DSGVO nach zehn Jahren: Milliarden-Strafen und persönliche Haftung für Manager

Während die meisten Unternehmen die Regeln inzwischen umgesetzt haben, steigen die Bußgelder und die Risiken für Führungskräfte drastisch.

Lücken in der Dokumentation können Unternehmen heute teurer zu stehen kommen als je zuvor, da Aufsichtsbehörden verstärkt operative Verstöße prüfen. Mit dieser kostenlosen Muster-Vorlage und Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Excel-Vorlage jetzt herunterladen

Rund 6,11 Milliarden Euro an DSGVO-Strafen sind bis März 2026 verhängt worden. Das ist mehr als eine Verdopplung innerhalb weniger Jahre. Die Aufsichtsbehörden haben ihre Strategie geändert: Statt allgemeiner Verwaltungskontrollen zielen sie gezielt auf operative Verstöße ab – besonders bei Transparenz, Cybersicherheit und Mitarbeiterdaten.

Persönliche Haftung rückt in den Fokus

Ein Urteil des Oberlandesgerichts Dresden sorgt derzeit für Unruhe in den Vorstandsetagen. Die Richter entschieden, dass Geschäftsführer persönlich für DSGVO-Verstöße haften können – und zwar neben ihrem Unternehmen. Die Begründung: Ein Geschäftsführer gilt als verantwortliche Stelle im Sinne der Verordnung.

Die Folge: D&O-Versicherer warnen vor steigenden Klagerisiken gegen einzelne Führungskräfte. Besonders brisant wird die Lage durch die NIS2-Richtlinie. Sie verpflichtet Vorstände, die Sicherheit ihrer gesamten Lieferkette zu gewährleisten – inklusive Subunternehmer. Wer das nicht tut, haftet persönlich.

Das Problem: Diese Anforderung kollidiert mit dem US-amerikanischen CLOUD Act. Der erlaubt US-Behörden den Zugriff auf Daten bei amerikanischen Anbietern – unabhängig vom Serverstandort. Das 2023 vereinbarte EU-US-Datenschutzabkommen hat diesen Konflikt nicht vollständig gelöst. Juristen empfehlen daher technische Schutzmaßnahmen wie „Bring Your Own Key“-Verschlüsselung oder die Verlagerung sensibler Daten zu europäischen Anbietern.

Deutschland verschärft die Regeln

Erst am 21. Mai verabschiedete der Bundestag das Digitale Identitätsgesetz (DIdG). Es reiht sich ein in eine Welle verschärfter Kontrollen durch die 16 Landesdatenschutzbehörden. Besonders im Fokus: Informationssicherheit und der Umgang mit Beschäftigten-Daten.

Parallel dazu gewinnen kollektive Rechtsschutzinstrumente in ganz Europa an Bedeutung. Die Gerichte präzisieren zudem die Grenzen von Schadensersatzansprüchen. Der Bundesgerichtshof entschied Ende Januar 2025: Unerlaubte Datenweitergaben an Auskunfteien wie die SCHUFA können immaterielle Schäden auslösen. Allerdings betonte das Gericht, dass solche Zahlungen reinen Ausgleichscharakter haben – keine Abschreckungswirkung. In einem konkreten Fall sprach der BGH einer betroffenen Person 500 Euro zu.

WhatsApp vor Gericht – und die KI-Flut

Der Kampf um Datenschutz spielt sich längst nicht nur in Europa ab. Am 22. Mai reichte der US-Bundesstaat Texas Klage gegen Meta ein. Der Vorwurf: Der Konzern habe Nutzer über die Ende-zu-Ende-Verschlüsselung bei WhatsApp getäuscht.

Diese juristische Auseinandersetzung fällt in eine Zeit massiver KI-gestützter Cyberangriffe. Sicherheitsforscher berichten: 86 Prozent aller Phishing-Kampagnen werden inzwischen von Künstlicher Intelligenz betrieben – täglich rund 3,4 Milliarden schädliche Nachrichten.

Die Smartphone-Hersteller reagieren. Apple aktivierte am 24. Mai mit iOS 26.4.1 automatisch den „Diebstahlschutz“. Google präsentierte am 12. Mai Android 17 („Cinnamon Bun“) mit integrierter KI-Erkennung für betrügerische Bankanrufe.

Doch die technischen Schwachstellen bleiben. Ein Qualcomm-BootROM-Fehler gilt als nicht reparierbar. Und eine Sicherheitslücke im Telegram-Protokoll MTProto ermöglicht offenbar die Nutzerverfolgung. Banking-Trojaner legten im ersten Quartal 2026 um 196 Prozent zu – auf 1,24 Millionen registrierte Fälle.

Unternehmen zwischen Compliance und Innovation

Die Bitkom-Umfrage von 2025 zeigt: 71 Prozent der Firmen haben die DSGVO vollständig oder überwiegend umgesetzt. 2018 waren es gerade einmal sieben Prozent. Doch der Preis ist hoch: 81 Prozent der Unternehmen berichten von komplizierteren Geschäftsprozessen. Und 69 Prozent sehen die KI-Entwicklung durch die Datenschutzregeln behindert.

Die Verbände fordern daher eine Reform der DSGVO hin zu mehr Risikoorientierung. Der Trend zu kollektiven Klagen und neuen Phishing-Methoden wie „Quishing“ (QR-Code-Phishing) und „Smishing“ (SMS-Phishing) zeigt: Das nächste Jahrzehnt wird zum Wettlauf zwischen hochprofessioneller Cyberkriminalität und immer strengeren Haftungsregeln für die Plattformen, die unsere Daten verwalten.

Angesichts der rasant steigenden Cyberkriminalität und neuer technologischer Hürden ist ein umfassender Schutz sensibler Unternehmensdaten unerlässlich. Dieser kostenlose Praxisleitfaden zeigt Ihnen in 4 Schritten, wie Sie Phishing-Angriffe effektiv stoppen und Ihr Unternehmen vor teuren Schäden bewahren. Anti-Phishing-Paket jetzt kostenlos anfordern

Ausblick: WWDC und Android 17

Am 8. Juni startet die Worldwide Developers Conference (WWDC) – mit iOS 27 als erwartetem Höhepunkt. Im selben Monat soll die stabile Version von Android 17 für Pixel-Geräte erscheinen. Microsoft hat bereits angekündigt, SMS-basierte Zwei-Faktor-Authentifizierung zugunsten biometrischer Passkeys auslaufen zu lassen. Über fünf Milliarden Passkeys sind im Microsoft-Ökosystem bereits aktiviert. Die Ära des Passworts neigt sich dem Ende zu – während die juristischen Auseinandersetzungen darüber, wie diese Daten gespeichert und geschützt werden, erst richtig Fahrt aufnehmen.

de | wirtschaft | 69413413 |