Datenschutz-Durchsetzung: Bundesnetzagentur übernimmt ab Ende Mai Kontrolle

Die digitale Regulierungswelle rollt: Ab Ende Mai gilt in Deutschland das neue Datenschutz-Durchsetzungsgesetz, während die EU diese Woche ein milliardenschweres Technologiepaket schnürt.

Seit dem 30. Mai 2026 ist das German Data Act Implementation Law (DADG) in Kraft – ein Gesetz, das die Aufsicht über den EU-Datengesetz in Deutschland neu regelt. Die zentrale Rolle übernimmt dabei die Bundesnetzagentur (BNetzA), die künftig für die Überwachung privater Unternehmen zuständig ist. Ihr Aufgabenbereich umfasst die Kontrolle von Cloud-Wechselmechanismen, die Akkreditierung von Streitbeilegungsstellen sowie die regelmäßige Marktbeobachtung.

Die Bundesnetzagentur als neuer Datenschutz-Wächter

Anzeige: Die Bundesnetzagentur übernimmt ab Mai die Datenschutz-Kontrolle – mit Bußgeldern bis zu 2% des Jahresumsatzes. Wer jetzt nicht handelt, riskiert empfindliche Strafen. Dieser Report liefert die konkrete Checkliste für Ihre DADG-Umsetzung. Jetzt kostenlosen Compliance-Report anfordern

Die neue Behördenzuständigkeit ist klar geteilt: Während die BNetzA für private Akteure zuständig ist, bleiben die Landesdatenschutzbeauftragten für öffentliche Stellen verantwortlich. Das zugrundeliegende EU-Datengesetz gilt bereits seit September 2025 – es verpflichtet Hersteller vernetzter Geräte, Nutzern den Zugriff auf ihre Daten zu ermöglichen.

Um Unternehmen den Übergang zu erleichtern, hat die Bundesnetzagentur eine Reihe von Online-Informationsveranstaltungen angekündigt, die im Juli 2026 starten. Die Botschaft ist deutlich: Wer die neuen Regeln ignoriert, riskiert empfindliche Strafen. Bei Unternehmen mit einem Jahresumsatz von über 250 Millionen Euro können Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes verhängt werden.

EU-Paket für digitale Souveränität

Parallel zu den deutschen Regelungen bereitet die EU-Kommission für den 3. Juni 2026 ein weitreichendes „Technologiesouveränitätspaket" vor. Das Ziel: Die Abhängigkeit von nicht-europäischen Anbietern reduzieren – besonders in sensiblen Bereichen wie Banken, Energie und Gesundheitswesen.

Das Paket soll ein Cloud- und KI-Entwicklungsgesetz sowie eine aktualisierte Chips-Verordnung umfassen. Der Hintergrund ist brisant: Aktuelle Marktdaten zeigen, dass US-Anbieter noch immer rund 70 Prozent des europäischen Cloud-Marktes kontrollieren. Umfragen zufolge nutzen 69 Prozent der etablierten Unternehmen und 62 Prozent der Startups primär US-Cloud-Dienste.

Die geplanten EU-Regeln sehen vor, bei strategischen öffentlichen Ausschreibungen europäische Anbieter zu bevorzugen. Zudem sollen strengere Sicherheitskriterien für Cloud-Dienste gelten, die in kritischen Infrastrukturen eingesetzt werden.

Internationale Datentransfers bleiben Risikozone

Trotz des 2023 vereinbarten EU-US-Datenschutzrahmens (DPF) warnen Experten vor anhaltenden Risiken bei internationalen Datentransfers. Der Rahmen sollte die Lücke schließen, die der Europäische Gerichtshof (EuGH) 2020 mit der Ungültigerklärung des Vorgängerabkommens „Privacy Shield" gerissen hatte. Doch Kritiker bemängeln, dass die Bedenken hinsichtlich des Zugriffs von US-Behörden auf EU-Bürgerdaten weiter bestehen.

Die Zahlen sprechen eine deutliche Sprache: Zwischen 2021 und Anfang 2026 haben die deutschen Aufsichtsbehörden über 200 Hinweise zu US-Datentransfers ausgesprochen. Unternehmen sind aufgefordert, ihre Nutzung gängiger US-Marketing- und Compliance-Tools genau zu prüfen. Bereits jetzt sind rechtliche Herausforderungen gegen den aktuellen DPF angekündigt – ein EuGH-Urteil wird für den Zeitraum 2026/27 erwartet.

Die finanziellen Risiken sind enorm: Verstöße gegen die DSGVO bei rechtswidrigen Datentransfers können mit Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes geahndet werden.

Lieferketten und KI unter der Lupe

Die Komplexität des Datenschutzes wird durch Risiken in der digitalen Lieferkette weiter verschärft. Der Verizon Data Breach Investigations Report 2025 zeigt: 30 Prozent der Sicherheitsvorfälle betreffen inzwischen Drittparteien – eine Verdopplung gegenüber 2024. Der Fall der Sicherheitslücke MOVEit aus dem Jahr 2023 dient als abschreckendes Beispiel für die Risiken unstrukturierter Daten bei Zulieferern.

Auch Künstliche Intelligenz gerät zunehmend ins Visier der Regulierer. In einem am 28. Mai 2026 veröffentlichten Bericht mit dem Titel „Unlawful by Design" bezeichnet Amnesty International das massenhafte Web-Scraping für KI-Trainingsdaten als rechtswidrigen Eingriff in die Privatsphäre. Die Organisation untersuchte mehrere große KI-Modelle und fordert staatliche Verbote für Systeme, die auf solchen Datensammlungen basieren.

Strategisches Risikomanagement als Ausweg

Anzeige: Internationale Datentransfers bleiben eine Risikozone: Über 200 Hinweise deutscher Aufsichtsbehörden seit 2021 zeigen die Dringlichkeit. Mit dem Leitfaden für DSGVO-konforme US-Transfers schützen Sie sich vor Bußgeldern bis zu 4% des Umsatzes. Leitfaden für US-Datentransfers sichern

Die Regulierungsdichte nimmt rasant zu: Neben dem Datengesetz kommen die NIS2-Richtlinie, der Digital Operational Resilience Act (DORA) und der bevorstehende EU AI Act auf die Unternehmen zu. Die Umsetzung von NIS2 in Deutschland erfolgt über das IT-Sicherheitsgesetz 3.0, das verpflichtendes menschliches Risikomanagement und strikte 24-Stunden-Meldefenster für Sicherheitsvorfälle vorsieht.

Ab dem 11. Dezember 2027 tritt zudem der Cyber Resilience Act (CRA) in Kraft, der verbindliche Anforderungen für Produkte mit digitalen Elementen einführt. Einige Plattformanbieter und spezialisierte Compliance-Firmen bieten bereits gemeinsame Reifegradprüfungen an, um Hersteller auf die Produktlebenszyklus-Anforderungen vorzubereiten.

Branchenexperten empfehlen mittelständischen Unternehmen, auf einheitliche Risikorahmenwerke wie ISO 31000 zu setzen. Damit lassen sich die überlappenden Anforderungen bewältigen, ohne massive separate Compliance-Abteilungen aufbauen zu müssen.

de | wirtschaft | 69471110 |