Datenabfluss: 100 Millionen Euro Strafe gegen Yango-App

Gleich mehrere richtungsweisende Entscheidungen europäischer Gerichte und Behörden zeigen: Der Spielraum für Plattformen und Unternehmen schrumpft.

Die strengere Rechtsprechung und neue Urteile zur Haftung setzen Unternehmen unter Zugzwang, ihre IT-Sicherheit proaktiv zu verstärken. Erfahren Sie in diesem kostenlosen E-Book, wie Sie aktuelle Sicherheitslücken schließen und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Gratis-E-Book: Cyber Security Bedrohungen abwenden

Irischer Gerichtshof stärkt Datenschutzbehörde gegen Meta

Am 21. Mai 2026 wies der irische High Court eine Klage von Meta gegen die Datenschutzkommission (DPC) ab. Im Kern ging es um eine geplante Geldbuße zwischen 360 und 430 Millionen Euro. Auslöser war eine Beschwerde eines Nutzers aus dem Jahr 2018, der Zugang zu seinen Daten im Zusammenhang mit Metas „Hive"-System forderte.

Das Gericht stellte klar: Die DSGVO erlaubt es den Behörden, auch im Rahmen von Beschwerdeverfahren systemweite Anordnungen zur Einhaltung der Vorschriften zu erlassen. Meta kann zwar weiterhin gegen die konkrete Höhe der Strafe vorgehen. Das Urteil stärkt jedoch die Position der DPC erheblich – sie darf nun umfassende technische Korrekturen verlangen.

Deutschland: Abschreckungswirkung der DSGVO bröckelt

Doch wie effektiv sind die Strafen in der Praxis? Ein Blick nach Deutschland offenbart ein ernüchterndes Bild. Ein vielzitierter Fall: Die 10,4 Millionen Euro schwere Geldbuße gegen notebooksbilliger.de aus dem Jahr 2020 wegen Videoüberwachung. Nach fünf Jahren Rechtsstreit war nur noch eine Summe von 900.000 Euro übrig.

Rechtsexperten sehen die Ursache in strukturellen Problemen. Fehlende spezialisierte Kammern und Staatsanwälte ohne datenschutzrechtliche Expertise führen dazu, dass die abschreckende Wirkung der DSGVO in Deutschland oft verpufft. Die Diskrepanz zwischen Verwaltungs- und Ordnungswidrigkeitenrecht tut ihr Übriges.

Klinik haftet für KI-Chatbot: Gericht zieht Grenze

Ein wegweisendes Urteil des Oberlandesgerichts Hamm vom 27. Mai 2026 erweitert die Haftungsgrenzen für automatisierte Systeme. Eine Klinik muss für falsche Angaben ihres KI-Chatbots geradestehen. Der Chatbot hatte Ärzten fälschlicherweise spezielle medizinische Titel zugeschrieben.

Das Gericht stellte klar: Ein KI-Chatbot ist kein „Dritter", für den das Unternehmen nicht verantwortlich ist. Die Organisation muss für irreführende Aussagen als Teil ihres Geschäftsbetriebs einstehen. Ein Präzedenzfall mit Signalwirkung – denn immer mehr Unternehmen setzen auf KI-gestützte Kommunikation.

KI-Klagen nehmen rasant zu

Parallel dazu steigt die Zahl der KI-gestützten Klagen. Eine Studie von MIT und USC zeigt: In US-Bundesgerichten stieg der Anteil KI-generierter Klagen ohne Anwalt von rund zehn auf fast 17 Prozent. Die Kehrseite: Etwa 1.500 Verfahren enthielten nachweislich Fehler, die auf KI-Systeme zurückzuführen waren.

Der zunehmende Einsatz von KI-Systemen bringt nicht nur Haftungsrisiken, sondern auch neue regulatorische Pflichten durch den EU AI Act mit sich. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über Risikoklassen, Fristen und die notwendige Dokumentation. Kostenloses E-Book zur KI-Verordnung herunterladen

100 Millionen Euro Strafe: Datenabfluss nach Russland gestoppt

Die niederländischen Behörden verhängten Ende Mai 2026 eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., den Betreiber der Taxi-App Yango. Der Grund: Das Unternehmen hatte Fahrer- und Fahrgastdaten aus Norwegen und Finnland nach Russland übermittelt. Darunter sensible Informationen wie Standortdaten und Führerscheinkopien.

Standardvertragsklauseln reichten nach Ansicht der Ermittler nicht aus, um die Daten zu schützen. MLU hat Einspruch eingelegt – der Fall zeigt jedoch, wie ernst die europäischen Aufsichtsbehörden grenzüberschreitende Datenflüsse nehmen.

Transparenz und Sicherheit: Neue Pflichten für Unternehmen

Gleich mehrere Entwicklungen setzen Unternehmen unter Zugzwang:

Pestizid-Transparenz: Das Verwaltungsgericht Sigmaringen entschied am 27. Mai 2026: Landwirte in Ehrenämtern landwirtschaftlicher Verbände müssen ihre Pestizid-Daten offenlegen. Das Urteil betrifft Funktionäre des Deutschen Bauernverbandes und basiert auf Umweltinformationsgesetzen.

Cyber-Abwehr: Der Bundestag verabschiedete am 27. Mai 2026 das Cybersicherheitsstärkungsgesetz. Es erlaubt BKA und Bundespolizei „aktive Cyberabwehr" – bis hin zur Veränderung oder Löschung von Daten auf angreifenden Systemen, selbst im Ausland.

Data Act: Seit September 2025 gilt die EU-Verordnung. „Dateninhaber" müssen Zugang zu Daten vernetzter Produkte gewähren – aber gleichzeitig Geschäftsgeheimnisse schützen. Ein Balanceakt für viele Unternehmen.

Sicherheitslücken bei selbst gehosteten Passwort-Managern

Die Sicherheitsinfrastruktur selbst gerät zunehmend in den Fokus. Eine Analyse von Censys vom 27. Mai 2026 identifizierte weltweit über 31.000 öffentlich zugängliche Passwort-Manager-Instanzen. Mehr als 1.700 davon waren anfällig für kritische Sicherheitslücken (CVE-2024-55224 und CVE-2024-55225).

Immerhin: 65 Prozent der Vaultwarden-Instanzen liefen mit aktuellen Versionen. Das Problem des Patch-Managements in dezentralen Umgebungen bleibt jedoch akut.

Personalkrise beim Datenschutz: 40 Prozent weniger Stellen?

Ausgerechnet in Zeiten verschärfter Regulierung zeichnet sich in Baden-Württemberg ein Problem ab. Berichte deuten auf eine mögliche Kürzung von 40 Prozent der Stellen beim Landesdatenschutzbeauftragten hin. Die Frage drängt sich auf: Wer soll die neuen Regeln künftig durchsetzen, wenn die Aufsichtsbehörden selbst ausgedünnt werden?

de | wirtschaft | 69440035 |