EU verschärft Datenschutz-Kontrolle bei Tech-Giganten

Die europäischen Datenschutzbehörden gehen mit neuen Werkzeugen und schärferen Kontrollen gegen globale Tech-Konzerne vor. Unabhängige Audits zeigen derweil massive Lücken bei der Einhaltung von Privatsphäre-Einstellungen – mit Milliardensanktionen im Raum.

Standardisierte Vorlagen und koordinierte Durchsetzung

Die Europäische Datenschutzausschuss (EDPB) hat am 15. April eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DSFA) vorgestellt. Ziel ist eine einheitlichere und einfachere Einhaltung der DSGVO. Obwohl die Nutzung freiwillig ist, empfiehlt der Ausschuss die Vorlage, um Risiken besser zu identifizieren. Eine öffentliche Konsultation läuft bis zum 9. Juni.

Fehlende oder fehlerhafte Datenschutzfolgenabschätzungen können Unternehmen teure Bußgelder von bis zu 2 % des Jahresumsatzes kosten. Mit dieser kostenlosen Muster-Vorlage und den praktischen Checklisten erstellen Sie Ihre DSFA rechtssicher und individuell angepasst. Jetzt kostenlose Muster-DSFA herunterladen

Parallel startete die EDPB eine koordinierte Durchsetzungsaktion mit 25 nationalen Aufsichtsbehörden. Sie prüft, ob Tech-Firmen ihre Transparenzpflichten aus den Artikeln 12 bis 14 der DSGVO einhalten. Die Ergebnisse sollen in einem EU-weiten Bericht münden.

Bereits im Frühjahr hatte die EDPB einen Bericht zum Recht auf Löschung vorgelegt. Systemische Probleme wie mangelnde interne Verfahren und unzureichende Schulungen führen zu immer mehr Beschwerden. Das Landesdatenschutzzentrum Baden-Württemberg verzeichnete 2025 mit über 7.600 Eingaben einen Rekord.

Audits enthüllen: Opt-out-Signale werden ignoriert

Während die Regulierer nachschärfen, offenbart unabhängige Forschung alarmierende Defizite. Eine webXray-Studie mit über 7.000 Websites zeigt: Große Tech-Konzerne missachten häufig das Global Privacy Control (GPC)-Signal. Rund 55 Prozent der Seiten setzten Werbe-Cookies, obwohl Nutzer widersprochen hatten.

Die Unterschiede zwischen den Giganten sind frappierend: Google ignorierte Opt-out-Signale in 87 Prozent der Fälle, Meta in 69 Prozent und Microsoft in etwa 50 Prozent. Laut Analyse setzt Google aktiv Tracking-IDs trotz GPC-Signal, während Metas Code das Signal gar nicht prüfte.

Die potenziellen Strafen unter kalifornischem Recht werden auf 5,8 Milliarden US-Dollar geschätzt. Meta hat bereits über 9,3 Milliarden US-Dollar an Datenschutzstrafen gezahlt, Google etwa 2,3 Milliarden.

Als Reaktion auf ähnliche Bedenken schlug die EU-Kommission am 16. April neue Maßnahmen für Google vor. Unter dem Digital Markets Act (DMA) soll der Konzern Ranking-, Such- und Klickdaten fair mit Drittanbietern teilen – eine Regel, die auch für KI-Chatbots mit Suchfunktion gelten soll.

Nationale Gesetze und die Barrierefreiheits-Lücke

Auch auf nationaler Ebene bewegt sich viel. Der Bundestag verabschiedete am 26. März das Datengesetz-Umsetzungsgesetz (DADG). Die Bundesnetzagentur wird zur zuständigen Behörde und kann Bußgelder von bis zu 5 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängen.

Jenseits des Datenschutzes wird digitale Barrierefreiheit zur neuen Hürde. Eine Analyse von 5.432 deutschen Websites durch accessibleAI ergab: Keine einzige Seite erfüllte vollständig das Barrierefreiheitsstärkungsgesetz (BFSG) oder WCAG 2.2 AA-Standards. Rund 78 Prozent verfehlten grundlegende Anforderungen – bei Strafrisiken bis 100.000 Euro.

KI als neuer Konfliktherd

Die rasante Integration von Künstlicher Intelligenz schafft neue Reibungspunkte. Die EU-Kommission warnte Meta am 15. April vor möglichen Zwangsmaßnahmen. Grund: Die Integration des KI-Assistenten „Meta AI“ in WhatsApp könnte gegen Wettbewerbsrecht verstoßen, da der Zugang auf die eigene KI beschränkt wird.

Die rasante Entwicklung von KI-Systemen bringt neue rechtliche Pflichten mit sich, die viele Unternehmen noch unterschätzen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act erklärt Ihnen kompakt alle Risikoklassen, Fristen und Dokumentationsanforderungen. Kostenloses E-Book zur KI-Verordnung sichern

Experten betonen, dass der KI-Erfolg von einer „privacy-led user experience“ abhängt. Datenschutz müsse sich von einer einmaligen Einwilligung zu einer kontinuierlichen Vertrauensbeziehung entwickeln, so ein Bericht des MIT Technology Review Insights.

Gleichzeitig treibt die Kommission datenschutzfreundliche Technologien voran. Eine neue, Open-Source-Altersverifikations-App nutzt Zero-Knowledge-Beweise, um das Alter zu prüfen, ohne die Identität preiszugeben. Länder wie Frankreich, Italien und Spanien wollen sie in nationale digitale Brieftaschen integrieren.

Ausblick: Mehr Regulierung, mehr lokale Infrastruktur

Die kommenden Monate bringen weitere Meilensteine. Die volle Anwendung des EU-KI-Gesetzes beginnt im August 2026. Der geplante Cybersecurity Act 2.0 für 2027 wird voraussichtlich auf die Meldepflichten der NIS-2-Richtlinie aufbauen.

Angesichts steigender Kosten für Datenschutzverletzungen – derzeit über 4 Millionen US-Dollar pro Vorfall – ändern Unternehmen ihre Strategie. Fast 90 Prozent der Organisationen planen, ihre On-Premises-Dateninfrastruktur in den nächsten zwei Jahren auszubauen. Getrieben von Souveränitätsbedenken und komplexen Datenübermittlungen wird eine robuste Compliance zur betrieblichen Notwendigkeit.

de | boerse | 69174648 |