert, bestimmte industrielle KI-Anwendungen von den strengsten AI-Act-Regeln auszunehmen.

Ohne neuen Kompromiss im Mai bleibt der 2. August 2026 als Stichtag für Hochrisiko-KI-Systeme bestehen. Besonders betroffen: Unternehmen, die aus Großbritannien in die EU exportieren. Sie müssen innerhalb von drei Monaten Konformitätsbewertungen abschließen.

Angesichts der kommenden Stichtage für Hochrisiko-KI-Systeme müssen Unternehmen ihre Compliance-Strategie frühzeitig anpassen. Ein praxisnaher Leitfaden verschafft Ihrer Rechts- und IT-Abteilung jetzt den nötigen Überblick über alle Fristen, Pflichten und Risikoklassen des EU AI Acts. EU AI Act in 5 Schritten verstehen (Kostenloser Leitfaden)

Deutschland zentralisiert KI-Aufsicht

Die Bundesregierung reagiert auf die wachsende Regulierungsdichte. Seit einem Kabinettsbeschluss vom 11. Februar 2026 ist die Bundesnetzagentur (BNetzA) die nationale KI-Aufsichtsbehörde. Sie baut derzeit ein Koordinierungs- und Kompetenzzentrum (KoKIVO) auf – eine zentrale Anlaufstelle für Unternehmen, die sich durch den KI-Regulierungsdschungel kämpfen.

Vom Kostenfaktor zum Wettbewerbsvorteil

Der Wandel ist messbar: Fast 50 Prozent der Führungskräfte sehen Datenschutz inzwischen als Wettbewerbsvorteil, nicht mehr als reine Kostenstelle. Eine Studie vom Frühjahr 2026 errechnet einen Return on Investment von 1,60 Euro für jeden in Datenschutz investierten Euro.

Dieser trend zeigt sich auch in der Standardisierung. Der Europäische Datenschutzausschuss (EDPB) erweiterte am 30. April 2026 das „Europrivacy“-Zertifizierungsschema auf Organisationen außerhalb der EU und des EWR. Es bietet eine strukturierte, prüfbare Alternative zu Standardvertragsklauseln für internationale Datentransfers.

KI-Workloads kehren zurück ins eigene Rechenzentrum

Eine aktuelle Umfrage unter IT-Entscheidern zeigt einen bemerkenswerten Trend: Rund 79 Prozent der Unternehmen haben KI-Workloads aus der Public Cloud zurückgeholt oder planen dies. Hauptgründe: Bedenken zur Datensouveränität und steigende Kosten.

Fristenkalender 2026: Was jetzt auf Unternehmen zukommt

Die zweite Jahreshälfte wird zum Härtetest für die Compliance-Abteilungen:

• 2. August 2026: EU-Mitgliedstaaten müssen „regulatorische Sandkästen“ für KI-Entwicklung einrichten. Gleichzeitig treten die meisten AI-Act-Bestimmungen in Kraft – sofern der Digital Omnibus nicht doch noch kommt.
• 7. Juni 2026: Die EU-Entgelttransparenzrichtlinie muss in nationales Recht umgesetzt sein. Unternehmen müssen allen Mitarbeitern Gehaltsinformationen bereitstellen und sich auf die ersten Pflichtberichte 2027 vorbereiten.
• Ende 2026: Die EU-Mitgliedstaaten müssen die EU Digital Identity Wallet bereitstellen.
• 11. September 2026: Meldepflicht für aktiv ausgenutzte Sicherheitslücken nach dem Cyber Resilience Act (CRA) beginnt.

Der „digitale TÜV“ kommt

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernimmt die Rolle eines „digitalen TÜV“ für vernetzte Produkte. Die rechtlichen und technischen Anforderungen, um digitale Güter auf den Markt zu bringen, erreichen ein historisches Hoch.

Rechtsexperten sind sich einig: Ein integrierter Governance-Ansatz, der DSGVO, AI Act und Cybersicherheitsvorschriften zusammen denkt, ist kein Luxus mehr. Er ist die Eintrittskarte für den Markt der späten 2020er Jahre.

de | wirtschaft | 69266841 |