DSGVO-Jubiläum: Neue Regeln für Datenzugriff und KI

Gleich mehrere Gerichtsurteile und Gesetzesinitiativen haben die Spielregeln für den Umgang mit personenbezogenen Daten neu definiert. Besonders betroffen: Personalabteilungen, Kundenservice und KI-Entwickler.

Viele Firmen unterschätzen das Risiko – lückenhafte Dokumentationen können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Eine kostenlose Excel-Vorlage hilft Ihnen dabei, die gesetzliche Dokumentationspflicht für Ihre Datenverarbeitung rechtssicher und zeitsparend zu erfüllen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Gerichte ziehen rote Linien

Der spanische Oberste Gerichtshof hat klargestellt: Der Datenschutz greift bereits ab dem Moment einer Datenanfrage – unabhängig davon, ob die Informationen tatsächlich übermittelt werden. Im konkreten Fall verlangte eine Justizvollzugsbehörde von einem kranken Mitarbeiter medizinische Diagnosedaten für eine kurze Krankschreibung. Das Gericht sah darin einen Verstoß gegen das Prinzip der Datenminimierung (Artikel 5 DSGVO), da eine spezifische Diagnose für den Verwaltungsvorgang nicht erforderlich war.

Für Personalabteilungen und Kundendienstteams bedeutet das: Ein Antragsformulare und Anfrageprozesse müssen dringend auf den Prüfstand. Wer unnötige persönliche Daten abfragt, verstößt gegen geltendes Recht.

Missbrauch von Auskunftsrechten

Der Europäische Gerichtshof (EuGH) hat im Frühjahr zudem klargestellt, dass Auskunftsersuchen nach Artikel 15 DSGVO in bestimmten Fällen als Rechtsmissbrauch eingestuft werden können. Im Verfahren „Brillen Rottler" vom 19. März 2026 entschieden die Luxemburger Richter: Wer Schadensersatz wegen DSGVO-Verstößen fordert, muss einen tatsächlichen Schaden nachweisen – eine bloße Verfahrensverletzung reicht nicht.

Diese Entscheidung dürfte Unternehmen entlasten, die mit „Nerv-Anträgen" konfrontiert sind, deren einziges Ziel die administrative Belastung ist.

Digital Omnibus: Mehr Flexibilität geplant

Die EU-Kommission hat am 19. November 2025 das Reformpaket „Digital Omnibus" vorgeschlagen. Ziel: Die digitalen Vorschriften vereinfachen und Innovationen fördern. Die wichtigsten Änderungen im Überblick:

• Datenschutzverletzungen: Die Meldefrist könnte von 72 auf 96 Stunden verlängert werden
• Cookie-Müdigkeit: Statt „Opt-in" wäre künftig ein „Opt-out"-Modell denkbar
• KI-Training: Künstliche Intelligenz könnte auf Basis „berechtigter Interessen" mit personenbezogenen Daten trainiert werden – statt nur mit expliziter Einwilligung

In Deutschland ist die NIS-2-Richtlinie seit dem 6. Dezember 2025 in Kraft. Rund 30.000 Unternehmen sind betroffen. Die Botschaft: Auch wenn manche Regeln gelockert werden – die Durchsetzung von Cybersicherheitsstandards bleibt hoch.

Verhandlungen stocken – KI-Frist rückt näher

Trotz des Reformeifers stocken die Trilog-Verhandlungen zum Digital Omnibus und zum EU AI Act. Seit dem 28. und 29. April 2026 gibt es keine Einigung. Hauptstreitpunkt: Soll KI, die in bestimmte Produkte wie Medizinprodukte oder Industriemaschinen integriert ist, unter das allgemeine KI-Gesetz fallen oder sektorspezifischen Regeln folgen?

Das Europaparlament befürwortet eine Ausnahme, Rat und Kommission sind dagegen. Ohne Lösung droht Unternehmen ein böses Erwachen: Die meisten Vorschriften des EU AI Act, insbesondere für Hochrisiko-KI-Systeme, treten am 2. August 2026 in Kraft. Betroffen sind Systeme in kritischer Infrastruktur, Bildung und Bonitätsprüfung. Die Anforderungen: Konformitätsbewertungen, umfangreiche technische Dokumentation und ein bevollmächtigter Vertreter in der EU.

Angesichts der neuen Anforderungen des EU AI Acts brauchen IT- und Rechtsabteilungen jetzt dringend einen klaren Überblick über Fristen und Risikoklassen. Dieser kostenlose Umsetzungsleitfaden hilft Ihnen, die komplexen Regeln der KI-Verordnung in nur 5 Schritten zu verstehen. EU AI Act Leitfaden jetzt kostenlos anfordern

Rückzug aus der Cloud

Eine umfrage des Speicheranbieters Cloudian unter IT-Entscheidern zeigt einen klaren Trend: 79 Prozent der Organisationen haben KI-Workloads aus der öffentlichen Cloud abgezogen oder planen dies. Grund: Datensouveränität. 91 Prozent bevorzugen On-Premises-, Private- oder Hybrid-Umgebungen, um die Kontrolle zu behalten und DSGVO-konform zu bleiben.

Dieser trend fällt mit einer zunehmend bedrohlichen Sicherheitslage zusammen. Sicherheitsforscher beobachten einen Anstieg KI-gesteuerter Phishing-Angriffe. Ende April 2026 identifizierten Sicherheitsfirmen Kampagnen, bei denen Angreifer legitime Microsoft-365-Infrastruktur manipulierten und mit „Punkt-Tricks" in E-Mail-Diensten Standard-Authentifizierungsprotokolle wie SPF und DKIM umgingen.

Analyse: Zehn Jahre DSGVO – eine Zwischenbilanz

Die aktuelle Entwicklung zeigt: Die DSGVO ist erwachsen geworden. Regulierer und Gerichte schauen nicht mehr nur auf die Existenz von Datenschutzerklärungen, sondern prüfen die praktische Anwendung von Datenminimierung und die Validität von Schadensersatzforderungen.

Der „Digital Omnibus" signalisiert, dass die EU versucht, strenge Datenschutzvorgaben mit der wirtschaftlichen Notwendigkeit zu verbinden, im globalen KI-Wettbewerb nicht abgehängt zu werden.

Doch die Fragmentierung der Gesetze bleibt eine Herausforderung. Während die EU auf einen einheitlichen digitalen Rahmen zusteuert, herrscht in den USA weiterhin ein Flickenteppich einzelstaatlicher Regelungen. Allein 2025 führten acht US-Bundesstaaten neue Datenschutzgesetze ein. Marylands MODPA verbietet seit dem 1. Oktober 2025 Werbung, die sich an Minderjährige richtet. Neue Bundesvorschläge wie der SECURE Data Act und der GUARD Financial Data Act, Ende April 2026 eingebracht, zielen auf eine Modernisierung des Finanzdatenschutzes ab.

Ausblick: Was kommt auf Unternehmen zu?

Der Rest des Jahres 2026 wird von der Umsetzung des EU AI Act und der Debatte um digitale Souveränität geprägt sein. Bis Jahresende müssen die Mitgliedstaaten die EU Digital ID Wallet bereitstellen – ein Schritt, der die digitale Identität weiter in das regionale Datenökosystem integriert.

Die Bundesregierung setzt unterdessen auf „souveräne KI", um die Abhängigkeit von ausländischen Technologieanbietern zu verringern. Digitalminister Wildberger und Wirtschaftsminister Reiche unterstützen Empfehlungen, den Staat als „Ankerkunden" für europäische KI-Infrastruktur zu positionieren.

Bis zum 2. August müssen Unternehmen ihre Governance-Rahmenwerke für Hochrisiko-KI finalisieren – oder riskieren empfindliche Strafen. Unter dem aktuellen KI-Gesetz drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Ein Modell, das an die Durchsetzungsmechanismen der DSGVO erinnert. Juristen empfehlen: Unternehmen sollten detaillierte Anwendungsfallregister führen und abgestufte Risikomanagementsysteme implementieren, um die Übergangsphase zu meistern.

de | wirtschaft | 69264459 |