EU-Verschärfung: Datenschutzbehörden melden Rekordaktivität

Der deutsche Bundesbeauftragte für den Datenschutz präsentierte heute seinen Jahresbericht 2025 mit Rekordzahlen. Gleichzeitig stocken die Verhandlungen über die Umsetzung des EU AI Acts, während Tech-Konzerne vor gravierenden Privatsphäre-Risiken durch den Digital Markets Act (DMA) warnen. Die Folge: IT-Abteilungen verbringen inzwischen fast 40 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act Umsetzungsleitfaden kostenlos herunterladen

Streit um KI-Regulierung: Industrie warnt vor Überregulierung

Die Verhandlungen zum sogenannten „Digital Omnibus“ – einem Gesetzespaket zur Harmonisierung bestehender Produktsicherheitsregeln mit dem AI Act – sind am 28. April ins Stocken geraten. Der Knackpunkt: die Regulierung von KI in Industriemaschinen und Robotik. Während die deutsche Industrie darauf drängt, diese Systeme weiterhin unter bestehendem Maschinenrecht zu regeln, lehnen andere EU-Staaten Ausnahmen ab.

Die zentralen Fristen des AI Acts bleiben davon jedoch unberührt. Am 2. August 2026 treten die strengen Anforderungen für Hochrisiko-KI-Systeme in Kraft. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden. Die Verhandler sollen noch heute, am 6. Mai, erneut zusammenkommen – möglicherweise mit dem Ziel, für bestimmte Industriesektoren Übergangsfristen bis Ende 2027 oder 2028 zu vereinbaren.

In einem offenen Brief Anfang Mai warnten sieben große Technologie- und Industrieunternehmen – darunter Airbus, Siemens, SAP und Mistral AI – vor einer „Deindustrialisierung Europas“ durch übermäßige Bürokratie. Eine Studie unter 5.000 IT-Managern zeigt, dass Unternehmen im Schnitt bereits fünf verschiedene Compliance-Standards erfüllen müssen, am häufigsten die DSGVO und ISO 27001.

Google warnt: DMA gefährdet Privatsphäre

Ein neuer Konflikt entzündet sich an den Datenweitergabe-Pflichten des Digital Markets Act. Google hat die EU-Kommission Anfang Mai offiziell gewarnt: Werde Suchdaten mit Wettbewerbern geteilt, drohe die Re-Identifizierung europäischer Nutzer. Der DMA verpflichtet sogenannte „Gatekeeper“-Plattformen dazu, Drittanbietern wie OpenAI Zugang zu Ranking-, Suchanfragen- und Klickdaten zu gewähren.

Interne Tests von Google, die von Forschern gestützt werden, zeigen: Selbst vermeintlich anonymisierte Datensätze lassen sich in weniger als zwei Stunden einzelnen Nutzern zuordnen. Der Konzern argumentiert, die von der EU geforderten Anonymisierungsstandards seien unzureichend. Eine endgültige Entscheidung über die Datenweitergabe wird bis zum 27. Juli 2026 erwartet. Bei Verstößen drohen Gatekeepern Strafen von bis zu zehn Prozent des weltweiten Jahresumsatzes.

Auch Apple verschärft seine Kritik am DMA. In einer Stellungnahme zum Zweijahresbericht der EU-Kommission warnte der Konzern, dass erzwungene Öffnungen des iOS-Ökosystems – etwa durch Sideloading und Zugriff auf drahtlose Schnittstellen – neue Sicherheitslücken schaffen. Apple hatte bereits im Frühjahr 2025 eine Strafe von rund 570 Millionen US-Dollar wegen Wettbewerbsverstößen kassiert und hält bestimmte neue Funktionen dem Vernehmen nach aus regulatorischer Unsicherheit vom europäischen Markt fern.

Rekordbußgelder: BfDI meldet 11.824 Beschwerden

Der heute dem Bundestag vorgelegte Jahresbericht 2025 des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zeigt ein Rekordniveau der Durchsetzung. Behördenchefin Louisa Specht-Riemenschneider meldete 11.824 Anfragen und Beschwerden – ein Anstieg um 36 Prozent gegenüber dem Vorjahr. Die Behörde führte zudem 120 Prüfungen und Aufsichtsmaßnahmen durch. Die spektakulärste Aktion: eine 45-Millionen-Euro-Strafe gegen Vodafone wegen Verstößen gegen Transparenz- und Sicherheitspflichten.

Immer mehr Datenschutzbeauftragte nutzen diesen datenbasierten Ansatz für ihren Jahresbericht. Mit 6 konkreten Empfehlungen und einer fertigen Excel-Vorlage für Ihren Tätigkeitsbericht 2025 überzeugen Sie das Management vom Wert Ihrer Arbeit. Kostenlose Vorlage für den Datenschutz-Jahresbericht sichern

Kritik übte der BfDI an der Umsetzung der elektronischen Patientenakte (ePA). Patienten könnten derzeit nicht festlegen, dass einzelne Ärzte keinen Zugriff erhalten – ein Recht, das der Europäische Gesundheitsdatenraum (EHDS) bis 2029 garantieren soll. Auch international zeigen Behörden Durchsetzungswillen: Die dänische Datenschutzbehörde ordnete am 4. Mai an, dass die Gemeinde Aalborg bis Oktober systematische Mängel bei der Datenlöschung beheben muss.

Die Datensouveränität bleibt ein zentrales Problem für europäische Unternehmen. Einem Bericht zufolge erlebten 2025 rund 32 Prozent der EU-Firmen einen Vorfall, bei dem die Kontrolle über ihre Daten verloren ging – häufig durch fehlende Kontrolle über Verschlüsselungsschlüssel. Über die Hälfte der befragten Unternehmen investiert inzwischen mehr als eine Million Euro jährlich, um diese Probleme zu beheben. Viele planen, Compliance-Prozesse zu automatisieren.

Microsoft ändert Politik: Kein KI-Training mehr für vertrauliche Dateien

Angesichts des verschärften Regulierungsumfelds passen große Softwareanbieter ihre Richtlinien an. Microsoft kündigte am 5. Mai eine Änderung für Microsoft 365 an: Ab Ende Juni werden Dateien mit dem Label „vertraulich“ nicht mehr für KI-gestützte „verbundene Erlebnisse“ – einschließlich des Copilot-Assistenten – indexiert. Für neue Dateien wird die Analyse zu KI-Trainingszwecken standardmäßig deaktiviert, sie erfolgt künftig nur noch auf Opt-in-Basis.

Auch kleine und mittlere Unternehmen erhalten neue Werkzeuge. Der Anbieter CookieHub startete heute eine Plattform zur Automatisierung von Auskunftsersuchen betroffener Personen (DSARs) . Solche Tools werden zunehmend notwendig, da Aufsichtsbehörden betonen, dass Datenschutzrechte für Bürger praktisch umsetzbar sein müssen.

Der Europäische Datenschutzausschuss (EDPB) veröffentlichte heute zudem neue Leitlinien zur Verarbeitung personenbezogener Daten für Forschungszwecke. Demnach gilt die Weiterverarbeitung von Daten für wissenschaftliche Forschung grundsätzlich als mit dem ursprünglichen Erhebungszweck vereinbar. Während die Anonymisierung der bevorzugte Weg sei, bleibe die Pseudonymisierung eine zulässige Alternative, wenn vollständige Anonymität nicht praktikabel ist.

Ausblick: Entscheidende Monate für die Digitalpolitik

Die kommenden Monate werden richtungsweisend für die europäische Digitalpolitik. Mit der AI-Act-Frist im August müssen Unternehmen ihre Compliance-Strategien für Hochrisiko-Systeme abschließen. Ab dem 11. September 2026 kommen mit dem Cyber Resilience Act neue Meldepflichten für Sicherheitslücken hinzu.

Im Bereich der digitalen Identität treibt die EU die Einführung der EUDI Wallet voran. Zwar wurden die Fernregistrierungsregeln im April 2026 finalisiert – die Bekanntheit bleibt jedoch gering: 70 Prozent der Deutschen kennen die digitale Brieftasche noch nicht. Mit der schrittweisen Umsetzung des EHDS und weiterer sektorspezifischer Regulierungen bleibt der Datenschutz durch Technikgestaltung die zentrale Herausforderung für Unternehmen am europäischen Markt.

de | wirtschaft | 69286497 |