Datenschutz in Deutschland: Behörden sparen, Unternehmen zahlen

Der europäische Datenschutz steht vor einem grundlegenden Wandel – während Aufsichtsbehörden sparen müssen, steigen die Anforderungen an Unternehmen massiv.

Personalkürzungen in Baden-Württemberg: Sparen auf Kosten des Datenschutzes?

Die neue Koalition in Baden-Württemberg hat Anfang Mai 2026 eine drastische Entscheidung getroffen: Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) soll rund 40 Prozent seiner Stellen verlieren. Die Regierung begründet diesen Schritt mit der Haushaltskonsolidierung und einer Modernisierung der Verwaltung.

Angesichts schrumpfender Behördenressourcen und gleichzeitig steigender Compliance-Anforderungen müssen Firmen ihre Datenschutz-Dokumentation jetzt eigenverantwortlich absichern. Diese kostenlose Excel-Vorlage hilft Ihnen, das gesetzlich geforderte Verarbeitungsverzeichnis rechtssicher und mit minimalem Zeitaufwand zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Doch Datenschützer schlagen Alarm. Der Verband Deutscher Datenschutzbeauftragter (DVD) sieht darin einen möglichen Verstoß gegen die DSGVO. Diese schreibt nämlich vor, dass Aufsichtsbehörden über ausreichende Mittel verfügen müssen, um ihre Aufgaben wirksam zu erfüllen.

Der amtierende Datenschutzbeauftragte Tobias Keber warnte bereits im Frühjahr 2026: Solche Einschnitte könnten dazu führen, dass lokale Ansprechpartner für Bürger und Unternehmen wegfallen. Besonders brisant: Während die Datenschutzbehörde schrumpft, werden gleichzeitig die Befugnisse der Strafverfolgungsbehörden ausgeweitet – etwa beim Einsatz biometrischer Gesichtserkennung.

Die Folge für Unternehmen: Längere Wartezeiten auf behördliche Auskünfte bei gleichzeitig steigenden Compliance-Anforderungen.

100 Millionen Euro Strafe: Yango zeigt die Risiken internationaler Datentransfers

Ein spektakulärer Fall aus den Niederlanden macht deutlich, wie teuer Verstöße werden können. Am 1. April 2026 verhängte die niederländische Datenschutzbehörde (AP) gemeinsam mit finnischen und norwegischen Aufsichtsbehörden ein Rekordbußgeld von 100 Millionen Euro gegen MLU B.V., den Betreiber des Transportdienstes Yango.

Der Vorwurf: Das Unternehmen hatte systematisch personenbezogene Daten europäischer Nutzer auf Server in Russland übertragen – ohne ausreichende Schutzmaßnahmen. Standortdaten, Chatverläufe und Finanzinformationen waren für russische Stellen zugänglich.

Die Aufsichtsbehörden stellten klar: Standardvertragsklauseln (SCCs) reichen in diesem Fall nicht aus, weil russische Sicherheitsgesetze einen breiten Zugriff auf Daten erlauben. Zudem fehlte die funktionale Unabhängigkeit zwischen den beteiligten Unternehmen – ein und derselbe Geschäftsführer kontrollierte sowohl den europäischen Betreiber als auch die russischen Empfängerfirmen.

Die Botschaft an alle Unternehmen: Datentransfers in Drittländer erfordern eine strenge rechtliche Prüfung und technische Absicherung – etwa durch Verschlüsselung, die auch ausländischen Behörden standhält.

Brandenburg: Polizei-Daten ungeschützt im Netz

Doch nicht nur internationale Konzerne haben Probleme. Der Tätigkeitsbericht 2025 des Brandenburger Datenschutzbeauftragten offenbart alarmierende Sicherheitslücken in öffentlichen Einrichtungen.

Ein Netzwerkspeicher der Polizei für Bürgerhinweise war jahrelang ungeschützt im Internet erreichbar. Insgesamt verhängte die Behörde im Jahr 2025 rund 109.000 Euro Bußgelder bei knapp 1.600 Beschwerden – von nicht genehmigten KI-Chatbots in Schulen bis zur Veröffentlichung von Kundendaten in sozialen Netzwerken.

Hinweisgeberschutz: Pflicht wird Realität

Für viele Organisationen geht Compliance heute weit über den Datenschutz hinaus. Seit Anfang Mai 2026 haben Einrichtungen wie St. Otger Stadtlohn und Schweissguth-Catering spezialisierte Meldesysteme eingeführt – ein klares Zeichen, dass der Hinweisgeberschutz in der Praxis ankommt.

Die korrekte Umsetzung interner Meldesysteme ist für betroffene Organisationen mittlerweile unumgänglich, um hohe Bußgelder und Haftungsrisiken zu vermeiden. Ein kostenloser Praxisleitfaden zeigt Ihnen Schritt für Schritt, wie Sie die Anforderungen des Hinweisgeberschutzgesetzes rechtssicher und DSGVO-konform in Ihrem Betrieb organisieren. Gratis-Download für HR- und Datenschutzverantwortliche anfordern

Die Notwendigkeit solcher Systeme zeigt der Fall des Schweizers André Plass. Er deckte Unregelmäßigkeiten bei Herzoperationen am Universitätsspital Zürich auf – und stand trotz Bestätigung seiner Vorwürfe massiven persönlichen Anfeindungen gegenüber. Transparency Schweiz betont: Der Schutz von Whistleblowern bleibt ein entscheidender Faktor für die Integrität von Institutionen.

KI-Training: Meta und die Grenzen der Datenverwendung

Die rasante Entwicklung Künstlicher Intelligenz stellt Website-Betreiber vor neue Herausforderungen. Im Frühjahr 2025 kündigte Meta an, öffentliche Inhalte von Facebook und Instagram ab dem 27. Mai 2025 für das Training seiner KI-Systeme zu nutzen.

Die Verbraucherzentrale Nordrhein-Westfalen erwirkte daraufhin eine Abmahnung. Meta argumentierte zwar, solche Einschränkungen würden den technologischen Fortschritt in Deutschland behindern – doch die Debatte zeigt den grundlegenden Konflikt zwischen datengetriebener Innovation und informationeller Selbstbestimmung.

EuGH stärkt Rechte der Tech-Konzerne

Der Europäische Gerichtshof (EuGH) hat mit einem Urteil vom 10. Februar 2026 (Rechtssache C-97/23 P) klargestellt: Technologieunternehmen dürfen verbindliche Anordnungen des Europäischen Datenschutzausschusses (EDSA) direkt anfechten. Der Fall geht auf eine 225-Millionen-Euro-Strafe gegen WhatsApp aus dem Jahr 2021 zurück.

Neue Fristen: Was kommt auf Unternehmen zu?

Der Blick nach vorne zeigt: Die Compliance-Anforderungen verschärfen sich weiter:

• Ab 1. Juli 2026 gilt eine strenge Ausschlussfrist für die Vorlage von Nachweisen bei Sozialleistungen
• Am 2. Dezember 2026 treten die Regeln zur KI-Kennzeichnung und das Verbot nicht einwilligungsbasierter Deepfakes in Kraft – mit Strafen bis zu 15 Millionen Euro oder 7 Prozent des weltweiten Umsatzes
• Für Hochrisiko-KI-Systeme gilt eine verlängerte Frist bis zum 2. Dezember 2027

Kollektivklagen: Berliner Gericht bremst

Das Kammergericht Berlin wies am 30. April 2026 eine Sammelklage gegen die Plattform X (ehemals Twitter) ab (Az. 20 VKI 1/25). Die Richter stellten klar: Schadensersatzansprüche nach der DSGVO erfordern eine Einzelfallprüfung und eignen sich nicht für standardisierte Sammelklagen.

Die Botschaft: Während die Bußgelder steigen, bleibt der individuelle Schadensersatz über Massenklagen rechtlich schwierig.

Fazit: Unternehmen in der Pflicht

Für Betriebe und Website-Betreiber bedeutet dies: Die kommenden Monate erfordern einen doppelten Fokus. Einerseits müssen interne Datenschutz- und Hinweisgebersysteme auf dem neuesten Stand sein. Andererseits gilt es, die sich ständig ändernden Regeln zu KI und internationalen Datentransfers im Blick zu behalten.

Die Personalreduktion bei den Aufsichtsbehörden könnte bedeuten: Die Verantwortung für proaktive Compliance liegt mehr denn je bei den Unternehmen selbst.

de | wirtschaft | 69302873 |