FTC-Verbot für Datenhändler: Milliardenmarkt unter Druck

Die US-Handelsbehörde FTC hat dem Datenbroker Kochava den Verkauf sensibler Standortdaten untersagt – ein Signal mit globaler Wirkung. Zeitgleich treiben neue EU-Regeln und Plattform-Kontrollen die Unternehmen in die Pflicht.

Der Vergleich zwischen der Federal Trade Commission (FTC) und Kochava beendet einen Rechtsstreit aus dem Jahr 2022. Das Unternehmen darf künftig keine geografischen Bewegungsdaten mehr verkaufen, die mit Namen und Adressen verknüpft sind – es sei denn, die Nutzer haben ausdrücklich zugestimmt. Die Auflagen sind hart: Kochava muss ein „Sensitive-Location-Programm" einführen, Lieferanten prüfen und gesammelte Daten löschen.

Angesichts strengerer Kontrollen für Datenbroker und Plattformen stehen Unternehmen zunehmend in der Pflicht, ihre IT-Sicherheit und den Schutz sensibler Daten ohne explodierende Kosten zu gewährleisten. Dieser kostenlose Ratgeber zeigt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen rechtssicher erfüllen. IT-Sicherheit stärken ohne teure Investitionen: Gratis-E-Book jetzt herunterladen

Für die deutsche Wirtschaft ist der Fall richtungsweisend. „Was in den USA möglich ist, wird auch in Europa diskutiert", sagt ein Datenschutzexperte aus Berlin. Die EU-Kommission hat bereits angekündigt, die Regeln für Datenbroker zu verschärfen.

Microsofts Agent 365: Neue Waffe gegen „Shadow AI"

Parallel zu den regulatorischen Maßnahmen bringt Microsoft am 1. Mai 2026 sein neues Kontrolltool Agent 365 auf den Markt. Die Plattform kostet 15 Euro pro Nutzer und Monat und soll Unternehmen helfen, den Überblick über unkontrollierte KI-Agenten zu behalten – sogenannte „Shadow AI".

Das Problem ist real: Eine Studie des IT-Dienstleisters Logicalis zeigt, dass nur 37 Prozent der Chief Information Officers (CIOs) den vollen Überblick über die KI-Tools in ihren Abteilungen haben. 62 Prozent der Befragten geben zu, Abstriche bei der Governance zu machen – aus Mangel an internem Fachwissen.

In Deutschland, Österreich und der Schweiz ist die Lage noch dramatischer: 72 Prozent der IT-Verantwortlichen beklagen einen Fachkräftemangel als größtes Hindernis für eine wirksame KI-Kontrolle.

EU AI Act: Strafen bis zu 30 Millionen Euro

Der Countdown läuft: Bis zum 2. August 2026 müssen alle KI-generierten Inhalte in maschinenlesbarer Form gekennzeichnet sein. Wer gegen die Vorschriften des EU AI Act verstößt, riskiert Strafen von bis zu 30 Millionen Euro oder sechs Prozent des globalen Jahresumsatzes.

Da die EU-KI-Verordnung bereits konkrete Pflichten zur Risikodokumentation und Qualitätssicherung vorschreibt, sollten Unternehmen ihre Compliance-Strategie jetzt anpassen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen. Kostenloses E-Book zum EU AI Act jetzt sichern

Die deutsche Wirtschaft steht unter Druck. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits neue Standards veröffentlicht: Die C5:2026-Anforderungen vom 7. April 2026 verlangen von Cloud-Anbietern jährliche Hintergrundchecks für Mitarbeiter mit Zugang zu Produktionsumgebungen.

Meta AI: Widerspruchsrecht bleibt – aber mit Haken

Auch die sozialen Netzwerke geraten in den Fokus. Meta nutzt weiterhin öffentliche Beiträge von Facebook und Instagram für das Training seiner KI-Modelle. Ein Urteil des Oberlandesgerichts Köln (Az. 15 UKl 2/25) bestätigte die Rechtmäßigkeit dieser Praxis – unter bestimmten Bedingungen.

Die entscheidende Frist war der 26. Mai 2025: Wer bis dahin widersprochen hatte, schützte alle zuvor veröffentlichten Daten. Für alle anderen gilt: Das Widerspruchsrecht bleibt aktiv, bezieht sich aber nur auf künftige Beiträge. WhatsApp-Daten sind derzeit ausgeschlossen – Experten raten dennoch zu präventiven Widersprüchen.

GDPR-Fokus: Mittelstand im Visier der Aufseher

Die Datenschutzbehörden haben den Kurs geändert. Während die ersten Jahre der Datenschutz-Grundverordnung (DSGVO) vor allem gegen Tech-Giganten vorgingen, rücken nun kleine und mittlere Unternehmen (KMU) in den Fokus. Die kumulierten Bußgelder seit 2018 haben die Marke von 4,5 Milliarden Euro überschritten.

Häufigster Auslöser für Strafen: die verspätete Meldung von Datenpannen. Artikel 33 der DSGVO verlangt eine Meldung innerhalb von 72 Stunden – und zwar ab dem Moment, in dem irgendein Teil des Unternehmens von der Panne erfährt, nicht erst nach der Eskalation zur Geschäftsführung.

Für Unternehmen mit etabliertem Datenschutzmanagement liegen die Strafen zwischen 5.000 und 100.000 Euro. Bei systematischen Verstößen drohen sechsstellige Summen.

Daten-Architektur im Umbruch: Vom Data Lake zum Data Mesh

Die hohe Fehlerquote bei KI-Projekten – geschätzte 68 Prozent scheitern an schlechter Datenqualität – zwingt Unternehmen zum Umdenken. Statt zentraler Datenseen setzen immer mehr Firmen auf Data-Mesh-Architekturen: Daten werden dezentral in den Fachabteilungen verwaltet.

Für große Unternehmen bedeutet das einen Umbau von 18 bis 36 Monaten. Der durchschnittliche Konzern betreibt heute 14 isolierte Datensysteme – eine Fragmentierung, die mit Data Mesh überwunden werden soll. 73 Prozent der CIOs im DACH-Raum nennen „Datensouveränität" als wichtigstes Investitionsziel für 2026.

Ausblick: Das Ende der passiven Datensammlung

Der Trend ist eindeutig: Die Last der Datenkontrolle wandert vom Verbraucher zum Anbieter. In Kalifornien startete am 1. Januar 2026 die Plattform DROP – ein „One-Click"-Service, mit dem Bürger ihre Löschung aus allen registrierten Datenbrokern verlangen können. Ab dem 1. August 2026 drohen Brokern Strafen von 200 Dollar pro Tag, wenn sie diese Anfragen nicht innerhalb von 45 Tagen bearbeiten.

Der Erfolg des kalifornischen Modells und die bevorstehende Durchsetzung des EU AI Act im August 2026 lassen nur einen Schluss zu: Die Ära der passiven Datensammlung geht zu Ende. Unternehmen müssen von „Checkbox-Compliance" zu proaktiven, automatisierten Governance-Systemen übergehen – oder mit empfindlichen Strafen rechnen.

de | wirtschaft | 69278619 |