DSGVO-Bußgelder überschreiten die 6-Milliarden-Euro-Marke

Die europäischen Datenschutzbehörden verschärfen ihren Kurs: Die Gesamtsumme der verhängten DSGVO-Strafen hat im März 2026 offiziell die 6 Milliarden Euro überschritten. Das zeigt der aktuelle CMS Enforcement Tracker Report.

Während sich die frühen Bußgelder vor allem auf formale Verstöße wie fehlende Registrierungen konzentrierten, rücken die Aufsichtsbehörden nun die operative Compliance in den Fokus. Besonders im Visier: Transparenz bei der Datenverarbeitung, Cybersicherheitsprotokolle und der Umgang mit Mitarbeiterdaten. Deutsche Rechtsexperten beobachten eine zunehmende Konzentration auf die Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten – und den wachsenden Einfluss kollektiver Rechtsschutzinstrumente.

Die steigenden Bußgelder zeigen, dass lückenhafte Dokumentationen für Unternehmen existenzbedrohend sein können. Mit einer geprüften Excel-Vorlage erstellen Sie Ihr notwendiges Verzeichnis der Verarbeitungstätigkeiten rechtssicher und zeitsparend. DSGVO-Muster-Verarbeitungsverzeichnis jetzt kostenlos herunterladen

Gerichte ziehen Grenzen bei Datenzugriff und „DSGVO-Hopping"

Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 klare Kante gegen sogenannte „DSGVO-Hopper" gezeigt – Personen, die Auskunftsersuchen vor allem stellen, um Schadensersatzforderungen zu provozieren. Das Gericht urteilte: Ein erstes Auskunftsersuchen kann als missbräuchlich eingestuft werden, wenn es ausschließlich darauf abzielt, eine Entschädigungsklage auszulösen.

Zudem stellte der EuGH klar: Ein bloßer Kontrollverlust über persönliche Daten gewährt noch keinen automatischen Anspruch auf immateriellen Schadensersatz. Die Unternehmen müssen zwar weiterhin die Ablehnung von Auskunftsersuchen rechtfertigen – erhalten aber gleichzeitig einen Schutzschild gegen opportunistische Klagen.

Das Bundesarbeitsgericht (BAG) hat ebenfalls Maßstäbe gesetzt. Bei der Auslegung von Artikel 15 DSGVO entschieden die Richter: Pauschale Forderungen – etwa die Herausgabe sämtlicher E-Mails, in denen der Name eines Mitarbeiters vorkommt – sind zu vage. Stattdessen müssen Arbeitnehmer die gesuchte Kommunikation präzise benennen. Die Justiz zeigt damit: Datenschutzrechte sollen nicht als Waffe in Arbeitskonflikten instrumentalisiert werden.

Ganzheitliche Compliance und die neue Rolle des Datenschutzbeauftragten

Mit der Ausweitung der Regulierungslandschaft auf die NIS2-Richtlinie, den Digital Operational Resilience Act (DORA) und den EU AI Act empfehlen Experten einen ganzheitlichen Compliance-Ansatz. Unternehmen sind gut beraten, Datenschutzsysteme mit IT-Sicherheit und KI-Governance zu verzahnen – statt parallele Verwaltungsstrukturen aufzubauen. Oft lassen sich bestehende DSGVO-Rahmenwerke problemlos auf die Sicherheitsanforderungen von NIS2 ausweiten.

Die praktische Arbeitsbelastung für Datenschutzbeauftragte ist massiv gestiegen – besonders für jene, die weit verbreitete Cloud-Umgebungen betreuen. Bei Nutzung von Microsoft 365 gehören dazu:

• Konfiguration der Telemetriestufen und Überprüfung der EU-Datengrenze
• Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
• Bewertung generativer KI-Funktionen wie Copilot in der Unternehmensinfrastruktur
• Verwaltung von Auftragsverarbeitungsverträgen (AVVs)

Die Komplexität dieser Aufgaben hat die Nachfrage nach speziellen Schulungen explodieren lassen. Der bpa hat für Ende Juni 2026 ein Grundlagenseminar für Datenschutzbeauftragte in der Pflege- und Behindertenhilfe angesetzt.

Besonders bei komplexen Cloud-Diensten ist die Datenschutz-Folgenabschätzung (DSFA) heute eine unverzichtbare Pflichtaufgabe für Verantwortliche. Dieser praxisnahe Leitfaden liefert Ihnen fertige Word-Muster und Checklisten, um Bußgelder von bis zu 2 % des Jahresumsatzes sicher zu vermeiden. Kostenloses E-Book zur rechtssicheren DSFA-Erstellung sichern

KI-Governance und die neue Welle des Phishings

Die rasante Verbreitung Künstlicher Intelligenz hat eine Lücke zwischen Modell-Governance und tatsächlicher Nutzung aufgerissen. Eine aktuelle Analyse eines Berufsstands ergab: Von 23 aktiv genutzten KI-Tools waren nur fuer durch Auftragsverarbeitungsverträge abgesichert. Die Bundessteuerberaterkammer (BStBK) reagierte im Februar 2026 mit aktualisierten Leitlinien: Kanzleien müssen nun umfassende KI-Verzeichnisse und interne Nutzungsrichtlinien vorhalten.

Parallel dazu nutzen Kriminelle KI für immer raffiniertere Angriffe. Marktforscher registrierten in der zweiten Jahreshälfte 2025 eine Verfünffachung von QR-Code-Phishing („Quishing"). Diese Angriffe umgehen traditionelle Sicherheitsfilter, indem sie ASCII-basierte Grafiken statt Bilddateien verwenden. Seit Mitte Mai 2025 läuft zudem eine massive Phishing-Kampagne gegen Kryptowährungsnutzer – unter Missbrauch legitimer Cloud-Dienste und gültiger E-Mail-Signaturen großer Anbieter wie Google.

Die Schäden durch Social Engineering beliefen sich in der zweiten Jahreshälfte 2025 auf knapp eine Milliarde Euro. Das unterstreicht: Technische Schutzmaßnahmen müssen mit rechtlicher Compliance Hand in Hand gehen.

Deutsche Unternehmen im Rückstand bei Cybersicherheit

Der Druck auf deutsche Sicherheitsteams wächst – bei zunehmend fragmentierten technischen Umgebungen. Eine Studie von Vanson Bourne im Auftrag von Armis zeigt: 66 Prozent der deutschen Unternehmen haben keine vollständige Kontrolle über ihre vernetzten Geräte. 38 Prozent der Sicherheitsteams fühlen sich von der Flut an Bedrohungsinformationen überfordert.

Besonders alarmierend: Nur rund sechs Prozent der deutschen Unternehmen haben eine Zero-Trust-Architektur vollständig implementiert – deutlich unter dem globalen Durchschnitt von 25 Prozent.

Technologische Lösungen versuchen, diese Lücke zu schließen. Unternehmen wie Enginsight und Controlware setzen auf „Made in Germany"-Sicherheitsplattformen und Partnerschaften zum Schutz kritischer Infrastrukturen – speziell zugeschnitten auf NIS2 und das Energiewirtschaftsgesetz (EnWG). Innovationen wie die VISSBOX, die externe Inhalte durch physische Hardware von internen Kliniksystemen isoliert, zeigen einen Trend zur hardwarebasierten Sicherheit als Ergänzung zu Softwarelösungen.

Ausblick: Die Zukunft der Datenverarbeitung

Die digitale Datenverarbeitung in Deutschland wird maßgeblich vom Patientendatenschutzgesetz (PDSG) geprägt. Ein Meilenstein steht 2025 bevor: die automatische Einrichtung elektronischer Patientenakten (ePA) im Opt-out-Verfahren. Das zwingt Gesundheitsdienstleister und Krankenkassen, riesige Mengen sensibler Gesundheitsdaten zu verwalten – bei gleichzeitiger Sicherstellung der Patientenrechte.

Parallel beschleunigt sich der Abschied vom traditionellen Passwort. Große Technologieanbieter machen Passkeys (FIDO2) zunehmend zum Standard für Cloud- und Unternehmenskonten. Der entscheidende Vorteil: Der private Schlüssel verlässt niemals das Gerät des Nutzers. Damit verschiebt sich der Fokus des Datenschutzes – weg von der Abwehr von Zugangsdaten-Diebstahl, hin zur Sicherung der Geräte selbst, die diese digitalen Schlüssel beherbergen.

de | wirtschaft | 69401334 |