Datenschutz: Neues Gesetz ab 30. Mai ändert Kontrollzuständigkeiten

Neue Gesetze treten in Kraft, KI-Systeme geraten unter die Lupe – und ein Krankenhaus-Hackerangriff zeigt die Verletzlichkeit sensibler Patientendaten.

Neues Datengesetz: Hamburg übernimmt Kontrolle für IoT-Geräte

Seit dem 30. Mai 2026 gilt das Data Act Implementation Act – und verändert die Zuständigkeiten in der Datenschutzaufsicht grundlegend. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ist nun dauerhaft für öffentliche Stellen in Hamburg zuständig – speziell bei Internet-of-Things-Geräten und Notfall-Datenzugriffen etwa bei Naturkatastrophen oder Pandemien.

Für private Unternehmen übernimmt die Bundesnetzagentur die Federführung, eng abgestimmt mit den Datenschutzbehörden. Ein Novum, das die wachsende Bedeutung vernetzter Geräte im Alltag widerspiegelt.

Die Industrie- und Handelskammer Dresden fasste am 29. Mai die Kernpflichten für Unternehmen zusammen: Verarbeitungsverzeichnis (VVT), technisch-organisatorische Maßnahmen (TOMs) und – sobald mindestens 20 Personen mit Datenverarbeitung befasst sind – ein Datenschutzbeauftragter. Die 72-Stunden-Meldepflicht bei Datenpannen und die Pflicht zur Datenschutz-Folgenabschätzung bei risikoreichen Verfahren bleiben zentrale Anforderungen.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten, da Behörden die Dokumentationspflichten immer strenger prüfen. Eine kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verzeichnis rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

KI-Assistenten beschleunigen Compliance – aber Modelle fallen durch

Die Verwaltungslast dieser Vorschriften treibt Unternehmen zunehmend in die Arme der Technologie. Spezialisierte Software wie caralegal verspricht Zeitersparnisse zwischen 60 und 75 Prozent bei der Erstellung von DSGVO-Dokumentationen. Die rechtliche Letztverantwortung bleibt jedoch beim Menschen – ein Punkt, den Experten immer wieder betonen.

Doch die KI-Modelle selbst haben ein Compliance-Problem. Eine Ende Mai veröffentlichte Studie von Aithos zeigt: Kein einziges großes KI-Modell erfüllt alle Anforderungen der DSGVO und des EU AI Acts. Claude Opus 4.7 erreicht mit 54 Prozent die höchste Konformitätsrate – Googles Gemini kommt auf magere zehn Prozent.

Noch schwerer wiegt ein Bericht von Amnesty International mit dem Titel „Unlawful by Design“. Darin heißt es, mehrere prominente Modelle – darunter GPT und Llama – stützten sich auf Daten aus illegalem Web-Scraping. Der US-Bundesstaat Illinois reagierte bereits: Im Mai 2026 verabschiedete er ein neues AI Safety Act (SB 315), das ab 2028 verpflichtende Audits vorschreibt.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnungspflicht. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung jetzt den nötigen Überblick über alle Fristen und Klassen. EU AI Act in 5 Schritten verstehen – Gratis-E-Book sichern

Hackerangriff auf Unimed: 80.000 Patienten in Baden-Württemberg betroffen

Die Verwundbarkeit sensibler Gesundheitsdaten zeigte ein schwerer Vorfall beim Dienstleister Unimed, der im April 2026 entdeckt wurde. Der Hackerangriff traf Zehntausende Privatpatienten und Selbstzahler bundesweit. Allein in Baden-Württemberg meldeten 17 Krankenhäuser Datenvorfälle mit mindestens 80.000 betroffenen Patienten.

Gestohlen wurden nicht nur Namen, Adressen, Geburtsdaten und Kontoverbindungen – sondern auch höchst sensible medizinische Diagnosen und Behandlungsverläufe. Unimed betont, es gebe bislang keine Hinweise auf Datenmissbrauch oder -veröffentlichung. Das Landeskriminalamt Saarland ermittelt.

Kalifornien verklagt 23andMe – Millionen genetische Profile gefährdet

Auch etablierte Tech-Firmen geraten unter Druck. Im Mai 2026 reichte der US-Bundesstaat Kalifornien Klage gegen den DNA-Test-Anbieter 23andMe ein. Grund: ein Datenleck aus dem Jahr 2023, von dem rund sieben Millionen Nutzer betroffen waren. Der Vorwurf: Das Unternehmen habe hochsensible genetische und Gesundheitsdaten unzureichend geschützt und monatelang Warnsignale ignoriert.

Temu: Kundenfoto wird im Geschäft verkauft – DSGVO-Konflikt

Ein Fall aus der Praxis zeigt die Fallstricke von E-Commerce-Plattformen. Eine Kundin entdeckte, dass ihr persönliches Foto – hochgeladen für einen personalisierten Handtuch-Druck – als fertiges Produkt in einem Geschäft auf Malta verkauft wurde. Die Recherche zu Temus Geschäftsbedingungen förderte zutage: Die Plattform beansprucht weltweite, unterlizenzierbare Nutzungsrechte an hochgeladenen Inhalten. Datenschutzexperten sehen darin einen möglichen Verstoß gegen die DSGVO, die freiwillige und informierte Einwilligung verlangt.

Meta überwacht Mitarbeiter – NOYB schlägt Alarm

Metas „Model Capability Initiative“ (MCI) gerät ins Visier der Datenschutzorganisation NOYB. Das Tool überwacht die Computernutzung von US-Angestellten – erfasst werden Mausbewegungen und Aktivitäten in über 200 Apps. Dabei werden auch Daten internationaler Kollegen erfasst, wenn diese zusammenarbeiten. Meta versichert, die Daten seien von identifizierbaren Informationen entkoppelt. NOYB sieht darin eine mögliche Verletzung europäischer Datenschutzstandards.

Digitale Schüler-ID in Baden-Württemberg: Segen oder Fluch?

Seit dem 16. Dezember 2025 gilt in Baden-Württemberg die gesetzliche Grundlage für den digitalen Schülerausweis (§113a Schulgesetz). Jeder Schüler erhält eine lebenslange Identifikationsnummer, die Daten von Kontaktdaten bis zu Gesundheits- und Verhaltensinformationen bündelt. Datenschützer kritisieren die Weite der Datensammlung.

EU-Konsultation zu „Trusted Flaggers“ gestartet

Die EU-Kommission treibt die digitale Governance voran: Bis zum 26. Juni 2026 läuft eine Konsultation zu „Trusted Flaggers“ unter dem Digital Services Act (DSA). Diese vertrauenswürdigen Hinweisgeber sollen illegale Inhalte melden. Über 70 Organisationen – darunter die Bank of Ireland – wurden bereits benannt. In Deutschland koordiniert die Bundesnetzagentur das Verfahren.

de | wirtschaft | 69454419 |