Datenschutz frisst Arbeitszeit: Fast 40 Prozent für Compliance

Eine aktuelle Sophos-Studie belegt: IT-Experten verbringen inzwischen 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Ganze 82 Prozent der Befragten zweifeln daran, alle aktuellen und künftigen Vorschriften überhaupt bewältigen zu können. Der Druck kommt von allen Seiten – Rekordbeschwerden bei deutschen Aufsichtsbehörden, Milliardenstrafen in den USA und ein neues Tempo bei der KI-Regulierung.

Angesichts der neuen gesetzlichen Anforderungen des EU AI Acts stehen IT-Abteilungen vor massiven Dokumentationspflichten. Dieser kostenlose Leitfaden verschafft Ihnen den nötigen Überblick über Fristen und Risikoklassen, um rechtlich auf der sicheren Seite zu stehen. EU AI Act in 5 Schritten verstehen

Rekord-Beschwerden bei deutschen Datenschützern

Die Behörden laufen heiß. Der Bundesbeauftragte für den Datenschutz (BfDI) verzeichnete 2025 insgesamt 11.824 Eingaben – ein Anstieg um 36 Prozent gegenüber 2024 und satte 52 Prozent mehr als 2023. Die Zahl der Beschwerden hat sich damit binnen zwei Jahren mehr als verdoppelt. Die Behörde führte 80 Vor-Ort-Kontrollen und 40 schriftliche Prüfungen durch, verhängte insgesamt 129 Maßnahmen.

Besonders spektakulär: eine 45-Millionen-Euro-Strafe gegen Vodafone. Der Telekommunikationsriese hatte die Kontrolle über Partneragenturen vernachlässigt und Sicherheitslücken bei Authentifizierungsprozessen nicht geschlossen.

Doch während die Arbeit wächst, drohen mancherorts Kürzungen. In Baden-Württemberg plant die Landesregierung, die Stellen beim Landesdatenschutzbeauftragten (LfDI) um 40 Prozent zu reduzieren – als Teil eines Modernisierungsprogramms. Kritiker der Deutschen Vereinigung für Datenschutz (DVD) warnen: Das könnte gegen die DSGVO verstoßen, die ausreichende Ressourcen für Aufsichtsbehörden vorschreibt. Besonders brisant: Die Kürzungen kommen zu einer Zeit, in der die Polizeibefugnisse für biometrische Gesichtserkennung ausgeweitet werden.

EU-KI-Verordnung: Zeit gewonnen, aber nicht für alles

Am 7. Mai 2026 einigten sich EU-Mitgliedstaaten und Parlament auf das „Digital Omnibus VII"-Paket. Die wichtigste Änderung: Hochriskante KI-Systeme müssen die strengen Regeln nun erst ab Dezember 2027 erfüllen – statt wie ursprünglich geplant ab August 2026. Eingebettete KI-Systeme, etwa in Medizingeräten oder Spielzeug, haben sogar bis August 2028 Zeit.

Für die Industrie eine willkommene Verschnaufpause. Viele Hersteller sind ganz aus dem Anwendungsbereich raus, wenn für ihre Produkte bereits sektorspezifische Sicherheitsregeln gelten.

Doch andere Fristen rücken näher. Bereits Dezember 2026 treten Verbote für „Nudifier"-Apps und nicht einvernehmliche KI-generierte Deepfakes in Kraft. Und ab Ende 2026 muss sämtliche KI-generierte Inhalte mit digitalen Wasserzeichen gekennzeichnet sein.

Kanada greift durch: OpenAI unter Druck

Auch jenseits des Atlantiks wird der Ton rauer. Am 8. Mai 2026 schloss Kanadas Datenschutzbeauftragter eine Untersuchung gegen OpenAI ab. Das Unternehmen hatte persönliche Daten – darunter Krankengeschichten von Minderjährigen – ohne ausreichende Einwilligung gesammelt, um ChatGPT zu trainieren. OpenAI willigte ein, Maßnahmen wie Datenmaskierung und klarere Nutzerhinweise umzusetzen.

General Motors: 12,75 Millionen Dollar Strafe

Ein weiteres Signal an die Wirtschaft: Der kalifornische Attorney General erwirkte am 8. Mai 2026 einen Vergleich mit General Motors über 12,75 Millionen Dollar – umgerechnet rund 11,8 Millionen Euro. Der Autobauer hatte zwischen 2020 und 2024 Standort- und Fahrerdaten von Hunderttausenden Kaliforniern an Datenbroker wie Verisk und LexisNexis verkauft – ohne ausreichende Einwilligung der Betroffenen.

Es ist die höchste je verhängte Strafe nach dem California Consumer Privacy Act (CCPA). GM muss für fünf Jahre auf den Verkauf von Fahrerdaten verzichten und sämtliche gespeicherten Informationen löschen.

Delta Dental: Verspätete Meldung teuer bezahlt

Auch der Gesundheitssektor steht unter Beobachtung. Ende April 2026 einigte sich Delta Dental mit der New Yorker Finanzaufsicht (NYDFS) auf einen Vergleich über 2,25 Millionen Dollar. Auslöser war ein Datenleck im Jahr 2023 durch die MOVEit-Software, bei dem rund 60.000 Patientenakten abflossen. Die Behörde kritisierte, dass das Unternehmen Daten zu lange aufbewahrte und die Meldung des Vorfalls um mehrere Monate verzögerte.

Meta beerdigt Ende-zu-Ende-Verschlüsselung

Eine überraschende Kehrtwende kündigte Meta am 9. Mai 2026 an: Der Konzern stellt die Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten ein und setzt künftig auf Transportverschlüsselung. Offizielle Begründung: zu geringe Nutzerakzeptanz der optionalen Funktion. Datenschützer sehen das kritischer – sie vermuten, dass Meta die Daten für KI-Training und zielgerichtete Werbung nutzen will, möglicherweise auch unter Druck von Strafverfolgungsbehörden.

Die neue Realität: Compliance wird zum Business-Kern

Die Entwicklung zeigt einen klaren Trend: Regulierungsreichweite und Durchsetzungshärte nehmen gleichzeitig zu. Die US-Handelsbehörde FTC verschickte jüngst Warnschreiben an 13 Datenbroker wegen des neuen Gesetzes zum Schutz von Amerikanern vor ausländischen Gegnern. Parallel erzielte die FTC einen wegweisenden Vergleich mit dem Datenbroker Kochava, der den Verkauf sensibler Standortdaten ohne ausdrückliche Zustimmung verbietet.

Das „Digital Omnibus VII"-Paket bringt zudem das E-Evidence-Gesetz, das den grenzüberschreitenden Zugriff auf Daten durch Strafverfolgungsbehörden vereinfacht. Dienstanbieter müssen Daten innerhalb von zehn Tagen herausgeben – im Notfall sogar innerhalb von acht Stunden. Bei Verstößen drohen Strafen von bis zu 500.000 Euro oder zwei Prozent des globalen Jahresumsatzes.

Ausblick: Die nächsten Deadlines kommen bestimmt

Die EU-Entwaldungsverordnung (EUDR) bleibt auf Kurs: Große und mittlere Unternehmen müssen bis 30. Dezember 2026 nachweisen, dass ihre Produkte nicht zur Abholzung beitragen. Die EU-Kommission stellte klar: Nachgelagerte Marktteilnehmer sind nicht ausgenommen, und die Pflichten gelten für jede einzelne juristische Person – nicht für den gesamten Konzern.

Wer die neuen Pflichten der EU-Entwaldungsverordnung ignoriert, riskiert empfindliche Sanktionen und Marktausschlüsse. Dieser kostenlose Leitfaden mit Checkliste hilft Ihnen dabei, Ihre Sorgfaltspflichten ohne unnötigen Aufwand rechtssicher zu erfüllen. EU-Entwaldungsverordnung: Jetzt Checkliste gratis sichern

Und noch eine Entwicklung: Seit Ende April 2026 nutzt GitHub Copilot Interaktionsdaten – inklusive Code-Kontext und Nutzerfeedback – für das KI-Training. Unternehmensversionen sind zwar ausgenommen, aber Privatnutzer müssen aktiv widersprechen, wenn sie nicht wollen, dass Microsoft ihre Daten zur Modellverbesserung verwendet.

Die Botschaft an Unternehmen ist klar: Datenschutz und Compliance sind keine Randthemen mehr, sondern strategische Kernaufgaben. Wer jetzt nicht in die richtigen Prozesse und Fachleute investiert, riskiert nicht nur Millionenstrafen, sondern auch den Vertrauensverlust seiner Kunden.

de | wirtschaft | 69299543 |