Datenschutz im Mai 2026: Behörden verschärfen Gangart gegen Tech-Konzerne

Während Ermittlungen gegen große Plattformen und regionale Unternehmen zunehmen, entwickelt sich der Datenschutzkoordinator vom reinen Berater zum zentralen Risikomanager. Regulierungsbehörden in Europa, Nordamerika und Afrika signalisieren eine Null-Toleranz-Politik bei illegalen Datentransfers und verspäteten Meldungen. Gleichzeitig zwingt der bevorstehende EU AI Act Unternehmen zu einer grundlegenden Neubewertung ihrer Hochrisiko-Datensysteme.

Der Fall der BVG verdeutlicht, wie kritisch die Kontrolle von Dienstleistern und die Einhaltung von Dokumentationspflichten für die Haftung sind. Mit dieser kostenlosen Muster-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis zeitsparend und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Excel-Vorlage und Anleitung jetzt gratis herunterladen

Irland leitet Untersuchung gegen Shein ein

Am 5. Mai 2026 eröffnete die irische Datenschutzkommission (DPC) ein formelles Verfahren gegen den internationalen E-Commerce-Riesen Shein. Im Fokus stehen die Datentransfers europäischer Nutzer nach China, die über die Regionalzentrale in Dublin abgewickelt werden. Der Schritt folgt auf frühere DPC-Maßnahmen, darunter eine Rekordstrafe von 530 Millionen Euro gegen TikTok sowie Anordnungen zur Aussetzung bestimmter Datentransfers. Die Behörde zeigt damit einmal mehr, dass sie grenzüberschreitende Datenflüsse genau unter die Lupe nimmt.

Parallel dazu reichte die Datenschutzorganisation Noyb am selben Tag eine Beschwerde gegen LinkedIn bei der österreichischen Datenschutzbehörde ein. Der Vorwurf: Das berufliche Netzwerk soll Nutzerdaten unrechtmäßig verkauft haben. Die Organisation kritisiert einen vermeintlichen Widerspruch: Während LinkedIn die vollständige Offenlegung personenbezogener Daten unter dem Deckmantel des Datenschutzes verweigere, biete es gleichzeitig Funktionen wie die Besucherverfolgung von Profilen als kostenpflichtigen Premium-Dienst an.

USA: Vergleich mit Datenbroker Kochava

Der Druck auf sensible Daten beschränkt sich nicht auf Europa. Am 4. Mai 2026 einigte sich die US-Handelsbehörde FTC mit dem Datenbroker Kochava und seiner Tochter CDS auf einen Vergleich. Das Unternehmen darf künftig keine sensiblen Standortdaten mehr ohne ausdrückliche Einwilligung der Verbraucher verkaufen. Die FTC hatte bereits im August 2022 Klage eingereicht, weil Kochava Bewegungen zu sensiblen Orten wie medizinischen Kliniken und Gotteshäusern verfolgte. Zu den Auflagen gehören ein Sensible-Orte-Programm, Lieferantenprüfungen und strenge Löschfristen.

BVG in Berlin: Verspätete Meldung und fehlende Kontrolle

Die Berliner Datenschutzbeauftragte Meike Kamp erteilte dem Verkehrsbetrieb BVG am 4. Mai 2026 eine formelle Verwarnung. Auslöser war ein Cyberangriff auf einen Dienstleister im Frühjahr 2025, bei dem 180.000 Kundendatensätze – darunter Namen, Adressen und Vertragsnummern – offengelegt wurden.

Die Behörde stellte zwei gravierende Verstöße gegen die DSGVO fest: Erstens hatte die BVG nicht sichergestellt, dass der Dienstleister Daten fristgerecht löschte. Zweitens meldete das Unternehmen den Vorfall zu spät – obwohl der Bruch intern am 17. April 2025 entdeckt wurde, ging die offizielle Meldung erst am 30. April 2025 ein. Die verspätete Meldung und die mangelnde Kontrolle über Drittanbieter haben nun ein Prüfverfahren zu möglichen Schadensersatzansprüchen ausgelöst. Die Verjährungsfrist beträgt drei Jahre.

Brandenburg: Beschwerden steigen um zehn Prozent

Auch in Brandenburg wächst der Druck. Die Zahl der Datenschutzbeschwerden stieg 2025 um zehn Prozent auf knapp 1.600 Fälle. Besonders auffällig: Videoüberwachungsstreitigkeiten legten um 30 Prozent zu. Ein Campingplatzbetreiber musste eine Geldstrafe im hohen vierstelligen Bereich zahlen, weil er 14 Kameras installiert hatte – ohne nachweisbare Sicherheitsbedrohung.

International sorgte ein Fall in Kenia für Aufsehen. Die dortige Datenschutzbeauftragte (ODPC) verurteilte die Nairobi Academy zur Zahlung von umgerechnet rund 4.500 Euro. Die Schule hatte im August 2025 die Prüfungsergebnisse eines Minderjährigen ohne Einwilligung in einer nationalen Zeitung veröffentlicht – trotz gegenteiliger Zusicherungen gegenüber den Eltern.

EU AI Act: Nur jedes siebte Unternehmen bereit

Während Unternehmen bereits mit den aktuellen DSGVO-Anforderungen kämpfen, rückt der EU AI Act näher. Ab dem 2. August 2026 gilt die Verordnung für die meisten Sektoren, darunter Hochrisikosysteme in Personalabteilungen, Kreditwürdigkeitsprüfungen und kritischer Infrastruktur.

Eine aktuelle Studie von PwC Irland zeigt eine alarmierende Lücke: Zwar haben 77 Prozent der irischen Organisationen ihre „Responsible AI"-Reise begonnen, doch nur 14 Prozent sind vollständig auf die Anforderungen des AI Act vorbereitet. Fast zwei Drittel der Befragten nennen fehlende Ressourcen als größtes Hindernis.

Angesichts der bevorstehenden Fristen des EU AI Acts müssen Unternehmen jetzt ihre Risikoklassen und Dokumentationspflichten genau prüfen. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den notwendigen Überblick über alle Anforderungen und Übergangsfristen. E-Book zur EU-KI-Verordnung kostenlos anfordern

Datensouveränität: Europäische Unternehmen suchen Alternativen

Die Herausforderung der Datensouveränität wird zum zentralen Entscheidungskriterium für europäische Unternehmen. Ein Bericht von Kiteworks aus dem Jahr 2025 zeigt: 32 Prozent der EU-Firmen erlebten im Vorjahr einen Datensouveränitätsvorfall. Viele identifizierten strukturelle Schwachstellen – etwa das Fehlen exklusiver Kontrolle über Verschlüsselungsschlüssel.

Die Folge: Eine steigende Nachfrage nach regionalen Unified-Communications-Anbietern, die Datenresidenz und Hybrid-Cloud-Modelle bieten. Dahinter steckt die Sorge vor dem US-amerikanischen CLOUD Act, der US-Behörden den Zugriff auf Daten auf US-kontrollierten Servern erlaubt – unabhängig vom physischen Standort.

BSI C5:2026: Strengere Anforderungen an Cloud-Dienste

Seit dem 7. April 2026 gelten verschärfte Kriterien des BSI C5:2026. Die neuen Standards erhöhen die Hürden für die Personalsicherheit (HR-01) in Cloud-Diensten deutlich. Anbieter müssen nun eine rigorose Identitätsprüfung, Lebenslauf-Verifizierung und Hintergrundchecks für Mitarbeiter durchführen. Bei Diensten mit hohen Schutzanforderungen sind diese Prüfungen jährlich zu wiederholen. Die Maßnahmen gelten als wesentlich für die Einhaltung der NIS2-Richtlinie und der Digital Operational Resilience Act (DORA).

EU debattiert „Digital Omnibus on AI"

Die Regulierungslandschaft befindet sich im Fluss. Ein politischer Trilog am 28. April 2026 zum geplanten „Digital Omnibus on AI" endete ohne Konsens. Streitpunkt: Wie sollen Konformitätsbewertungen für KI in regulierten Produkten wie Medizingeräten und Fahrzeugen aussehen? Zwar gibt es eine vorläufige Einigung, einige Hochrisikopflichten möglicherweise auf Ende 2027 oder 2028 zu verschieben – doch der Stichtag 2. August 2026 bleibt vorerst der primäre Zieltermin für Compliance-Abteilungen.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) lehnen zudem geplante Änderungen zur Pseudonymisierung ab. In einer gemeinsamen Stellungnahme von Anfang 2026 sprachen sich die Regulierer gegen neue Kriterien aus, die pseudonymisierte Daten nicht mehr als personenbezogene Daten einstufen würden. Ein solcher Schritt würde den Geltungsbereich der DSGVO faktisch verändern, so die Argumentation.

Ausblick: Kontinuierliche Compliance wird Pflicht

Für die zweite Jahreshälfte 2026 zeichnet sich eine weitere Verschärfung ab. Der Cyber Resilience Act (CRA) führt ab dem 11. September 2026 neue Meldepflichten für Sicherheitslücken ein – eine zusätzliche Belastung besonders für kleine und mittlere Unternehmen. Der Deutsche Industrie- und Handelskammertag (DIHK) warnt bereits, dass die Komplexität der Vorschriften einige Firmen dazu bewegen könnte, Produkte vom Markt zu nehmen, um die Compliance-Kosten und mögliche Strafen zu vermeiden. Diese können unter dem AI Act bis zu sieben Prozent des Jahresumsatzes betragen.

Für Datenschutzkoordinatorinnen und -koordinatoren stehen in den kommenden Monaten drei Schwerpunkte im Fokus: die Prüfung von KI-Algorithmen auf Transparenz, die Sicherung von Drittanbieter-Lieferketten gegen Datenlecks und der Aufbau von „Responsible AI"-Rahmenwerken, die global skalieren. Wie die jüngsten Verfahren gegen Plattformen wie X und Meta zeigen, verlangen Gerichte zunehmend individualisierten Schadensnachweis in DSGVO-Fällen. Doch die administrativen und reputativen Risiken der Nichteinhaltung bleiben der stärkste Treiber für Investitionen in Datenschutzinfrastruktur.

de | wirtschaft | 69282134 |