EU-Datenschutz: Behörden verschärfen grenzüberschreitende Kontrollen massiv

Die europäischen Datenschutzbehörden gehen von lokaler Aufsicht zu einem hochkoordinierten, transnationalen Durchsetzungsmodell über. Die finanziellen Risiken für Unternehmen steigen dadurch drastisch – und das ist erst der Anfang.

Seit Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben die Behörden Bußgelder von über 7,1 Milliarden Euro verhängt. Besonders bemerkenswert: 60 Prozent dieser Summe entfielen erst auf die Zeit ab Januar 2023. Anfang 2026 hatten die europäischen Aufsichtsbehörden bereits über 1.400 Durchsetzungsentscheidungen getroffen.

Die steigenden Bußgelder zeigen, dass lückenhafte Dokumentation für Unternehmen zum existenziellen Risiko geworden ist. Sichern Sie sich eine kostenlose Excel-Vorlage und Anleitung, um Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage jetzt herunterladen

Der Grund für diese Entwicklung liegt in der zunehmenden Standardisierung der grenzüberschreitenden Zusammenarbeit. Fälle, die früher mit zwei Millionen Euro geahndet worden wären, ziehen heute Strafen zwischen 15 und 25 Millionen Euro nach sich – weil mehrere nationale Behörden gemeinsam vorgehen.

Wo die Aufsicht besonders genau hinsieht

Die Verteilung der Bußgelder verrät die Schwerpunkte der Regulierungsbehörden:

• 34 Prozent der Strafen betreffen Verstöße gegen Artikel 6 (Rechtsgrundlage für die Verarbeitung)
• 28 Prozent entfallen auf technische und organisatorische Maßnahmen (Artikel 25 und 32)
• 22 Prozent betreffen Transparenz- und Informationspflichten
• 16 Prozent beziehen sich auf Betroffenenrechte

Branchenspezifisch zeigt sich: Die Telekommunikationsindustrie kassierte die höchsten Gesamtstrafen, während der Gesundheitssektor die höchsten Pro-Kopf-Bußgelder verzeichnet. Der Fintech-Sektor entwickelt sich rasant zu einem neuen Schwerpunkt der Aufsichtsbehörden.

Um die Bewertungen über Ländergrenzen hinweg zu vereinheitlichen, hat der Europäische Datenschutzbeauftragte (EDSB) kürzlich eine neue Vorlage für Datenschutz-Folgenabschätzungen (DPIA) veröffentlicht. Der neu eingeführte Anhang 6 bietet einen standardisierten Rahmen für die Bewertung von Verarbeitungstätigkeiten mit systematischem Profiling, der massenhaften Verarbeitung sensibler Daten oder der systematischen Überwachung öffentlicher Bereiche.

Neue EU-Richtlinien: KI-Transparenz wird Pflicht

Am 11. Mai 2026 veröffentlichte die EU-Kommission einen Entwurf für Leitlinien zu Artikel 50 des EU AI Acts. Diese Leitlinien konzentrieren sich auf Transparenzpflichten zur Verhinderung digitaler Täuschung. KI-Chatbots und KI-generierte Inhalte müssen künftig eindeutig erkennbar sein – oft durch maschinenlesbare Kennzeichnung. Auch Deepfakes unterliegen strengen Kennzeichnungspflichten, wobei Ausnahmen für künstlerische oder satirische Inhalte geprüft werden.

Angesichts der neuen EU-KI-Verordnung müssen Unternehmen jetzt schnell handeln, um Bußgelder und rechtliche Fallstricke zu vermeiden. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act bietet Ihrer IT- und Rechtsabteilung den nötigen Überblick über alle Fristen und Pflichten. EU AI Act Leitfaden kostenlos anfordern

Der Zeitplan des AI Acts ist ambitioniert:
- Seit 2. Februar 2025: Verbot inakzeptabler Risiken
- Seit 2. August 2025: Allgemeine Transparenzpflichten
- 2. August 2026: Strenge Pflichten für Hochrisiko-KI-Systeme treten in Kraft
- Bereits jetzt: Artikel 4 verlangt grundlegende KI-Kompetenz bei Mitarbeitern

Digitale Souveränität: Mehr als nur ein Schlagwort

Die Regulierungswelle fällt mit einer wachsenden Debatte über digitale Souveränität zusammen. Geopolitische Spannungen haben die Kontrolle über Daten und Infrastruktur zu einem zentralen Anliegen europäischer Staaten gemacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere regionale Behörden drängen Unternehmen, ihre „Datensouveränität“ genauer zu prüfen.

Konkret geht es um die Frage: Sollten sensible Sicherheitsdaten – etwa Risikoanalysen nach der NIS2-Richtlinie – in externen Cloud-Systemen gespeichert werden oder besser auf lokalen, europäisch gehosteten oder Open-Source-Plattformen?

Sektorale Regulierung: Wenn mehrere Gesetze greifen

Die Koordination zwischen den Behörden zeigt sich auch darin, wie sie die Lücken zwischen verschiedenen Regulierungsrahmen schließen. Im Finanzsektor müssen Unternehmen zunehmend sowohl den Digital Operational Resilience Act (DORA) – in Kraft seit Januar 2025 – als auch nationale Anforderungen wie die der BaFin oder der Schweizer FINMA erfüllen.

Neue Lösungen entstehen für das Management dieser überlappenden Anforderungen, insbesondere bei Hintergrundchecks und dem Risikomanagement Dritter. Mehr als 50 Prozent aller Datenschutzverletzungen sind inzwischen auf Drittanbieter zurückzuführen.

Gerichtsurteile setzen neue Grenzen

Der Bundesverwaltungsgerichtshof (BVerwG) entschied am 6. März 2026, dass private Krankenversicherungen Diagnosedaten von Rechnungen nicht ohne ausdrückliche Einwilligung für Präventionsprogramme nutzen dürfen. Das Gericht stellte klar: Die Verarbeitung ohne Wissen der Versicherten verletzt Grundrechte.

In Spanien verhängte die Datenschutzbehörde AEPD ein Bußgeld von 950.000 Euro gegen ein Unternehmen, das Gesichtserkennung zur Altersverifikation einsetzte. Die Behörde monierte unter anderem die Speicherung biometrischer Templates ohne aktive Einwilligung und die fehlende „Privacy by Default“ für Minderjährige.

Technische Verwundbarkeit: Die Lage in Deutschland

Eine Studie aus dem Jahr 2026, die auf knapp 300 Penetrationstests im DACH-Raum basiert, zeigt alarmierende Ergebnisse: Über 80 Prozent der mittelständischen Unternehmen haben Schwächen bei der Authentifizierung, 66 Prozent mangelt es an ordnungsgemäßem Administratoren-Rechtemanagement. Und 82 Prozent der Sicherheitsvorfälle in Deutschland werden inzwischen durch KI unterstützt.

Diese Umgebung hat einen regelrechten „Angstmarkt“ geschaffen, auf dem Unternehmen zu Cloud-basierten Compliance-Tools greifen. Doch Regulierer warnen: Ein bloßer Umzug auf EU-Server reicht nicht. Der Fall der Stadt Hannover – die Microsoft 365 Education-Lizenzen für 324.000 Euro ohne Rechtsgrundlage und Datenschutz-Folgenabschätzung beschaffte und das System daraufhin abschalten musste – zeigt die Risiken unzureichender Dokumentation.

Ausblick: Transparenz-Offensive und Paradigmenwechsel

Die zweite Jahreshälfte 2026 wird eine Welle der „Transparenz-Durchsetzung“ bringen. Die Behörden prüfen zunehmend, wie Unternehmen Nutzer über Datenverarbeitung und KI-Beteiligung informieren. Die Konsultationsfrist für die neuen KI-Transparenzleitlinien endet am 3. Juni 2026 – danach wird der Weg für die ab August 2026 geltenden Pflichten klarer.

Gleichzeitig signalisieren die Regulierer einen grundlegenden Wandel ihrer Philosophie. Die BaFin hat am 1. April 2026 die 9. Novelle ihrer Mindestanforderungen an das Risikomanagement (MaRisk 10.0) zur Konsultation vorgelegt. Diese „MaRisk 10.0“ bedeutet einen Paradigmenwechsel weg von der „Checkbox-Compliance" hin zum prinzipienbasierten Management. Die Beweislast für die Angemessenheit von Sicherheitsmaßnahmen liegt künftig vollständig beim Institut – eine nachvollziehbare Begründungskette wird Pflicht.

Dieser Ansatz wird sich voraussichtlich auf andere europäische Regulierer übertragen. Unternehmen müssen über oberflächliche Compliance hinausgehen und Datenschutz in den Kern ihrer operativen Logik integrieren. Wer das nicht tut, wird es schmerzhaft zu spüren bekommen.

de | wirtschaft | 69312755 |