Europäische Datenschutzbehörden verhängen Rekordstrafe gegen Yango

100 Millionen Euro Bußgeld für Datentransfers nach Russland – während Gerichte die Hürden für Schadensersatzklagen erhöhen.

Die europäische Datenschutzlandschaft befindet sich im Umbruch. Während Aufsichtsbehörden Rekordstrafen gegen internationale Tech-Konzerne verhängen, bremsen deutsche Gerichte private Schadensersatzklagen aus. Gleichzeitig verschiebt die EU die Fristen für das KI-Gesetz – ein Drahtseilakt zwischen strenger Regulierung und wirtschaftlicher Realität.

Die neuen Anforderungen des EU AI Acts stellen Unternehmen vor komplexe Herausforderungen bei der Dokumentation und Risikobewertung ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden hilft Ihrer IT- und Rechtsabteilung dabei, alle relevanten Übergangsfristen und Pflichten der KI-Verordnung rechtzeitig zu erfüllen. EU AI Act in 5 Schritten verstehen

Rekordstrafe: 100 Millionen Euro für Yango

Im Mai 2026 verhängten europäische Behörden eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V. – besser bekannt als Yango. Der Vorwurf: unerlaubte Datentransfers nach Russland. Diese Entscheidung folgt auf eine noch höhere Strafe gegen TikTok: Die irische Datenschutzkommission (DPC) belegte die Plattform mit 530 Millionen Euro Bußgeld wegen rechtswidriger Übermittlung europäischer Nutzerdaten nach China. TikTok kündigte bereits an, in Berufung zu gehen – nachdem das Unternehmen bereits 2023 eine Strafe von 345 Millionen Euro zahlen musste.

Die Botschaft der Regulierungsbehörden ist klar: Datensouveränität hat oberste Priorität. Rund 73 Prozent der EU-Unternehmen setzen inzwischen auf lokale Dateninfrastruktur.

Gerichte bremsen Schadensersatzklagen aus

Doch während die Behörden hart durchgreifen, zeigen sich Gerichte zurückhaltend. Das Amtsgericht Nürnberg entschied im Juli 2025: Bloßes Unwohlsein bei der Datenverarbeitung reicht nicht für Schadensersatz. Kläger müssen einen konkreten, messbaren Schaden nachweisen.

Das Gericht bestätigte zudem, dass die Weitergabe von Daten an Auskunfteien zur Betrugsprävention auf Basis „berechtigter Interessen" zulässig ist. Und: Die Einwilligung zur Datenverarbeitung kann freiwillig sein, selbst wenn sie an einen Vertragsabschluss gekoppelt ist – solange das Unternehmen keine Monopolstellung hat.

Das Oberverwaltungsgericht Lüneburg zog eine klare Grenze: Eine Online-Apotheke darf Kunden nicht pauschal nach ihrem Geburtsdatum fragen. Nur bei bestimmten Produkten oder Zahlungsmethoden sei dies gerechtfertigt.

EU verschiebt KI-Regulierung – aber nicht die Strafen

Der „Digital Omnibus" vom 7. Mai 2026 bringt Unternehmen mehr Zeit:

• High-Risk-KI-Systeme (Anhang III): müssen erst ab 2. Dezember 2027 vollständig konform sein
• KI in Medizinprodukten: Frist bis 2. August 2028
• Transparenzpflichten für generative KI: Neue Systeme müssen ab 2. August 2026 Wasserzeichen setzen, bestehende Systeme bis 2. Dezember 2026

Die Strafen bleiben jedoch hoch: Bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes drohen bei verbotenen KI-Praktiken – etwa der Erstellung nicht-einvernehmlicher intimer Bilder oder KI-generierten Kindesmissbrauchsmaterials.

Cyberkriminalität erreicht neue Dimensionen

Das Bundeskriminalamt registrierte 2025 in Deutschland 333.922 Fälle von Cyberkriminalität – mit einem wirtschaftlichen Schaden von 202,4 Milliarden Euro. Besonders alarmierend:

• 86 Prozent aller Phishing-Angriffe werden inzwischen von KI unterstützt
• „Quishing" (QR-Code-Phishing) stieg im ersten Quartal 2026 um 150 Prozent auf 18 Millionen Fälle

Das Landgericht Berlin II machte nun Banken für Schäden aus Phishing-Angriffen haftbar – eine weitere Verschärfung der Haftungslandschaft.

Angesichts der massiven Zunahme KI-gestützter Cyberangriffe und Rekord-Schäden durch Phishing wird die proaktive Absicherung für Unternehmen überlebenswichtig. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und Ihre Firma ohne großes Budget vor aktuellen Bedrohungen schützen. Gratis-E-Book zur Cyber-Security jetzt herunterladen

Saudisches Datenschutzgesetz tritt in Kraft

Auch außerhalb Europas steigt der Druck. Die saudische Daten- und KI-Behörde (SDAIA) leitete am 17. Mai 2026 die Durchsetzung des neuen Datenschutzgesetzes ein – mit 48 Disziplinarmaßnahmen in der ersten Welle. Unternehmen drohen Strafen von bis zu 1,2 Millionen Euro, bei Wiederholung das Doppelste.

Was Unternehmen jetzt wissen müssen

Die Botschaft ist eindeutig: Technische Compliance und rechtliche Verteidigungsstrategie sind gleichermaßen wichtig. Die durchschnittlichen Kosten eines Datenlecks liegen bei umgerechnet rund 4,5 Millionen Euro, Cybervorfälle lassen Aktienkurse im Schnitt um 27 Prozent einbrechen.

Für Compliance-Abteilungen heißt das:

• Bis August 2026: Wasserzeichen-Pflicht für neue generative KI-Systeme umsetzen
• KI-Kompetenz (Art. 4 KI-Verordnung) ist seit Februar 2025 Pflicht
• Cyber-Resilience-Act tritt am 11. September 2026 in Kraft – mit neuen Anforderungen für vernetzte Produkte

Die Fristverlängerungen sind kein Freifahrtschein. Sie geben Unternehmen Zeit für eine gründliche Umsetzung – doch die Ära der strengen Datenschutzdurchsetzung hat gerade erst begonnen.

de | wirtschaft | 69365268 |