DSGVO: Komplexe IT-Strukturen treiben Bußgelder auf Rekordhoch

Seit Inkrafttreten der Datenschutz-Grundverordnung haben die Aufsichtsbehörden kumulierte Bußgelder von über 7,1 Milliarden Euro verhängt – allein 2025 kamen mehr als 1,2 Milliarden Euro hinzu. Der Grund: Immer mehr Unternehmen scheitern an der technischen Umsetzung ihrer Datenschutzversprechen.

Die Zahl der gemeldeten Datenschutzverstöße ist drastisch gestiegen: Europäische Aufsichtsbehörden registrieren mittlerweile durchschnittlich 443 Meldungen pro Tag – ein Plus von 22 Prozent gegenüber dem Vorjahr. Branchenexperten sehen die Ursache nicht allein in zunehmender Cyberkriminalität, sondern vor allem in fragmentierten IT-Architekturen, die Unternehmen den Überblick über ihre Datenlandschaft rauben.

Angesichts steigender Bußgelder und komplexer IT-Infrastrukturen wird eine lückenlose Dokumentation der Datenverarbeitung zur unverzichtbaren Absicherung für jedes Unternehmen. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher zu erstellen und teure Haftungsrisiken zu minimieren. Kostenlose Muster-Vorlage und Anleitung jetzt gratis herunterladen

Wenn Altlasten zum Sicherheitsrisiko werden

Besonders kritisch ist die mangelnde Integration zwischen modernen Cloud-Diensten und veralteten Legacy-Systemen. Laut aktuellen Marktanalysen fehlt bei rund 67 Prozent der Altsysteme in Großkonzernen eine aktuelle Dokumentation. Diese „Dokumentationsschulden" werden bei Audits zum ernsten Problem: Oft lässt sich ein einzelner Datenpunkt nicht mehr vom Eingabefenster bis zum endgültigen Speicherort zurückverfolgen.

Die manuelle Aufarbeitung ist enorm aufwendig: Ein einziger Bildschirm eines monolithischen Altsystems erfordert durchschnittlich 40 Arbeitsstunden für eine vollständige Audit-Dokumentation. Bei einem typischen Unternehmenssystem mit 500 Bildschirmen summiert sich das auf 20.000 Arbeitsstunden – bevor überhaupt mit der technischen Sanierung begonnen werden kann. Und selbst dann: Bis die Dokumentation fertig ist, haben sich die Geschäftsprozesse oft schon wieder geändert oder es wurden undokumentierte Hotfixes eingespielt.

Diese Intransparenz untergräbt die Grundrechte der Betroffenen. Unternehmen mit zersplitterten Datensilos können Auskunftsersuchen (Subject Access Requests) häufig nicht innerhalb der gesetzlichen 30-Tage-Frist erfüllen. Besonders das „Recht auf Löschung" (Artikel 17) wird zur Illusion, wenn personenbezogene Daten über Dutzende nicht verbundene Systeme verstreut sind. Unvollständige Löschungen gelten inzwischen als Hauptursache für hohe Geldstrafen.

Die technische Wahrheitslücke

Die Aufsichtsbehörden ändern 2026 ihre Prüfmethoden grundlegend. Statt statischer Datenschutzerklärungen zu analysieren, setzen sie zunehmend automatisierte Scanner ein, die das tatsächliche Backend-Verhalten in Echtzeit überprüfen. Dabei offenbart sich regelmäßig eine „technische Wahrheitslücke" – der Widerspruch zwischen dem, was Unternehmen in ihren Datenschutzbannern versprechen, und dem, was ihr Code tatsächlich tut.

Die aktuellen Strafdaten zeigen: Rund 90 Prozent der hohen Bußgelder 2026 beruhen auf einer „fehlenden Rechtsgrundlage" für die Datenverarbeitung. Typische Fälle: Automatisierte Systeme verarbeiten Daten weiter, obwohl Nutzer ihre Einwilligung widerrufen haben. Oder Daten fließen an Drittanbieter, die in der Unternehmensarchitektur nie korrekt erfasst wurden.

Das finanzielle Risiko hat sich durch ein wegweisendes Urteil des Europäischen Gerichtshofs vom 13. Februar 2025 noch einmal verschärft. Seither können DSGVO-Bußgelder auf Basis des gesamten weltweiten Jahresumsatzes eines Konzerns berechnet werden – nicht nur auf den Umsatz der konkret betroffenen Tochtergesellschaft. IT-Architektur ist damit vom Technikthema zur strategischen Chefsache geworden.

Koordinierte Kontrollen und der AI Act

Der Europäische Datenschutzausschuss (EDSA) hat für den restlichen Teil des Jahres 2026 verstärkte Prüfungen angekündigt. Bereits im Januar startete die fünfte koordinierte Durchsetzungsaktion, die sich gezielt auf Transparenz- und Informationspflichten nach den Artikeln 12, 13 und 14 der DSGVO konzentriert. Nationale Aufsichtsbehörden führen dabei zeitgleich Untersuchungen durch, wie Unternehmen Datenschutzinformationen in Benutzeroberflächen und In-App-Nachrichten kommunizieren.

Mit der vollständigen Anwendung des EU AI Act ab dem 2. August 2026 droht Unternehmen mit fragmentierten Infrastrukturen eine „doppelte Haftung". Da hochriskante KI-Modelle oft auf denselben Datensätzen basieren, die bereits der DSGVO unterliegen, kann ein einziger technischer Fehler in einer fragmentierten Architektur nun Strafen nach beiden Regularien auslösen.

Da viele KI-Systeme bereits seit August 2024 neuen Kennzeichnungs- und Dokumentationspflichten unterliegen, müssen Unternehmen ihre Compliance-Strategie jetzt dringend an den EU AI Act anpassen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über Risikoklassen und Fristen, damit Ihre IT- und Rechtsabteilung rechtlich auf der sicheren Seite bleibt. Kostenlosen Umsetzungsleitfaden zum EU AI Act sichern

Der EDSA veröffentlichte zudem am 15. April 2026 neue Leitlinien (Guidelines 1/2026) zur Verarbeitung personenbezogener Daten für wissenschaftliche Forschung. Sie fordern „zweigleisige Einwilligungsarchitekturen", die komplexe Datenflüsse in globalen Forschungsprogrammen abbilden können – ein weiterer Druckpunkt für Unternehmen, ihre Daten-Mapping-Fähigkeiten zu modernisieren.

Der Trend zur Echtzeit-Compliance

Die Branche bewegt sich 2026 weg von der „Stichtags-Compliance" hin zur „kontinuierlichen Kontrolle". Marktführer ersetzen manuelle Compliance-Prozesse durch automatisierte Datenentdeckung und einheitliche Privacy-Frameworks. Diese Systeme erstellen einen „lebenden Bauplan" der unternehmenseigenen Datenreise und ermöglichen Echtzeit-Überwachung sowie sofortige Reaktion auf Betroffenenanfragen.

Aktuelle Umfragen zeigen: 76 Prozent der Chief Information Security Officers (CISOs) sehen in der regulatorischen Zersplitterung zwischen verschiedenen Regionen das größte Hindernis für konsistenten Datenschutz. Unternehmen reagieren mit neuen Beschaffungsstrategien: Umfassende Audit-Logs und konsolidierte Governance sind nicht länger optionale Features, sondern Pflichtbestandteil jeder neuen IT-Investition.

Ausblick 2026 und 2027

Der EDSA wird in seinem Arbeitsprogramm für 2026-2027 die Harmonisierung zwischen den Mitgliedstaaten und die Förderung automatisierter Compliance-Tools vorantreiben. Weitere Leitlinien zu Anonymisierungs- und Pseudonymisierungstechniken sind zu erwarten, während die Behörden die Grenzen der Datenverarbeitung in einer KI-getriebenen Wirtschaft ausloten.

Die erfolgreichsten Unternehmen dieser neuen Ära werden jene sein, die Datenschutz als Architekturentscheidung begreifen – nicht als juristische Frage. Wer fragmentierte Systeme konsolidiert und Datensilos beseitigt, kann von einer reaktiven, krisengetriebenen Haltung zu „Privacy by Design" wechseln. Und damit das Risiko deutlich senken, ins Visier der zunehmend automatisierten Prüfverfahren europäischer Regulierer zu geraten.

de | wirtschaft | 69268372 |