DSGVO-Jubiläum: Behörden verschärfen Kontrollen bei KI und Datenpannen

Zehn Jahre nach Einführung der Datenschutz-Grundverordnung (DSGVO) rücken die Aufsichtsbehörden die praktische Durchsetzung von Meldepflichten und die wachsenden Herausforderungen durch Künstliche Intelligenz in den Fokus. Aktuelle Bußgelder in Deutschland und stockende Verhandlungen in Brüssel zeigen: Die Kluft zwischen technologischer Entwicklung und regulatorischer Compliance wird größer.

BVG muss 180.000 Datensätze melden – viel zu spät

Ein aktueller Fall aus Berlin verdeutlicht die Probleme. Die Berliner Verkehrsbetriebe (BVG) erhielten am 4. Mai 2026 eine formelle Verwarnung vom Berliner Datenschutzbeauftragten. Auslöser war ein Cyberangriff auf einen Dienstleister im April 2025, bei dem rund 180.000 Kundendaten kompromittiert wurden. Betroffen waren Namen, Adressen und Vertragsnummern – Bankdaten und Passwörter blieben laut Behörde verschont.

Der Fall der BVG zeigt drastisch, wie lückenhafte Dokumentation und verspätete Meldungen zu Sanktionen führen können. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Die Aufsicht stellte gleich mehrere Verstöße fest. So versäumte es die BVG zu prüfen, ob der Dienstleister die Daten nach Vertragsende tatsächlich gelöscht hatte. Noch schwerer wiegt der zeitliche Verstoß: Obwohl das Unternehmen bereits am 17. April 2025 Hinweise auf den Angriff erhielt, meldete es den Vorfall erst am 30. April 2025. Das sind 13 Tage zu spät – die DSGVO schreibt eine Meldung innerhalb von 72 Stunden vor, und zwar ab dem Zeitpunkt der Kenntnisnahme, nicht nach interner Eskalation.

Ähnliche Fälle häufen sich. In Brandenburg verzeichnete die Datenschutzbehörde einen Anstieg der Beschwerden um zehn Prozent auf insgesamt 1.599 Fälle im vergangenen Jahr. Besonders brisant: Ein Ransomware-Angriff auf eine Arztpraxis, bei dem 8.000 Patientendaten verloren gingen, weil die Backups ebenfalls verschlüsselt waren.

Der Preisdruck auf Mittelständler wächst

Die Aufsichtsbehörden richten ihren Fokus zunehmend auf kleine und mittlere Unternehmen (KMU). Seit 2018 sind kumulierte DSGVO-Strafen von über 4,5 Milliarden Euro verhängt worden. Während spektakuläre Fälle wie die 14,5 Millionen Euro gegen die Deutsche Wohnen SE früh Maßstäbe setzten, liegen die typischen Strafen für kleinere Firmen heute zwischen 5.000 und 100.000 Euro. Hauptauslöser bleiben versäumte Meldefristen und unzureichende technische und organisatorische Maßnahmen nach Artikel 32.

„Shadow AI“: Das unkontrollierte Risiko in Unternehmen

Während die Durchsetzung der DSGVO an Fahrt gewinnt, bleibt der gesetzliche Rahmen für neue Technologien unvollendet. Am 28. April 2026 scheiterten die sogenannten Trilog-Verhandlungen zwischen EU-Mitgliedstaaten und dem Europaparlament zu den „Digital Omnibus“-Änderungen des AI Acts nach zwölfstündigen Diskussionen. Hauptstreitpunkt sind ausnahmen für regulierte Sektoren wie den Maschinenbau, um Doppelregulierungen zu vermeiden.

Angesichts der kommenden EU-KI-Verordnung müssen Unternehmen ihre KI-Systeme jetzt dringend dokumentieren, um rechtliche Risiken zu minimieren. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Überblick über Fristen, Pflichten und Risikoklassen. EU AI Act in 5 Schritten verstehen: Jetzt Gratis-E-Book sichern

Doch die Zeit drängt. Die Pflichten für Hochrisiko-KI-Systeme sollen am 2. August 2026 in Kraft treten. Dann müssen Unternehmen in Bereichen wie Finanzen, Versicherungen und Personalwesen ihre Systeme dokumentieren, testen und registrieren. Die Bereitschaft ist alarmierend gering: Eine Umfrage unter über 1.000 IT-Verantwortlichen ergab, dass nur 37 Prozent vollständigen Überblick über die in ihren Organisationen genutzten KI-Tools haben. 62 Prozent räumten ein, bei der Governance Kompromisse wegen fehlender interner Expertise zu machen.

Das Phänomen der „Shadow AI“ – Mitarbeiter nutzen nicht autorisierte KI-Tools – wird zunehmend als strategisches Kontrollproblem auf Vorstandsebene betrachtet. Sicherheitsforscher fanden heraus, dass fast 20 Prozent aller Datenlecks auf nicht autorisierte KI-Nutzung zurückgehen. Zudem fehlen 97 Prozent der befragten Unternehmen angemessene Sicherheitssysteme für autonome KI-Agenten – obwohl 95 Prozent diese bereits einsetzen.

Erfolg gegen REvil: BKA identifiziert mutmaßlichen Drahtzieher

Im Kampf gegen Cyberkriminalität meldeten die deutschen Strafverfolgungsbehörden einen bedeutenden Erfolg. Das Bundeskriminalamt (BKA) identifizierte im April 2026 einen mutmaßlichen Anführer der berüchtigten REvil-Erpresserbande. Die Gruppe soll zwischen 2020 und 2024 für mindestens 130 Angriffe auf deutsche Ziele verantwortlich sein und einen Schaden von mindestens 35 Millionen Euro verursacht haben.

Die Ermittler nutzten Blockchain-Analysen, um die Finanzströme der Gruppe nachzuverfolgen. Ein Haftbefehl wurde beantragt. Doch die Verfolgung bleibt schwierig: Viele Täter sitzen in Ländern, die keine Auslieferungsabkommen mit Deutschland haben.

Gericht kippt pauschale Schadensersatzklage gegen X

Auch die rechtliche Bewertung von Datenschutzverstößen entwickelt sich weiter. Das Berliner Kammergericht wies am 30. April 2026 eine Musterfeststellungsklage gegen den Betreiber der Plattform X ab. Geklagt worden war auf pauschalen Schadensersatz von mindestens 750 Euro pro Nutzer nach einem Datenleck. Das Gericht erklärte die Klage für unzulässig: Schadensersatzansprüche müssten individuell geprüft werden, nicht pauschal. Der bloße Eintritt eines Datenlecks berechtige nicht automatisch alle betroffenen Nutzer zu einer einheitlichen Entschädigung ohne Nachweis eines individuellen Schadens. Das Urteil ist noch nicht rechtskräftig.

Das KI-Dilemma: Nutzung steigt, Vertrauen sinkt

Aktuelle Marktforschung vom März und April 2026 offenbart ein wachsendes „KI-Dilemma“ in Deutschland. Zwar nutzen 58 Prozent der Bevölkerung inzwischen KI – 15 Prozent davon täglich –, doch das Vertrauen in die Technologie sinkt. Rund 72 Prozent der Bürger äußerten Bedenken wegen einer zu starken Abhängigkeit von US-Anbietern.

Diese Skepsis spiegelt sich in der Wirtschaft wider. Eine Studie des Instituts für Arbeitsmarkt- und Berufsforschung (IAB) zeigt: Der Einsatz generativer KI in deutschen Unternehmen stieg von 5 Prozent im Jahr 2023 auf 25 Prozent im Jahr 2025. Doch 90 Prozent dieser Firmen nutzen kostenlose, öffentlich verfügbare Software statt proprietärer oder europäischer Lösungen.

Die Folge: Rufe nach souveränen europäischen Cloud-Infrastrukturen und Open-Source-Initiativen werden lauter. Einige Technologiekonzerne reagieren bereits. So erhöhte Milestone Systems seine Forschungs- und Entwicklungsausgaben 2025 auf über 28 Prozent des Umsatzes und konzentriert sich dabei auf datenschutzkonformes KI-Training durch den Zukauf spezialisierter Start-ups.

Ausblick: Die nächsten Compliance-Meilensteine

Die regulatorische Landschaft wird sich bis 2027 weiter verdichten. Weltweit treten neue Datenschutzgesetze in Kraft. In den USA gelten ab Ende 2025 neue Regelungen in Delaware, Nebraska und New Jersey. Maryland verbietet gezielte Werbung an Minderjährige und Geofencing um Gesundheitseinrichtungen. Colorado verschiebt die Durchsetzung seines KI-Antidiskriminierungsgesetzes auf den 30. Juni 2026.

Im Gesundheitswesen bereiten sich Kliniken auf verschärfte HIPAA-Sicherheitsregeln vor. Bisher „adressierbare“ Maßnahmen wie Verschlüsselung und Zwei-Faktor-Authentifizierung könnten verpflichtend werden – mit möglicherweise nur 60 Tagen Umsetzungsfrist.

International verschiebt sich die Compliance-Architektur hin zu Indiens Digital Personal Data Protection (DPDP) Act, der im Mai 2027 in Kraft treten soll. Große IT-Dienstleister wie Infosys und SAP haben bereits begonnen, ihre globalen Datenschutzrichtlinien anzupassen. Die Ära fragmentierter Datenschutzstandards weicht einem zunehmend rigiden, global durchgesetzten Regelwerk.

de | wirtschaft | 69281704 |