TikTok-Konzern wehrt sich gegen Millionenstrafe und Datenstopp

Der irische Supreme Court stoppte vorerst eine Rekordstrafe von 530 Millionen Euro und die Anordnung, Datenübermittlungen zu unterbinden. Das Urteil vom 30. April 2026 betrifft nicht nur den Videodienst, sondern die gesamte Tech-Branche in Europa.

Ob bei globalen Datenströmen oder der internen Verwaltung – die Einhaltung der DSGVO ist für Unternehmen heute überlebenswichtig. Dieser kostenlose Leitfaden zeigt Ihnen in 5 konkreten Schritten, wie Sie Ihre Dokumentationspflichten rechtssicher erfüllen und teure Bußgelder vermeiden. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Höchstrichterlicher Aufschub mit Signalwirkung

Das oberste irische Gericht wies die Berufung der Datenschutzkommission (DPC) einstimmig zurück. Die Behörde hatte versucht, einen früheren Beschluss des High Court zu kippen, der die Zahlung und die Transfer-Sperre bis zur endgültigen Klärung aussetzt. Die Begründung der Richter: Die rechtliche Grundlage für den Aufschub liege im nationalen irischen Recht, nicht in EU-Verordnungen. Solange TikToks Hauptklage gegen die DPC-Entscheidung nicht entschieden ist, bleibt die Strafe auf Eis.

Der Fall gilt als wegweisend für internationale Konzerne. Er testet, wie weit die Befugnisse nationaler Aufsichtsbehörden reichen, wenn es um globale Datenströme geht.

Fidelity muss 1,25 Millionen Dollar zahlen

Während TikTok noch prozessiert, kassierten andere Unternehmen bereits empfindliche Strafen. In Massachusetts verhängten die Behörden am 27. April 2026 ein Bußgeld von umgerechnet rund 1,1 Millionen Euro gegen Fidelity Brokerage Services. Grund war eine Sicherheitslücke in einem Dokumentensystem zwischen dem 17. und 19. August 2024.

Die Schwachstelle ermöglichte Unbefugten Zugriff auf die Daten von rund 77.000 Kunden – darunter Sozialversicherungsnummern und medizinische Informationen. Die Aufsicht rügte zudem, dass das Unternehmen die Betroffenen nicht rechtzeitig informierte.

15-Jähriger in Frankreich festgenommen

Ein besonders spektakulärer Fall beschäftigt die französische Justiz. Am 25. April 2026 nahm die Polizei einen 15-jährigen Jugendlichen fest. Er soll unter einem Decknamen versucht haben, zwischen 12 und 18 Millionen Datensätze der Nationalen Agentur für sichere Dokumente (ANTS) zu verkaufen.

Die Behörde hatte verdächtige Aktivitäten bereits Mitte April 2024 entdeckt, den Vorfall aber erst am 20. April 2026 bestätigt. Insgesamt seien 11,7 Millionen Konten kompromittiert. Der Fall zeigt, wie verwundbar staatliche Datenbanken sind – und dass die Täter immer jünger werden.

Deepfakes und Urheberrecht: Gerichte ziehen Grenzen

Die generative Künstliche Intelligenz stellt Gesetzgeber und Justiz vor völlig neue Fragen. In Arizona klagt derzeit eine Person namens "MG" gemeinsam mit anderen Betroffenen gegen die unerlaubte Nutzung von Instagram-Fotos. Die Bilder wurden verwendet, um mit KI pornografische Deepfakes zu erstellen. Das Verfahren könnte Präzedenzfallcharakter haben – es geht um den Schutz der digitalen Identität und die Verantwortung von Plattformen.

Mit dem Vormarsch der KI wachsen nicht nur die kreativen Möglichkeiten, sondern auch die rechtlichen Risiken für Unternehmen. Sichern Sie sich jetzt den kostenlosen Umsetzungsleitfaden zum EU AI Act, um alle Fristen und Dokumentationspflichten der neuen KI-Verordnung rechtzeitig im Blick zu haben. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Der Europäische Gerichtshof (EuGH) lieferte am 14. April 2026 mit dem Pelham-II-Urteil Klarheit zur sogenannten "Pastiche"-Ausnahme. Sie erlaubt die Nutzung geschützter Werke, wenn ein erkennbarer künstlerischer Dialog entsteht – etwa bei Parodien, Hommagen oder Kritiken. Voraussetzung: Die Bezugnahme auf das Original muss objektiv erkennbar sein. Für digitale Kreative ist das eine wichtige Leitlinie, auch wenn bei kurzen Audio-Samples weiterhin Unsicherheit besteht.

Plattformen haften für Nutzer-Inhalte

Der EuGH bestätigte zudem Artikel 17 der Digitalmärkte-Richtlinie. Eine Klage Polens gegen die Regelung scheiterte. Das bedeutet: Plattformen wie YouTube haften weiterhin für Urheberrechtsverletzungen ihrer Nutzer – es sei denn, sie weisen nach, dass sie alle Anstrengungen unternommen haben, Lizenzen zu sichern oder illegale Inhalte zu blockieren. Die Richter betonten, dass dies keine allgemeine Überwachungspflicht darstelle und durch Grundrechte wie die Meinungsfreiheit ausgeglichen werde.

Flickenteppich in den USA: Neue Gesetze in Kraft

Für Unternehmen wird die Lage in den USA zunehmend unübersichtlich. Seit dem 1. Januar 2026 haben Indiana, Kentucky und Rhode Island eigene Datenschutzgesetze in Kraft gesetzt. Damit gibt es nun in 20 Bundesstaaten entsprechende Regelungen. Mehr als 15 Staaten verlangen inzwischen formelle Risikobewertungen für bestimmte Datenverarbeitungen.

Die jüngsten Entwicklungen im Einzelnen:

• Maryland: Gouverneur Wes Moore unterzeichnete am 28. April 2026 ein Gesetz (HB 895), das KI-gestützte dynamische Preisgestaltung verbietet. Das Land hat zudem strenge Regeln gegen gezielte Werbung an Minderjährige und das Tracking in der Nähe von Gesundheitseinrichtungen.
• Colorado: Der Bundesstaat verschiebt die geplanten Anti-Diskriminierungsregeln für KI voraussichtlich auf Januar 2027. Ein neuer Vorschlag (SB 189) konzentriert sich stattdessen auf Transparenz: Entwickler müssen Nutzer informieren, wenn KI in sensiblen Bereichen wie Einstellungen oder Wohnungsvergabe eingesetzt wird.
• Kalifornien: Die Datenschutzbehörde CPPA startete am 20. April 2026 ein formelles Regelverfahren für den Umgang mit Mitarbeiter- und Bewerberdaten. Bürger können bis zum 20. Mai 2026 Stellungnahmen einreichen.

Großbritannien: Neue Rechtsgrundlage für Datenverarbeitung

Der britische Datenschutzbeauftragte (ICO) veröffentlichte im März 2026 neue Leitlinien zu den "Anerkannten berechtigten Interessen" (RLI) nach dem Data (Use and Access) Act 2025. Das Gesetz nennt fünf Bedingungen – darunter nationale Sicherheit, öffentliche Aufgaben und Notfälle – unter denen Unternehmen Daten ohne die übliche Abwägungsprüfung verarbeiten dürfen. Voraussetzung: Die Verarbeitung muss notwendig und verhältnismäßig sein.

Irland bleibt der Datenschutz-Sheriff Europas

Eine Umfrage der Kanzlei DLA Piper vom Januar 2026 bestätigt: Irland ist und bleibt der schärfste Datenschützer der EU. Seit Mai 2018 verhängte die irische DPC Bußgelder in Höhe von insgesamt 4,04 Milliarden Euro – fast viermal so viel wie die französischen Behörden. Allerdings: Erst rund 20 Millionen Euro wurden bislang tatsächlich eingetrieben.

Die Zahl der täglichen Datenpan-Meldungen in Europa stieg 2025 um 22 Prozent auf durchschnittlich 443 pro Tag. Die gesamten GDPR-Strafen beliefen sich 2025 auf rund 1,2 Milliarden Euro. Seit Inkrafttreten der Verordnung summiert sich der Wert auf 7,1 Milliarden Euro. Die Behörden werden mutiger – insbesondere gegenüber großen Internetdiensten und Finanzinstituten.

Ausblick: Viel Bewegung, wenig Klarheit

Die zweite Jahreshälfte 2026 verspricht weitere Weichenstellungen – allerdings mit offenem Ausgang. Die Trilog-Verhandlungen zur EU-KI-Regulierung ("Digital Omnibus") scheiterten am 28. April 2026 am Streit über bestimmte Anhänge. Damit wird der Zeitplan für die Umsetzung der Pflichten für Hochrisiko-KI-Systeme vor dem Stichtag 2. August 2026 immer enger.

In den USA bleibt eine bundesweite Regelung weiterhin blockiert. Der Justizausschuss des Senats verabschiedete zwar den GUARD Act zum Schutz Minderjähriger vor schädlichen KI-Chatbots – das Gesetz muss aber noch weitere hürden nehmen. Unternehmen müssen sich auf eine Zweigleisigkeit einstellen: strenge, zentralisierte Vorgaben in der EU und einen zunehmend kleinteiligen Flickenteppich in den USA. Die Frist für die kalifornischen Regeln zur automatisierten Entscheidungsfindung am 1. Januar 2027 rückt näher. Wer sich nicht vorbereitet, wird teuer bezahlen.

de | wirtschaft | 69270987 |