Gmail sammelt 26 Datenpunkte: Studie enthüllt Ausmaß der Überwachung

Googles E-Mail-Dienst erhebt mehr Nutzerdaten als jeder andere Workplace-Dienst – und das in Zeiten verschärfter Regulierung.

Eine neue Untersuchung des Datenschutzunternehmens Incogni sorgt für Unruhe in deutschen Unternehmen. Die im Frühjahr 2026 veröffentlichte Studie analysierte zehn gängige Produktivitätstools – darunter Microsoft Teams, Slack, Zoom und Notion. Das Ergebnis: Im Durchschnitt sammeln diese Apps 19 Datenpunkte pro Nutzer. Gmail liegt mit 26 verschiedenen Datentypen an der Spitze.

Die massenhafte Erhebung von Nutzerdaten durch Cloud-Dienste erhöht das Risiko für folgenschwere Sicherheitsvorfälle in Firmen massiv. Wie Sie IT-Sicherheitslücken ohne großes Budget schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen, erfahren Sie in diesem kostenlosen E-Book. Gratis-E-Book zur Stärkung der IT-Sicherheit herunterladen

Die Erkenntnisse treffen auf ein ohnehin angespanntes Sicherheitsumfeld. Erst im Januar 2026 waren bei einem schweren Sicherheitsvorfall rund 149 Millionen Gmail-Zugangsdaten offengelegt worden. Und das war kein Einzelfall: Im November 2025 traf es Slack mit 17.000 betroffenen Mitarbeitern, Anfang 2024 wurden bei Trello 15 Millionen Datensätze gestohlen.

Datenschutzbehörden schlagen Alarm

Die Zahlen befeuern die Bdte über den Schutz vertraulicher Geschäftskommunikation. Compliance-Beauftragte zeigen sich besorgt: Nicht nur die Menge der gesammelten Daten ist problematisch – auch die Weitergabe an Dritte. Das Projektmanagement-Tool Notion etwa teilt acht Datentypen mit externen Partnern. Besonders kritisch: Die Personalplattform Workday verweigert teilweise die Löschung von Daten und erschwert so das Recht auf Vergessenwerden.

Die nordrhein-westfälische Datenschutzbeauftragte Bettina Gayk meldete für 2025 einen Anstieg der DSGVO-Beschwerden um 67 Prozent – insgesamt über 12.000 Fälle. Sie warnte vor „hemmungsloser Datennutzung" und kritisierte, dass die aktuellen Gesetze keine ausreichenden Regeln für KI-gesteuerte Datenverarbeitung böten. Zu zu den konkreten Verstößen zählten etwa medizinisches Personal, das Patientendaten veröffentlichte, sowie ein Taxiunternehmen, das Gesundheitsinformationen über WhatsApp teilte.

Strengere Gesetze – doch Unternehmen sind nicht bereit

Seit Dezember 2025 gilt in Deutschland das aktualisierte BSIG als nationale Umsetzung der europäischen NIS-2-Richtlinie. Die Zahl der betroffenen Unternehmen stieg von rund 4.000 auf über 29.000. Doch die Bereitschaft hinkt hinterher: Bis zum Stichtag am 6. März 2026 hatten nur 38 Prozent der Unternehmen die geforderten Registrierungen vorgenommen.

Die Konsequenzen sind drastisch. Die Geschäftsführung haftet persönlich für IT-Risikomanagement-Fehler. Bußgelder von bis zu 7 Millionen Euro oder 1,4 Prozent des globalen Jahresumsatzes drohen – auch für „wichtige Einrichtungen" wie bestimmte Chemiehersteller und Importeure.

Auch in den USA verschärft sich die Lage. Seit Januar 2026 gelten neue Datenschutzgesetze in Indiana, Kentucky und Rhode Island. Ab Juli 2026 müssen Unternehmen in Connecticut offenlegen, ob sie persönliche Daten für KI-Training nutzen.

Unternehmen investieren massiv in Datensouveränität

Die Bedrohungslage zwingt Firmen zum Umdenken. Eine aktuelle Umfrage unter CIOs im DACH-Raum zeigt: 73 Prozent planen 2026 höhere Ausgaben für Data Governance. Der Grund liegt auf der Hand: Im Schnitt verwalten Unternehmen in der Region 14 isolierte Datensysteme. Diese Zersplitterung gilt als Hauptgrund dafür, dass 68 Prozent der KI-Pilotprojekte scheitern – wegen schlechter Datenqualität und fehlender struktureller Integrität.

Der Einsatz von KI-Systemen stellt Unternehmen vor völlig neue rechtliche Herausforderungen und Dokumentationspflichten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den notwendigen Überblick über Risikoklassen und alle relevanten Übergangsfristen. Kostenlosen Leitfaden zur EU-KI-Verordnung sichern

Immer mehr Unternehmen setzen daher auf Confidential Computing und Data-Mesh-Architekturen. Diese Technologien, etwa durch Partnerschaften zwischen Hardware-Anbietern wie Dell und Softwarefirmen wie enclaive, erlauben es, Daten selbst während der Verarbeitung verschlüsselt zu halten – ein Konzept, das als 3-D-Verschlüsselung bekannt ist. Der „Hold Your Own Key"-Ansatz gilt als Schlüssel zur Erfüllung der Nachweispflichten des EU AI Acts und der Digital Operational Resilience Act (DORA).

Cyberangriffe werden professioneller

Die Professionalisierung der Bedrohungslage beschleunigt diesen Wandel. Ende April 2026 traf ein koordinierter Supply-Chain-Angriff Entwickler, die Tools von Bitwarden und Checkmarx nutzten. Ziel war der Diebstahl von Zugangsdaten und Konfigurationen für KI-Assistenten. Sicherheitsfirmen wie Sophos warnen: Angriffe auf offizielle Vertriebskanäle wie GitHub und Docker Hub zeigen, dass traditionelle Perimetersicherheit nicht mehr ausreicht.

„Intelligente Compliance" als neuer Standard

Die Ära, in der digitale Bequemlichkeit über Datenschutz stand, neigt sich dem Ende zu. Die Debatte über den Vorschlag der US-Cybersicherheitsbehörde CISA, die Frist zur Behebung digitaler Schwachstellen von mehreren Wochen auf nur drei Tage zu verkürzen, spiegelt die neue Realität: KI-Modelle können die Zeit zwischen Entdeckung und Ausnutzung einer Sicherheitslücke auf wenige Stunden komprimieren.

Auch die EU-Kommission wird aktiver. Ihre vorläufigen Feststellungen, dass Meta auf seinen Plattformen Minderjährige nicht ausreichend schützt, könnten zu Bußgeldern von bis zu 6 Prozent des globalen Umsatzes führen. Diese proaktive Durchsetzung signalisiert: Datenschutz ist keine technische Nebensache mehr, sondern Kernaufgabe der Unternehmensführung.

Ausblick: Digitale Souveränität als Wettbewerbsvorteil

Für Unternehmen, die weiterhin auf Plattformen wie Gmail setzen, zeichnet sich ein klarer Trend ab: der Umstieg auf souveränere Lösungen. Während OpenAI Ende April 2026 seine Richtlinien um Werbe-Tracking via Cookies für US-Nutzer erweiterte, gehen europäische Initiativen den umgekehrten Weg. Die Migration auf europäisch gehostete Infrastrukturen und die Entwicklung unabhängiger Identitäts-Wallets zeigen: Digitale Souveränität ist kein Luxus, sondern Notwendigkeit.

Wie der australische Datenschutzbeauftragte zu Beginn der Privacy Awareness Week am 4. Mai 2026 betonte: Vertrauen ist die Währung der digitalen Wirtschaft. Dieses Vertrauen zu schaffen, erfordert transparente Datenpraktiken, die weit über einfache Funktionsupdates hinausgehen – und die grundlegende Architektur der Informationsverarbeitung neu denken.

de | wirtschaft | 69277364 |