Datenschutz und Cybersicherheit: Neue Regeln auf beiden Seiten des Atlantiks

Während die EU das KI-Gesetz finalisiert, verschärfen Großbritannien und die USA ihre Sicherheitsstandards. Der Druck auf Unternehmen wächst massiv.

Digital-Omnibus: EU will Bürokratie abbauen

Die EU-Kommission treibt das Reformpaket „Digital-Omnibus“ voran, das die Regeln von DSGVO, Datengesetz und KI-Gesetz harmonisieren soll. Ursprünglich Ende 2025 vorgeschlagen, könnte es den Geschäftsalltag spürbar verändern.

Ein zentraler Vorschlag: Die Meldefrist für Datenpannen soll von 72 auf 96 Stunden verlängert werden – allerdings nur noch für Hochrisikofälle. Beim digitalen Werbe-consent plant Brüssel einen radikalen Kurswechsel: Statt des bisherigen Cookie-Opt-ins soll ein Opt-out-Modell über zentrale Browsereinstellungen kommen. Die Entscheidung, Tracking abzulehnen, wäre dann sechs Monate gültig.

Angesichts der neuen regulatorischen Anforderungen durch den EU AI Act benötigen Unternehmen jetzt einen klaren Fahrplan für ihre IT- und Rechtsabteilungen. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen. EU AI Act in 5 Schritten verstehen

Auch das Spannungsfeld zwischen KI und Privatsphäre adressiert die Reform. Das Training von KI-Modellen mit personenbezogenen Daten könnte künftig durch „berechtigte Interessen“ gerechtfertigt werden – ein Signal für mehr Innovationsfreundlichkeit. Der Großteil des EU-KI-Gesetzes wird ab dem 2. August 2026 durchgesetzt. Besonders für Personalabteilungen wird es ernst: KI-gestützte Bewerbungsverfahren gelten dann als Hochrisiko-Anwendungen. Bei Verstößen drohen Strafen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Großbritannien: Pflicht zur Multi-Faktor-Authentifizierung

Am 27. April 2026 veröffentlichte das britische National Cyber Security Centre (NCSC) Version 3.3 des „Cyber Essentials“-Zertifikats, bekannt als Danzell-Update. Die Neuerungen sind deutlich: Multi-Faktor-Authentifizierung wird für alle Cloud-Dienste Pflicht, Passwörter müssen mindestens 12 Zeichen lang sein. Unternehmen müssen zudem nachweisen, dass Sicherheitsupdates binnen 14 Tagen eingespielt werden und Backups regelmäßig getestet werden.

Der Hintergrund: Kleine und mittlere Unternehmen (KMU) geraten zunehmend ins Visier staatlich gesteuerter Akteure aus China, Russland und Iran. Sie dienen oft als Einfallstor für Angriffe auf größere Firmen oder Behörden. Die britische Regierung stellt daher 90 Millionen Pfund für KMU-Cybersicherheit bereit.

Auch der Energiesektor rückt in den Fokus. Am 28. April starteten Regierung und Regulierer Ofgem eine Konsultation, um grundlegende Cybersicherheitsstandards für alle 1.400 lizenzierten Energieunternehmen in Großbritannien verpflichtend zu machen. Auslöser war ein schwerer Cyberangriff auf das polnische Stromnetz 2025, von dem rund 500.000 Kunden betroffen waren.

USA: Alabama wird 22. Bundesstaat mit Datenschutzgesetz

Während Europa seine bestehenden Rahmenwerke verfeinert, erlebt die USA einen rasanten Ausbau staatlicher Datenschutzgesetze. Mitte April 2026 verabschiedete Alabama als 22. Bundesstaat ein umfassendes Verbraucherdatenschutzgesetz. Der Alabama Personal Data Protection Act (APDPA), unterzeichnet am 17. April, tritt am 1. Mai 2027 in Kraft.

Das Gesetz gilt für Unternehmen, die Daten von mehr als 25.000 Verbrauchern verarbeiten oder mehr als ein Viertel ihres Umsatzes mit dem Verkauf personenbezogener Daten erzielen. Ähnlich dem kalifornischen CCPA gewährt es Betroffenen Rechte auf Auskunft, Berichtigung und Löschung sowie die Möglichkeit, gezielter Werbung zu widersprechen. Auffällig ist die Durchsetzungsstruktur: Der Attorney General hat alleinige Klagebefugnis und muss Unternehmen eine 45-tägige „Heilungsfrist“ einräumen, bevor Strafen von bis zu 15.000 Dollar pro Verstoß fällig werden.

Die Entwicklung folgt einem Jahr beispielloser finanzieller Konsequenzen für Datenschutzverstöße in den USA. Marktanalysten berichten, dass die staatlichen Datenschutzstrafen 2025 mit 3,45 Milliarden Dollar einen Rekordwert erreichten – mehr als die Summe der vorangegangenen fünf Jahre zusammen. Ursache sind verstärkte Kooperation der Regulierer und ein Fokus auf automatisierte Entscheidungsfindung.

Gerichtsurteile: Grenzen des Datenschutzes

Der Europäische Gerichtshof (EuGH) urteilte am 19. März 2026 im Fall „Brillen Rottler“, dass Auskunftsersuchen nach Artikel 15 DSGVO als „Rechtsmissbrauch“ gelten können, wenn sie nicht dem Datenschutz dienen. Das stärkt Unternehmen gegen exzessive oder schikanöse Anfragen.

Das Landesarbeitsgericht München entschied, dass Arbeitnehmer keinen automatischen Anspruch auf vollständige Compliance-Berichte haben. Zwar können sie auf personenbezogene Daten zugreifen, doch die Dokumente enthalten oft schützenswerte Informationen Dritter, etwa von Whistleblowern.

Da Gerichtsurteile den Schutz von Whistleblowern und die Handhabung interner Berichte immer stärker prägen, müssen Firmen ihre Meldestellen rechtssicher organisieren. Dieser Praxisleitfaden hilft Ihnen, das Hinweisgeberschutzgesetz DSGVO-konform umzusetzen und Bußgelder zu vermeiden. Interne Meldestellen rechtssicher organisieren

Der Europäische Datenschutzausschuss (EDPB) veröffentlichte im April 2026 neue Leitlinien zur wissenschaftlichen Forschung. Ein „Sechs-Faktoren-Test“ soll klären, was echte Forschung ausmacht: methodisch, ethisch, überprüfbar und unabhängig. Die unbegrenzte Speicherung von Daten für unbestimmte künftige Forschung ist untersagt.

Analyse: Cyberkriminalität kostet Deutschland 290 Milliarden Euro

Die wirtschaftlichen Folgen digitaler Risiken wachsen rasant. Allein in Deutschland verursacht Cyberkriminalität laut Branchenverbänden 2026 Schäden von rund 290 Milliarden Euro. Der Druck verändert die Rolle des Chief Information Security Officers (CISO) – vom Technikposten zum strategischen Vorstandsthema.

Eine Marktstudie vom Frühjahr 2026 zeigt: 56 Prozent der mittleren und großen Unternehmen nutzen generative KI-Tools, aber nur ein Bruchteil hat formale KI-Strategien oder umfassende Schulungen implementiert. Diese Lücke zwischen Nutzung und Kontrolle erzeugt, was Compliance-Experten „digitale Schulden“ nennen – ungelöste Risiken, die sich auftürmen, während die Technik den internen Kontrollen davonläuft.

Ausblick: Die nächsten Termine

Der 2. August 2026 markiert den Stichtag für die Hochrisiko-Bestimmungen des KI-Gesetzes. Unternehmen in der EU müssen zudem bis Ende 2026 die digitale ID-Wallet bereitstellen.

Der regulatorische Kalender bleibt voll: Am 11. September 2026 beginnen die Meldepflichten der Cyber-Resilience-Verordnung (CRA) – Hersteller digitaler Produkte müssen dann ausgenutzte Schwachstellen melden. Anfang 2027 tritt die neue EU-Maschinenverordnung in Kraft, die Cybersicherheitsprüfungen für alle neuen Industrieanlagen vorschreibt. Die Hochphase regulatorischer Aktivität wird also anhalten.

de | wirtschaft | 69260529 |