DSGVO zehn Jahre: 81% der Firmen sehen Regelwerk als zu komplex

Die deutsche Wirtschaft erlebt einen paradoxen Trend: Nie zuvor setzten Firmen so stark auf Künstliche Intelligenz – und nie zuvor waren sie so verwundbar.

KI-Nutzung auf Rekordniveau – doch die Angriffe nehmen zu

Eine aktuelle Studie vom 23. Mai 2026 zeigt ein bemerkenswertes Bild: Deutschland führt im internationalen Vergleich mit 88 Prozent aller Unternehmen, die KI-Technologien einsetzen. Doch diese Spitzenposition hat einen Preis. Ganze 71 Prozent der heimischen Betriebe meldeten innerhalb der letzten zwölf Monate Cybervorfälle – der höchste Wert unter den 15 untersuchten Ländern.

Die Angriffsmethoden werden dabei immer raffinierter. Rund 40 Prozent aller Vorfälle nutzen inzwischen KI-gestützte Verfahren wie automatisierte Phishing-Kampagnen, Voice-Phishing oder intelligente Schadsoftware. Besonders brisant: Zwei Drittel der Attacken zielen direkt auf die Lieferketten der Unternehmen ab.

Immerhin zeigt sich die deutsche Wirtschaft gut vorbereitet. 88 Prozent der Firmen haben Notfallpläne für Cyberangriffe etabliert. Dennoch berichtet mehr als ein Viertel der betroffenen Unternehmen von Geschäftsunterbrechungen, die mindestens einen vollen Arbeitstag andauerten.

Die Milliarden-Dollar-Falle: Mobile Bedrohungen explodieren

Der Fokus der Cybersicherheit verschiebt sich zunehmend auf mobile Endgeräte. Schätzungen vom 24. Mai 2026 zufolge werden die weltweiten Schäden durch mobile Cyberkriminalität in diesem Jahr rund 442 Milliarden Euro erreichen. Täglich werden etwa 3,4 Milliarden Phishing-Nachrichten verschickt – 86 Prozent davon werden von KI-Systemen generiert oder gesteuert.

Besonders dramatisch ist der Anstieg bei Banking-Trojanern. Im ersten Quartal 2026 schnellten die Fälle um 196 Prozent auf 1,24 Millionen nach oben. Ein Trojaner namens „Mamont" ist dabei für 70 Prozent aller Angriffe auf Android-Geräte verantwortlich. Auch „Quishing" – der Einsatz bösartiger QR-Codes – legte um 150 Prozent zu. 18 Millionen Fälle wurden allein in den letzten Wochen registriert.

Angesichts der explodierenden Zahl von Banking-Trojanern und mobilen Phishing-Attacken ist ein wirksamer Basisschutz für das Smartphone heute wichtiger denn je. IT-Experten empfehlen genau diese 5 Schutzmaßnahmen, um Android-Geräte endlich sicher für Banking, PayPal und WhatsApp zu nutzen. Kostenlosen Sicherheits-Ratgeber für Android jetzt herunterladen

Open-Source-Schwachstellen: tickende Zeitbomben

Doch nicht nur mobile Plattformen sind verwundbar. Das Glasswing-Projekt von Anthropic identifizierte im Mai 2026 mehr als 10.000 Sicherheitslücken in verschiedenen Open-Source-Projekten – innerhalb eines einzigen Monats. Die erschreckende Bilanz: Ende Mai waren weniger als 100 dieser Lücken geschlossen. Besonders kritische Bibliotheken wie die TLS-Bibliothek WolfSSL bleiben potenziell angreifbar.

Hinzu kommt eine nicht behebbare Schwachstelle im Qualcomm BootROM (CVE-2026-25262). Solche Hardware-Lücken gelten als besonders gefährlich, da sie sich durch Software-Updates kaum schließen lassen.

Zehn Jahre DSGVO: Jubiläum mit Schattenseiten

Die europäische Datenschutzgrundverordnung feiert in diesem Jahr ihren zehnten Geburtstag. Was als Meilenstein für den Privatsphärenschutz begann, wird von vielen Unternehmen zunehmend als Innovationsbremse wahrgenommen. Eine Bitkom-Studie vom 22. Mai 2026 zeigt: Obwohl 71 Prozent der Firmen die DSGVO-Anforderungen bis 2024 vollständig umgesetzt hatten, empfinden 81 Prozent die Vorschriften als zunehmend komplex.

Besonders deutlich wird der Konflikt bei Künstlicher Intelligenz. Rund 69 Prozent der Unternehmen geben an, dass die DSGVO das Training von KI-Modellen erheblich erschwert. 63 Prozent befürchten sogar, dass KI-spezialisierte Firmen die EU wegen dieser Hürden verlassen könnten. Dabei bleibt die Datensouveränität ein wichtiges Ziel – dennoch übertragen 61 Prozent der Unternehmen weiterhin Daten an Anbieter in den USA.

NIS2: Viele Unternehmen noch nicht bereit

Der Druck auf die Unternehmen wächst zusätzlich durch die NIS2-Richtlinie. Bis zum Registrierungsstichtag am 6. März 2026 hatten sich lediglich 11.000 der 29.500 betroffenen deutschen Firmen bei den zuständigen Behörden gemeldet. Eine alarmierende Compliance-Lücke: Wer die Anforderungen nicht erfüllt, riskiert Strafen von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder zehn Millionen Euro Umsatz aus 18 kritischen Sektoren. Neue Investitionen in verschlüsselte Kommunikation und sichere Kollaborationstools sind unumgänglich.

Gerichte definieren die Grenzen neu

Die Justiz zeichnet zunehmend klare Linien. Der Bundesgerichtshof bestätigte am 28. Januar 2025 ein Urteil zur unbefugten Datenweitergabe an Auskunfteien wie die SCHUFA. Betroffene können demnach immaterielle Schadensersatzansprüche nach Artikel 82 DSGVO geltend machen, wenn ihre Kreditwürdigkeit beeinträchtigt wurde. Allerdings stellte das Gericht klar: Der Schadensersatz dient dem Ausgleich, nicht der Abschreckung.

Anders urteilte das AG Nürnberg am 9. Juli 2025: Bloßes Unbehagen über Datenweitergabe reicht nicht für Schadensersatz, wenn die Übermittlung durch berechtigte Interessen wie Betrugsprävention gerechtfertigt ist.

Die rechtlichen Anforderungen an moderne Unternehmen werden durch neue Gesetze und Richtlinien wie den EU AI Act immer komplexer. Ein kostenloser Umsetzungsleitfaden verschafft Ihrer IT- und Rechtsabteilung jetzt den notwendigen Überblick über Pflichten, Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen: Gratis-E-Book sichern

Der EU AI Act nimmt Form an

Das europäische KI-Gesetz beginnt, die Unternehmenspraxis zu verändern. Systeme für Personalauswahl und Personalmanagement gelten als „hochriskant" – vollautomatisierte Entscheidungen mit erheblichen Auswirkungen auf Einzelpersonen sind verboten. Am 22. Mai 2026 veröffentlichte die EU neue Leitlinien für hochriskante KI-Systeme.

Ab dem 2. August 2026 tritt zudem eine Kennzeichnungspflicht für KI-generierte Inhalte in Kraft (Artikel 50 des AI Act). Die Stadt Bremen machte im Mai 2026 vorweg, was auf viele Unternehmen zukommt: Sie verabschiedete eine der ersten umfassenden Dienstvereinbarungen für den KI-Einsatz mit konkreten Schutzmaßnahmen gegen Diskriminierung und klarem Vorrang menschlicher Entscheidungen.

Ausblick: Ein zweites Halbjahr voller Herausforderungen

Die zweite Jahreshälfte 2026 verspricht intensiv zu werden. Am 20. Mai 2026 wurde eine Verfassungsbeschwerde gegen das nordrhein-westfälische Verfassungsschutzgesetz eingereicht. Sie wendet sich gegen den KI-gestützten Einsatz von Datenanalysen ohne konkrete Gefahrenhinweise. Eine Entscheidung des Bundesverfassungsgerichts wird zwar nicht vor Frühjahr 2027 erwartet – der Fall zeigt aber die anhaltende Spannung zwischen Sicherheitsinteressen und Privatsphäre.

Neue Transparenzpflichten kommen ebenfalls: Ende Mai 2026 enthielten nur 12,5 Prozent der Stellenanzeigen in Deutschland Gehaltsangaben. Neue Entgelttransparenzgesetze dürften diesen Wert deutlich steigen lassen. Die geplanten Regelungen zum Beschäftigtendatenschutz und die Einführung der EUDI-Wallet 2027 werden die Unternehmen zusätzlich fordern.

Die Botschaft für 2026 ist klar: Die digitale Transformation schreitet rasant voran – doch die Sicherheitsmaßnahmen müssen Schritt halten. Wer den Spagat zwischen Innovation und Schutz nicht schafft, wird auf der Strecke bleiben.

de | wirtschaft | 69416063 |