Datenschutz-Welle rollt: Behörden verschärfen Kontrollen massiv

Die erste Maiwoche brachte gleich mehrere wegweisende Entscheidungen: Die US-Handelsbehörde FTC verhängte ein Verkaufsverbot für sensible Standortdaten gegen den Datenbroker Kochava, Connecticut verabschiedete ein neues Privatsphäre-Gesetz, und die Berliner Datenschutzbeauftragte erteilte den Berliner Verkehrsbetrieben eine formelle Verwarnung. Parallel dazu zeigt eine aktuelle Studie: Die Kluft zwischen gefühlter und tatsächlicher IT-Sicherheit in Unternehmen ist alarmierend groß.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen

Standortdaten und Gesundheitsinformationen im Visier

Am 4. Mai 2026 einigte sich die FTC mit dem Datenbroker Kochava auf einen Vergleich. Das Unternehmen muss künftig den Verkauf sensibler Standortdaten unterlassen, ein strenges Programm für Standortdaten einführen und Zulieferer prüfen. Zudem sind regelmäßige Datenlöschungen und ausdrückliche Einwilligungen der Verbraucher Pflicht. Der Rechtsstreit zog sich seit 2022 hin.

Noch brisanter: Enthüllungen von Anfang Mai zeigen, dass 20 US-Bundesstaaten Bürgerschafts- und Rassedaten aus Gesundheitsmarktplätzen an Werbefirmen weitergaben. Der District of Columbia teilte sogar ethnische Zugehörigkeit, E-Mail-Adressen und Telefonnummern mit sozialen Netzwerken. New York und Virginia ließen Daten über inhaftierte Familienmitglieder oder Gesundheitsanfragen verfolgen. Branchenexperten schätzen, dass über sieben Millionen Amerikaner betroffen sind.

Connecticut reagiert nun gesetzlich: Das Repräsentantenhaus verabschiedete Senate Bill 4 mit 141 zu 6 Stimmen. Das Gesetz etabliert ein zentrales Löschsystem für Verbraucherdaten und reguliert genetische Daten, Gesichtserkennung sowie Kennzeichenscanner. Auch KI-gesteuerte Preismodelle werden adressiert.

BVG-Verwarnung: Lehrstück für Versäumnisse

Ein Paradebeispiel für die Folgen von Nachlässigkeit liefert Berlin. Die Datenschutzbeauftragte verwies die Berliner Verkehrsbetriebe am 4. Mai offiziell in die Schranken. Auslöser: Ein Cyberangriff auf einen Dienstleister im April 2025, bei dem Daten von rund 180.000 Kunden abflossen – Namen, Adressen und Vertragsnummern, aber keine Bankdaten oder Passwörter.

Die Behörde stellte gleich mehrere Verstöße gegen die DSGVO fest: Die BVG hatte die Datenlöschung nicht überwacht und den Vorfall viel zu spät gemeldet. Der Angriff wurde am 17. April 2025 entdeckt, die Meldung erfolgte erst am 30. April – weit außerhalb der 72-Stunden-Frist. Genau diese Verzögerung ist einer der häufigsten Gründe für Strafen. Die kumulierten DSGVO-Bußgelder haben seit 2018 die Marke von 4,5 Milliarden Euro überschritten.

Das Sicherheits-Paradoxon: Viel Vertrauen, wenig Tests

Die Studie „State of Assumed Security 2026“ offenbart ein gefährliches Missverhältnis: 93 Prozent der IT-Sicherheitsmanager halten ihre Maßnahmen für ausreichend – aber nur 30 Prozent testen nach Patches systematisch nach. Gerade einmal elf Prozent der Organisationen schaffen es, kritische Sicherheitsupdates innerhalb von 24 Stunden nach Warnungen von Behörden wie dem BSI oder der ENISA einzuspielen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) reagierte bereits am 7. April 2026 mit den aktualisierten C5:2026-Kriterien. Kernstück ist das Kriterium HR-01: Cloud-Personal muss streng identitätsgeprüft und qualifiziert sein. Bei hohen Schutzanforderungen sind diese Überprüfungen jährlich zu wiederholen. Die Einhaltung wird zunehmend zur Marktzugangsvoraussetzung unter NIS-2 und DORA.

Sovereign AI: Deutsche Server als Trumpf

Die Sorge um Datenhoheit treibt Unternehmen zu privaten Cloud-Infrastrukturen. Anfang Mai erweiterten mehrere IT-Distributoren ihr Angebot um KI-Plattformen, die ausschließlich auf deutschen oder europäischen Servern laufen. Eine Umfrage auf der CloudFest 2026 zeigt: Der Verlust der Datenhoheit und das Risiko falscher KI-Entscheidungen sind die größten Hürden für den KI-Einsatz in Unternehmen. Zwei Drittel der Befragten setzen daher auf souveräne Infrastruktur und Open-Source-Modelle.

Da die EU-KI-Verordnung bereits seit August 2024 gilt, müssen Unternehmen beim Einsatz von KI-Systemen nun konkrete Risikoklassen und Dokumentationspflichten beachten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Überblick über alle Fristen. Kostenlosen Leitfaden zur KI-Verordnung herunterladen

Apple gegen EU: Privatsphäre als Schutzschild?

Der Konflikt zwischen Innovation und Regulierung eskaliert. Am 4. Mai kritisierte ein hochrangiger Apple-Manager die EU scharf. Die verpflichtende Interoperabilität nach dem Digital Markets Act gefährde die Privatsphäre der Nutzer, argumentierte er. Dritte Plattformen könnten sensible Daten wie WLAN-Verbindungsverläufe einsehen. Bereits jetzt hätten sich Markteinführungen KI-gestützter Funktionen wie Echtzeit-Übersetzungen in Europa verzögert.

Parallel dazu tobt der Streit um den EU-„Digital Omnibus“. Im Februar 2026 sprachen sich der Europäische Datenschutzausschuss und der Datenschutzbeauftragte gegen die Einstufung pseudonymisierter Daten als nicht-personenbezogen aus. Ihr Standpunkt: Eine solche Änderung würde den Geltungsbereich der DSGVO aushöhlen. Stand Mai 2026 bleibt die Empfehlung, pseudonymisierte Daten weiterhin als personenbezogen zu behandeln.

Fristen, die Unternehmen kennen müssen

Die kommenden Monate halten mehrere Deadlines bereit:

• Indien: Bis Mai 2027 müssen Unternehmen den Digital Personal Data Protection Act umsetzen. Infosys und Wipro treiben ihre Governance-Strukturen bereits voran.
• Europa: Der Cyber Resilience Act führt ab 11. September 2026 neue Meldepflichten ein. Die vollständigen Produktsicherheitsanforderungen gelten ab Dezember 2027.
• Microsoft: Einmal-Passwörter für externe Freigaben in SharePoint und OneDrive werden ab Mai 2026 abgeschafft. Bis Ende Juli müssen Organisationen auf Gastkonten mit Mehrfaktor-Authentifizierung umstellen.

Geopolitische Risiken beeinflussen zunehmend die Cybersicherheitspolitik. Die EU-Kommission schließt bestimmte ausländische Energietechnologien wie Solar-Wechselrichter schrittweise von EU-finanzierten Projekten aus – aus Sicherheitsgründen. Die Übergangsfrist beginnt am 1. November 2026, die strikte Durchsetzung folgt im April 2027. Die Botschaft ist klar: Cybersicherheit ist längst zur nationalen und wirtschaftlichen Sicherheitsfrage geworden.

de | wirtschaft | 69280771 |