DSGVO-Strafen knacken 7,1 Milliarden Euro: Unternehmen unter Druck

Die kumulierte Summe der Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) hat Anfang 2026 die Marke von 7,1 Milliarden Euro überschritten. Allein 2025 kamen über 1,2 Milliarden Euro an Strafen zusammen. Der Meilenstein fällt mit dem Scheitern zentraler Gesetzesverhandlungen in Brüssel und wegweisenden Gerichtsurteilen zusammen – eine gefährliche Gemengelage für internationale Konzerne.

Angesichts rasant steigender Bußgelder und immer strengerer Prüfungen durch die Aufsichtsbehörden stehen Unternehmen unter enormem Zugzwang. Dieser kostenlose Ratgeber zeigt Ihnen in 5 konkreten Schritten, wie Sie Ihre DSGVO-Pflichten rechtssicher erfüllen und teure Abmahnungen vermeiden. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Infrastruktur-Schwäche als Hauptrisiko

Die größte Baustelle der Unternehmen ist hausgemacht: Rund 61 Prozent der Organisationen arbeiten mit fragmentierten Audit-Logs. Diese Lücke verhindert die lückenlose Überwachung, die moderne Datenschutzstandards verlangen. Die Folgen sind alarmierend: Die Aufsichtsbehörden registrieren täglich durchschnittlich 443 Datenschutzverletzungen – ein Anstieg um 22 Prozent gegenüber dem Vorjahr.

Die finanziellen Konsequenzen treffen zunehmend die Führungsetagen. Vodafone etwa kassierte 2025 ein Bußgeld von 45 Millionen Euro, weil die Regulierungsbehörden ein schwerwiegendes Managementversagen feststellten. Experten beobachten, dass solche Strafen immer häufiger an strukturellen Mängeln bei der Dokumentation und Löschkonzepten festgemacht werden – nicht mehr an isolierten technischen Fehlern.

Spanischer Richterspruch weitet DSGVO-Anwendung aus

Der spanische Oberste Gerichtshof hat am 29. April 2026 klargestellt: Die DSGVO greift bereits in dem Moment, in dem personenbezogene Daten angefordert werden – unabhängig davon, ob die Informationen tatsächlich übermittelt werden. Im konkreten Fall hatte ein Arbeitgeber übermäßige Gesundheitsdaten von einem Angestellten verlangt. Das Gericht urteilte, dass bereits die Aufforderung eine Datenverarbeitung darstellt und dem Grundsatz der Datenminimierung nach Artikel 5 DSGVO unterliegen muss.

Brüssel blockiert: Digital-Omnibus-Reform gescheitert

Die Trilog-Verhandlungen zum sogenannten „Digital Omnibus“-Reformpaket sind im April 2026 geplatzt. Die von der EU-Kommission im November 2025 vorgeschlagene Harmonisierung verschiedener Digitalgesetze – darunter das Datengesetz und der AI Act – scheiterte an grundlegenden Streitpunkten. Besonders umstritten waren Pläne, KI-Training auf Basis „berechtigter Interessen“ statt expliziter Einwilligung zu erlauben, sowie eine mögliche Umstellung von Cookie-Opt-in auf Opt-out-Modelle.

Das Scheitern bedeutet: Der ursprüngliche Zeitplan für den EU AI Act bleibt bestehen. Die meisten Bestimmungen treten am 2. August 2026 in Kraft. Unternehmen müssen ihre KI-Systeme dann in Risikoklassen einteilen und entsprechende Compliance-Rahmenwerke aufbauen. Die Strafen für Verstöße sind enorm: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen bei verbotenen Praktiken.

Die neuen Anforderungen des EU AI Acts stellen viele Betriebe vor große Herausforderungen bei der Einstufung ihrer Systeme und der Einhaltung von Fristen. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen jetzt den nötigen Überblick über Risikoklassen und Dokumentationspflichten, damit Ihre IT-Abteilung rechtzeitig vorbereitet ist. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Neue Leitlinien als Rettungsanker

Die EU veröffentlichte am 30. April 2026 aktualisierte Leitlinien zu den Transparenzanforderungen des AI Acts. Sie sollen als Blaupause dienen, um die abstrakten rechtlichen Vorgaben in konkrete technische Schritte zu übersetzen. Juristen warnen jedoch, dass das Fehlen der Omnibus-Reform zu einem „De-facto“-Standard führen könnte, bei dem Unternehmen sich durch widersprüchliche Anforderungen kämpfen müssen.

Globaler Regulierungstrend erfasst Asien und USA

Der Druck auf Unternehmen wächst weltweit. Malaysia führte am 30. April 2026 drei neue Leitlinien ein – zu Datenschutz-Folgenabschätzungen, Datenschutz durch Technikgestaltung sowie automatisierten Entscheidungen und Profiling. Die Strafen können umgerechnet bis zu 100.000 Malaysische Ringgit betragen. In China startete die Internetregulierungsbehörde CAC Ende April eine viermonatige Kampagne gegen „Chaos“ in KI-Anwendungen, die sich gegen nicht registrierte Modelle und unzureichend gekennzeichnete KI-Inhalte richtet.

In den USA verlangen inzwischen über 15 Bundesstaaten formelle Risikobewertungen für hochriskante Datenverarbeitungen. Connecticut weitete am 30. April 2026 zudem die Definition eines „massiven Sicherheitsvorfalls“ aus: Betroffen sind nun Vorfälle mit 100.000 Einwohnern, die zwingend forensische Untersuchungen durch Dritte nach sich ziehen. Bei Verzögerungen bei der Meldung drohen Zivilstrafen von bis zu 250.000 Dollar.

Manager haften persönlich

Seit der Umsetzung der NIS-2-Richtlinie im Dezember 2025 können Führungskräfte in mehreren Jurisdiktionen persönlich für Sicherheits- und Datenschutzverstöße haftbar gemacht werden. Eine Umfrage unter deutschen Führungskräften zeigt: Fast die Hälfte sieht Datenschutz inzwischen als Standortvorteil, aber ein Drittel räumt weiterhin hohen Handlungsbedarf ein. Ein Urteil des OLG Dresden aus dem Jahr 2021 hatte bereits Geschäftsführer unter bestimmten Bedingungen als eigenständig Verantwortliche eingestuft.

Forschung erhält Klarheit – Unternehmen unter Zeitdruck

Der Europäische Datenschutzausschuss verabschiedete am 30. April 2026 neue Leitlinien für die wissenschaftliche Forschung. Sechs Kriterien definieren, wann Forschung als legitim gilt – darunter systematische Methodik und ethische Standards. Wichtig: Die Weiterverarbeitung für Forschungszwecke gilt grundsätzlich als mit der ursprünglichen Datenerhebung vereinbar, und in bestimmten Kontexten sind breitere oder „dynamische“ Einwilligungsmodelle zulässig.

Für internationale Datentransfers gibt es eine vorläufige Entlastung: Der irische Oberste Gerichtshof erlaubte TikTok am 30. April 2026 vorläufig, weiterhin Daten von der EU nach China zu übermitteln – während das Unternehmen gegen eine Entscheidung vom Mai 2025 Berufung einlegt. Die irische Datenschutzkommission hatte damals eine Rekordstrafe von 530 Millionen Euro verhängt und die Übermittlungen komplett verboten.

Ausblick: Das zweite Halbjahr 2026 wird entscheidend

Die zweite Jahreshälfte steht ganz im Zeichen der Vorbereitungen auf die AI-Act-Frist im August und der Umsetzung nationaler Cybersicherheitsgesetze wie NIS-2. In Deutschland hatten sich bis zum Meldeschluss am 6. März 2026 nur rund 11.500 der erwarteten 29.850 betroffenen Unternehmen registriert – ein alarmierendes Zeichen.

Die Aufsichtsbehörden kündigen an, dass der Fokus auf strukturellen Mängeln liegen wird. Der Markt für RegTech-Lösungen, die automatisierte Datenschutz-Tools bieten, dürfte weiter boomen. Doch bei kumulierten Strafen von über 7 Milliarden Euro und neuen, strengeren Gesetzen schließt sich das Zeitfenster für eine compliance-gerechte Umstellung rapide. Unternehmen sollten die Integration von Transparenz- und Datenminimierungsprinzipien in ihre Kernsysteme zur Chefsache machen – oder riskieren, Teil der nächsten Welle spektakulärer Durchsetzungsmaßnahmen zu werden.

de | wirtschaft | 69269730 |