Datenschutz-Folgenabschätzung wird zur Chefsache

Mit kumulierten GDPR-Strafen von über 7,1 Milliarden Euro bis Mai 2026 hat sich die Datenschutz-Folgenabschätzung (DPIA) vom lästigen Compliance-Posten zum strategischen Risikoinstrument entwickelt. Der Druck kommt von allen Seiten: strengere Regulierung, explodierende Bußgelder und eine zunehmend misstrauische Kundschaft.

Fehlende oder lückenhafte Datenschutzfolgenabschätzungen können Unternehmen heute Bußgelder von bis zu 2 % des Jahresumsatzes kosten. Mit diesem kostenlosen E-Book erhalten Sie eine rechtssichere Muster-Vorlage und Checklisten, um Ihre DSFA-Pflichten sofort und individuell anpassbar zu erfüllen. Rechtssichere Datenschutzfolgenabschätzung in wenigen Schritten erstellen

Spanischer Präzedenzfall: Datenverstoß beginnt beim Fragen

Ein wegweisendes Urteil des spanischen Obersten Gerichtshofs vom 4. Mai 2026 macht klar: Illegal ist die Datenerhebung bereits im Moment der Aufforderung – nicht erst bei der Speicherung. Eine Justizvollzugsanstalt auf Lanzarote hatte von Beamten im Krankenstand detaillierte medizinische Diagnosen verlangt. Das Gericht sah darin einen klaren Verstoß gegen das Datenminimierungsgebot. Die Botschaft an Unternehmen: Wer interne Prozesse einführt, muss vorher prüfen, ob die Daten überhaupt nötig sind.

FTC schreitet gegen Standortdaten-Handel ein

Auch jenseits des Atlantiks wird der Ton rauer. Die US-Handelsbehörde FTC erzwang am 4. Mai einen Vergleich mit dem Datenbroker Kochava. Das Unternehmen darf künftig keine sensiblen Standortdaten mehr verkaufen – etwa Bewegungsprofile von Kliniken oder Gotteshäusern. Auflage: ein „Sensitive-Location-Programm" mit strengen Lieferanten-Audits und Löschfristen.

Mittelstand im Visier der Aufsicht

Während Milliardenstrafen gegen Tech-Giganten die Schlagzeilen dominierten, zielt die aktuelle Enforcement-Welle auf den Mittelstand. Die Region Süddänemark akzeptierte am 4. Mai ein Rekordbußgeld von umgerechnet rund 67.000 Euro – die höchste je gegen eine dänische Behörde verhängte Strafe. Branchenbeobachter sehen einen klaren Trend: Systemische Verstöße kosten kleine und mittlere Unternehmen inzwischen regelmäßig zwischen 50.000 und 100.000 Euro.

„Shadow AI": Die blinden Flecken der Chefs

Nur 37 Prozent der IT-Verantwortlichen haben laut dem Logicalis CIO Report 2026 vollständigen Überblick über die KI-Tools in ihren Unternehmen. 62 Prozent räumen ein, bei der Governance Kompromisse zu machen – schlicht aus Personalmangel. Dieses „Shadow AI"-Problem wird brisant, denn im August 2026 treten die ersten Pflichten des EU AI Acts in Kraft. Gefordert sind dann lückenlose Nachweise über Datenqualität und -herkunft.

Die Konsequenz: Rund 68 Prozent der KI-Pilotprojekte scheiterten zuletzt an schlechter Datenqualität. In der DACH-Region wollen 73 Prozent der CIOs ihre Budgets umschichten – weg von der Benutzeroberfläche, hin zu Dateninfrastruktur und Governance. Ziel ist es, die durchschnittlich 14 isolierten Datensysteme pro Unternehmen in transparente Architekturen wie Data Mesh zu überführen.

Angesichts der neuen Anforderungen durch den EU AI Act stehen viele IT- und Rechtsabteilungen unter Zeitdruck bei der Risikodokumentation. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Fristen und Pflichten, damit Ihr Unternehmen bei KI-Systemen rechtlich auf der sicheren Seite bleibt. EU AI Act in 5 Schritten verstehen: Fristen und Pflichten kompakt erklärt

BSI verschärft Cloud-Standard C5

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte am 7. April den aktualisierten C5:2026-Standard für Cloud-Computing. Neuer Schwerpunkt: Personalsicherheit. Mitarbeiter in Produktionsumgebungen müssen künftig Identitätsprüfungen und Hintergrundchecks durchlaufen. Die Maßnahmen sind auf die NIS2-Richtlinie abgestimmt, deren aktive Prüfphase das BSI im Mai 2026 startet.

Betroffen sind rund 29.500 regulierte Einrichtungen in Deutschland. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des globalen Jahresumsatzes – plus persönliche Haftung für die Geschäftsführung.

Pseudonymisierung: Kein Freibrief

Der Europäische Datenschutzausschuss (EDPB) hat sich gegen geplante Änderungen im EU-Digital-Omnibus ausgesprochen. Die vorgeschlagenen Kriterien, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten, lehnen die Aufseher ab. Ihre Begründung: Das würde Rechtsunsicherheit schaffen und die GDPR schwächen. Unternehmen müssen pseudonymisierte Datensätze weiterhin mit der gleichen Sorgfalt behandeln wie Klardaten.

BVG und Brandenburg: Lehrstücke für Versäumnisse

Die Berliner Datenschutzbeauftragte erteilte den Verkehrsbetrieben BVG eine Verwarnung. Grund: Ein Dienstleister hatte im April 2025 die Namen und Adressen von bis zu 180.000 Kunden offengelegt. Die BVG versäumte nicht nur die Löschfristen-Überwachung, sondern meldete den Vorfall fast zwei Wochen zu spät – weit jenseits der 72-Stunden-Frist.

In Brandenburg stiegen die Datenschutzbeschwerden 2025 um zehn Prozent auf knapp 1.600 Fälle. Ein besonders kurioser Fall: Ein Campingplatz betrieb 14 Kameras ohne nachvollziehbaren Sicherheitsgrund – und zahlte eine vierstellige Strafe. Die Botschaft: Auch lokale Betreiber müssen die Verhältnismäßigkeit ihrer Datenverarbeitung nachweisen.

Ausblick: Was kommt im zweiten Halbjahr 2026?

Der Druck bleibt hoch. Am 6. Mai want Kanadas Datenschutzbeauftragter die Ergebnisse seiner OpenAI-Untersuchung vorlegen – parallel läuft eine beschleunigte Prüfung zu Deepfakes auf der Plattform X. Der Europäische Datenschutzbeauftragte lädt für den 9. Mai zu einem Tag der offenen Tür zum Thema KI, Gesichtserkennung und Privatsphäre.

Für Ende 2026 ist der Start der EU Digital Wallet geplant – eine neue Infrastruktur für Altersverifikation und Identitätsmanagement. Eine Umfrage vom Dezember 2025 zeigt: 73 Prozent der Europäer unterstützen eine verpflichtende digitale Altersprüfung zum Schutz Minderjähriger.

Die Kernbotschaft des Frühlings 2026 ist klar: Datenschutz ist keine Compliance-Übung mehr. Unternehmen, die DPIAs in ihre strategische Planung integrieren, werden die komplexen Anforderungen von AI Act und NIS2 meistern. Alle anderen zahlen – und das teuer.

de | wirtschaft | 69279023 |