DSGVO-Jubiläum: Sechs Milliarden Euro Bußgelder und neue Hürden für Unternehmen

Zehn Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2016 hat die Summe verhängter Bußgelder erstmals die Sechs-Milliarden-Euro-Marke geknackt. Für deutsche Unternehmen wird die Lage gleich doppelt brisant: Künstliche Intelligenz und die neue NIS2-Sicherheitsrichtlinie treiben den Compliance-Druck auf ein Rekordniveau.

Die Entwicklung ist dramatisch. Während 2025 immerhin 71 Prozent der Unternehmen die DSGVO weitgehend umgesetzt hatten – 2018 waren es gerade einmal sieben Prozent –, empfinden gleichzeitig 81 Prozent der Betriebe den Datenschutz als Belastung für ihre Geschäftsprozesse. Vor einem Jahrzehnt lag dieser Wert noch bei 25 Prozent.

Angesichts der rasant steigenden Bußgelder ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Der KI-Konflikt und ein neues Gesetz für den Arbeitsplatz

Die größte Baustelle der europäischen Digitalwirtschaft ist der Widerspruch zwischen Datenschutz und Künstlicher Intelligenz. 69 Prozent der Unternehmen sehen sich durch die aktuellen Regeln massiv beim Training von KI-Modellen behindert. 63 Prozent der Führungskräfte fürchten sogar, dass strenge Datenschutzauflagen die KI-Entwicklung vollständig aus der EU vertreiben könnten.

Dabei ist die Technologie längst im Arbeitsalltag angekommen: Rund 41 Prozent der deutschen Firmen setzen bereits KI ein. Allerdings haben auch 19 Prozent wegen Automatisierung Personal abgebaut.

Die Bundesregierung reagiert mit einem neuen Gesetz. Arbeitsministerin Bärbel Bas kündigte für 2026 ein Beschäftigtendatengesetz an. Es soll bis Ende Juni im Rahmen eines Reformpakets verabschiedet werden. Kernfrage: Welche Mitarbeiterdaten dürfen Arbeitgeber erheben, und wie viel KI darf über Personalentscheidungen bestimmen? Ein zentrales Element ist ein Auskunftsrecht für Beschäftigte – sie sollen erfahren, wann KI über ihr Arbeitsverhältnis entscheidet.

Die Landesdatenschutzbehörden sind bereits jetzt überlastet. In Niedersachsen gingen 2025 4.022 Beschwerden ein – viermal so viele wie 2018. Schwerpunkte: Videoüberwachung, Web-Tracking und Cookie-Banner. Die Behörde hat eine eigene Taskforce für Künstliche Intelligenz eingerichtet.

Die neuen Anforderungen durch den EU AI Act stellen Unternehmen vor zusätzliche komplexe Herausforderungen bei der Risikodokumentation. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle neuen Fristen, Pflichten und Risikoklassen der KI-Verordnung. EU AI Act in 5 Schritten verstehen – Jetzt Gratis-E-Book sichern

NIS2: Haftungsfalle für Geschäftsführer

Parallel zum Datenschutz verschärft sich die Lage in der Cybersicherheit. Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) gilt seit dem 6. Dezember 2025. Doch die Registrierungspflicht haben viele Unternehmen ignoriert. Bis zum Stichtag am 6. März 2026 hatten sich nur 11.000 von rund 29.500 betroffenen Firmen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) angemeldet.

Das hat ernste Konsequenzen. Nach Paragraph 38 BSIG haften Geschäftsführer künftig persönlich für Versäumnisse im Risikomanagement. Vorgeschrieben sind zehn Kernmaßnahmen: von der Risikoanalyse über Multi-Faktor-Authentifizierung bis zur strengen Lieferketten-Prüfung.

Die Strafen sind empfindlich:
- Verspätete Registrierung: bis zu 500.000 Euro
- Schwere Verstöße: bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes

Ein besonderes Problem für Sicherheitsverantwortliche: der Konflikt zwischen europäischen Vorgaben und dem US-amerikanischen CLOUD Act. Während NIS2 eine strenge Prüfung der Lieferkette verlangt, erlaubt das US-Gesetz amerikanischen Behörden den Zugriff auf Daten bei US-Anbietern wie AWS, Azure oder Google Cloud – unabhängig vom Speicherort. Selbst das EU-US Data Privacy Framework von 2023 hat diesen grundlegenden Widerspruch nicht gelöst. Experten empfehlen daher eine differenzierte IT-Architektur: europäische Anbieter für sensible Daten oder Verschlüsselung, bei der nur der Nutzer die Schlüssel besitzt.

Lehren aus jüngsten Sicherheitsvorfällen

Wie real die Gefahr ist, zeigte ein Cyberangriff Mitte April 2026. Der externe Abrechnungsdienstleister Unimed wurde gehackt, die Daten von rund 100.000 Patienten in ganz Deutschland waren betroffen. Das BSI wurde am 16. April informiert.

Besonders betroffen:
- Universitätsklinikum Freiburg: 54.000 Patienten
- Universitätsklinikum Köln: rund 27.000 Betroffene

Die klinischen Systeme blieben funktionsfähig, doch die Diebe erbeuteten Stammdaten und in tausenden Fällen auch konkrete Diagnosen und Abrechnungsinformationen. Betroffene könnten nach Artikel 82 DSGVO Anspruch auf Schadensersatz haben. Allerdings zeigt ein Urteil des Amtsgerichts Nürnberg vom Juli 2025: Ein bloßes „Unwohlsein“ nach einem Datenleck reicht nicht – ein konkreter, nachweisbarer Schaden muss vorliegen.

In einem weiteren Verfahren entschied das Verwaltungsgericht Düsseldorf am 2. April 2026 über die Anforderungen an sichere E-Mail-Kommunikation. Demnach kann Standard-TLS nach Artikel 32 DSGVO ausreichen, wenn das Risiko gering ist. Im konkreten Fall eines Busunternehmens war eine Ende-zu-Ende-Verschlüsselung nicht nötig, weil nur öffentlich zugängliche Namen übermittelt wurden. Allerdings wurde das Unternehmen dennoch bestraft – weil es die gesetzliche Ein-Monats-Frist für die Auskunftserteilung an den Betroffenen nicht eingehalten hatte.

Neue globale Standards

Im Oktober 2025 wurde die überarbeitete ISO/IEC 27701:2025 veröffentlicht. Anders als die Vorgängerversion ist sie nun ein eigenständig zertifizierbarer Standard für Privacy Information Management Systems (PIMS) . Mit 78 Datenschutzkontrollen und einer spezifischen DSGVO-Abbildung bietet sie Unternehmen eine strukturierte Grundlage. Wer noch nach der Version von 2019 zertifiziert ist, hat bis Oktober 2028 Zeit für die Migration.

Der Standard ist bewusst international angelegt und berücksichtigt auch das kalifornische CCPA und Brasiliens LGPD. Für europäische Firmen bietet sich die Chance, Synergien mit NIS2 zu schaffen – besonders bei Risikobewertung und Lieferantenmanagement.

Ausblick: Daueraufgabe für die Chefetage

Compliance ist kein Projekt mehr, sondern Daueraufgabe. 86 Prozent der Unternehmen betrachten Datenschutz inzwischen als permanente betriebliche Anforderung. Der Branchenverband Bitkom fordert eine Reform der DSGVO – sie solle „risikoorientierter“ und „KI-freundlicher“ werden. Doch vorerst steht die Durchsetzung im Vordergrund.

Die kommenden Monate werden zeigen, ob die 18.500 Unternehmen, die noch nicht im NIS2-Register stehen, ihre Pflichten erfüllen – bevor das BSI mit härteren Maßnahmen droht. Die Bußgelder steigen weiter, die Haftung für Geschäftsführer ist real. Der Preis für Untätigkeit war noch nie so hoch.

de | wirtschaft | 69408550 |