Datenschutz-Behörde verhängt Rekordstrafe gegen Vodafone

Nie zuvor gingen so viele Beschwerden bei der Datenschutzbehörde ein, nie zuvor waren die Bußgelder so hoch. Der jüngste Jahresbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zeichnet ein alarmierendes Bild.

Viele Unternehmen unterschätzen die Risiken lückenhafter Dokumentationen, die bei einer Prüfung sofort auffallen und hohe Bußgelder nach sich ziehen können. Eine kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Rekord bei Beschwerden – 45 Millionen Euro Strafe für Vodafone

Am 6. Mai 2026 legte BfDI-Chefin Louisa Specht-Riemenschneider ihren 34. Tätigkeitsbericht für das Jahr 2025 vor. Die Zahlen sind beeindruckend: 11.824 Beschwerden und Anfragen gingen ein – ein Anstieg um 36 Prozent gegenüber 2024 und sogar 52 Prozent mehr als 2023.

Besonders spektakulär: Die 45 Millionen Euro schwere Geldstrafe gegen Vodafone. Der Telekommunikationsriese hatte die Kontrolle über seine Partneragenturen vernachlässigt und massive Sicherheitslücken offenbart. Zwar hat Vodafone inzwischen nachgebessert und die Strafe bezahlt – der Fall zeigt jedoch, welches Risiko von externen Dienstleistern ausgeht.

Nur zwei Tage vor der Vorstellung des Berichts, am 4. Mai 2026, erhielt auch die Berliner Verkehrsbetriebe (BVG) eine formelle Verwarnung. Grund war ein Cyberangriff auf einen Dienstleister im April 2025, bei dem 180.000 Kundendaten abflossen. Die Behörde rügte, dass die BVG die vorgeschriebene 72-Stunden-Frist zur Meldung des Vorfalls verpasst hatte. Zudem mangelte es an klaren Regeln zur Datenlöschung.

IT-Teams stecken im Compliance-Dickicht

Doch nicht nur die Behörden verschärfen den Druck. Eine aktuelle Studie von Sophos aus dem Frühjahr 2026, für die 5.000 IT-Profis in 17 Ländern befragt wurden, zeigt das ganze Ausmaß des Problems. Ein durchschnittliches Unternehmen muss heute fünf verschiedene Compliance-Standards gleichzeitig erfüllen. Die Folge: IT-Abteilungen investieren rund 39 Prozent ihrer Arbeitszeit allein in die Erfüllung dieser Auflagen.

Besonders alarmierend: 82 Prozent der IT-Führungskräfte zweifeln daran, dass ihr Unternehmen alle geltenden Standards vollständig erfüllt. 79 Prozent berichten von erheblichen Schwierigkeiten, mit dem Tempo der regulatorischen Änderungen Schritt zu halten.

Für Unternehmen im DACH-Raum kommt erschwerend hinzu, dass sie gleich mehrere europäische Vorgaben erfüllen müssen – die DSGVO, NIS2 und DORA – und zusätzlich globale Rahmenwerke wie ISO 27001/2 oder NIST im Blick behalten müssen.

Blindflug in der digitalen Lieferkette

Eine weitere Studie von KPMG zum Risikomanagement bei Drittanbietern aus dem Jahr 2026 offenbart ein gefährliches Muster. Nur 18 Prozent der Organisationen haben ihre Drittanbieter-Risikoprogramme vollständig in das unternehmensweite Risikomanagement integriert. Und lediglich 15 Prozent der Führungskräfte zeigen sich überzeugt von der Qualität ihrer Compliance-Daten.

Die Konsequenz: Viele Unternehmen operieren mit gefährlichen blinden Flecken in ihrer digitalen Lieferkette. Ein Risiko, das auch jenseits des Atlantiks ernste Konsequenzen haben kann. Ende April 2026 verhängte die New Yorker Finanzaufsicht NYDFS eine Zivilstrafe von 2,25 Millionen Dollar gegen Delta Dental. Der Fall geht auf die MOVEit-Sicherheitslücke von 2023 zurück – die Behörde kritisierte vor allem die unzureichende Datenaufbewahrung und die verspätete Meldung des Vorfalls.

Neue Instrumente für mehr Rechtssicherheit

Die europäischen Aufsichtsbehörden reagieren auf die wachsende Komplexität mit neuen Hilfsmitteln. Der Europäische Datenschutzausschuss (EDPB) hat eine neue Vorlage für Datenschutz-Folgenabschätzungen entwickelt. Das freiwillige Werkzeug, das bis zum 9. Juni 2026 in der öffentlichen Konsultation ist, bietet vordefinierte Felder für strukturierte Risikoanalysen.

Ebenfalls im Mai 2026 veröffentlichte der EDPB klare Leitlinien zur Verarbeitung personenbezogener Daten für die wissenschaftliche Forschung. Demnach ist die Weiterverarbeitung von Daten zu Forschungszwecken grundsätzlich mit dem ursprünglichen Erhebungszweck vereinbar – sofern bestimmte ethische und methodische Standards eingehalten werden. Auch eine „breite Einwilligung" ist unter bestimmten Bedingungen möglich.

Der KI-Faktor: Neue Risiken für Unternehmen

Mit der Integration Künstlicher Intelligenz in Geschäftsprozesse entstehen völlig neue rechtliche Fallstricke. BfDI-Chefin Specht-Riemenschneider warnte zuletzt eindringlich vor den Risiken, wenn Unternehmen KI-Modelle mit fremden Daten trainieren – ohne ausdrückliche Einwilligung. Die Berufung auf eine „Interessenabwägung" als Rechtsgrundlage sei für KI-Trainingsdaten zunehmend unzuverlässig.

Die Regulierungsdebatte entwickelt sich hin zu einer differenzierten Betrachtung von KI-Anwendungen. Gefordert wird eine europaweite Diskussion, die zwischen „erlaubten" und „verbotenen" KI-Anwendungen unterscheidet – etwa zwischen KI in der medizinischen Therapie und KI zur Mitarbeiterüberwachung.

Der Höhepunkt dieser Entwicklung ist das EU AI Act, das am 2. August 2026 in Kraft tritt. Bei schwerwiegenden Verstößen drohen Bußgelder von bis zu sieben Prozent des globalen Jahresumsatzes.

Die neuen Anforderungen des EU AI Acts stellen viele Unternehmen vor enorme Herausforderungen bei der Risikodokumentation und Qualitätssicherung. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den notwendigen Überblick über Fristen und Risikoklassen, den Ihre IT-Abteilung jetzt braucht. EU AI Act in 5 Schritten verstehen und kostenlos herunterladen

Automatisierte Hilfe für den Mittelstand

Während Großkonzerne eigene Compliance-Abteilungen unterhalten, tun sich kleinere Unternehmen schwer. Hier setzt die Privatwirtschaft an. Erst im Mai 2026 brachte CookieHub eine Plattform zur automatisierten Bearbeitung von Betroffenenanfragen auf den Markt. Das Tool soll Unternehmen helfen, Auskunfts-, Lösch- oder Berichtigungsersuchen innerhalb der gesetzlichen 30-Tage-Frist zu bearbeiten – und zwar sowohl nach DSGVO als auch nach US-Gesetzen wie dem CCPA oder dem neuen GUARD Financial Data Act.

Der Fahrplan bis 2028: Was auf Unternehmen zukommt

Die nächsten Jahre werden für IT-Abteilungen nicht einfacher. Nach dem AI Act im August folgt am 11. September 2026 der Cyber Resilience Act – er verschärft die Sicherheitsanforderungen für digitale Produkte im europäischen Markt. Bereits einen Tag früher, am 1. September 2026, weitet die britische Finanzaufsicht FCA ihre Verhaltensregeln auf nicht-finanzielle Vergehen wie Mobbing aus.

Für Unternehmen mit US-Geschäft tickt die Uhr noch lauter. Die kalifornische Datenschutzbehörde CPPA hat eine gestaffelte Einführung verpflichtender jährlicher Cybersicherheitsaudits beschlossen. Ab dem 1. April 2028 sind Unternehmen mit mehr als 100 Millionen Dollar Umsatz betroffen. Parallel dazu werden die CMMC-Anforderungen des US-Verteidigungsministeriums bis November 2028 für alle relevanten Verträge verpflichtend – das betrifft über 100.000 Firmen in der Verteidigungsindustrie.

Für IT-Verantwortliche bedeutet dies: Die Ära der „kontinuierlichen Compliance" und der automatisierten Prüfungen ist kein vorübergehender Trend. Sie ist die neue Realität – und ein dauerhafter Kostenfaktor im digitalen Geschäft.

de | wirtschaft | 69287082 |