Datenschutz-Welle, Behörden

Datenschutz-Welle rollt: Behörden verschÀrfen Kontrollen massiv

Veröffentlicht: 05.05.2026 um 13:40 Uhr, Redaktion boerse-global.de

US-Behörden und EU verschÀrfen Datenschutzregeln. BVG erhÀlt Verwarnung, neue Gesetze in Connecticut und verschÀrfte Cloud-Vorgaben.

Datenschutz-Welle rollt: Behörden verschĂ€rfen Kontrollen massiv Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de
Datenschutz-Welle rollt: Behörden verschĂ€rfen Kontrollen massiv Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die erste Maiwoche brachte gleich mehrere wegweisende Entscheidungen: Die US-Handelsbehörde FTC verhĂ€ngte ein Verkaufsverbot fĂŒr sensible Standortdaten gegen den Datenbroker Kochava, Connecticut verabschiedete ein neues PrivatsphĂ€re-Gesetz, und die Berliner Datenschutzbeauftragte erteilte den Berliner Verkehrsbetrieben eine formelle Verwarnung. Parallel dazu zeigt eine aktuelle Studie: Die Kluft zwischen gefĂŒhlter und tatsĂ€chlicher IT-Sicherheit in Unternehmen ist alarmierend groß.

Anzeige

LĂŒcken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschĂ€tzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfĂŒllen. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen

Standortdaten und Gesundheitsinformationen im Visier

Am 4. Mai 2026 einigte sich die FTC mit dem Datenbroker Kochava auf einen Vergleich. Das Unternehmen muss kĂŒnftig den Verkauf sensibler Standortdaten unterlassen, ein strenges Programm fĂŒr Standortdaten einfĂŒhren und Zulieferer prĂŒfen. Zudem sind regelmĂ€ĂŸige Datenlöschungen und ausdrĂŒckliche Einwilligungen der Verbraucher Pflicht. Der Rechtsstreit zog sich seit 2022 hin.

Noch brisanter: EnthĂŒllungen von Anfang Mai zeigen, dass 20 US-Bundesstaaten BĂŒrgerschafts- und Rassedaten aus GesundheitsmarktplĂ€tzen an Werbefirmen weitergaben. Der District of Columbia teilte sogar ethnische Zugehörigkeit, E-Mail-Adressen und Telefonnummern mit sozialen Netzwerken. New York und Virginia ließen Daten ĂŒber inhaftierte Familienmitglieder oder Gesundheitsanfragen verfolgen. Branchenexperten schĂ€tzen, dass ĂŒber sieben Millionen Amerikaner betroffen sind.

Connecticut reagiert nun gesetzlich: Das ReprĂ€sentantenhaus verabschiedete Senate Bill 4 mit 141 zu 6 Stimmen. Das Gesetz etabliert ein zentrales Löschsystem fĂŒr Verbraucherdaten und reguliert genetische Daten, Gesichtserkennung sowie Kennzeichenscanner. Auch KI-gesteuerte Preismodelle werden adressiert.

BVG-Verwarnung: LehrstĂŒck fĂŒr VersĂ€umnisse

Ein Paradebeispiel fĂŒr die Folgen von NachlĂ€ssigkeit liefert Berlin. Die Datenschutzbeauftragte verwies die Berliner Verkehrsbetriebe am 4. Mai offiziell in die Schranken. Auslöser: Ein Cyberangriff auf einen Dienstleister im April 2025, bei dem Daten von rund 180.000 Kunden abflossen – Namen, Adressen und Vertragsnummern, aber keine Bankdaten oder Passwörter.

Die Behörde stellte gleich mehrere VerstĂ¶ĂŸe gegen die DSGVO fest: Die BVG hatte die Datenlöschung nicht ĂŒberwacht und den Vorfall viel zu spĂ€t gemeldet. Der Angriff wurde am 17. April 2025 entdeckt, die Meldung erfolgte erst am 30. April – weit außerhalb der 72-Stunden-Frist. Genau diese Verzögerung ist einer der hĂ€ufigsten GrĂŒnde fĂŒr Strafen. Die kumulierten DSGVO-Bußgelder haben seit 2018 die Marke von 4,5 Milliarden Euro ĂŒberschritten.

Das Sicherheits-Paradoxon: Viel Vertrauen, wenig Tests

Die Studie „State of Assumed Security 2026“ offenbart ein gefĂ€hrliches MissverhĂ€ltnis: 93 Prozent der IT-Sicherheitsmanager halten ihre Maßnahmen fĂŒr ausreichend – aber nur 30 Prozent testen nach Patches systematisch nach. Gerade einmal elf Prozent der Organisationen schaffen es, kritische Sicherheitsupdates innerhalb von 24 Stunden nach Warnungen von Behörden wie dem BSI oder der ENISA einzuspielen.

Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) reagierte bereits am 7. April 2026 mit den aktualisierten C5:2026-Kriterien. KernstĂŒck ist das Kriterium HR-01: Cloud-Personal muss streng identitĂ€tsgeprĂŒft und qualifiziert sein. Bei hohen Schutzanforderungen sind diese ÜberprĂŒfungen jĂ€hrlich zu wiederholen. Die Einhaltung wird zunehmend zur Marktzugangsvoraussetzung unter NIS-2 und DORA.

Sovereign AI: Deutsche Server als Trumpf

Die Sorge um Datenhoheit treibt Unternehmen zu privaten Cloud-Infrastrukturen. Anfang Mai erweiterten mehrere IT-Distributoren ihr Angebot um KI-Plattformen, die ausschließlich auf deutschen oder europĂ€ischen Servern laufen. Eine Umfrage auf der CloudFest 2026 zeigt: Der Verlust der Datenhoheit und das Risiko falscher KI-Entscheidungen sind die grĂ¶ĂŸten HĂŒrden fĂŒr den KI-Einsatz in Unternehmen. Zwei Drittel der Befragten setzen daher auf souverĂ€ne Infrastruktur und Open-Source-Modelle.

Anzeige

Da die EU-KI-Verordnung bereits seit August 2024 gilt, mĂŒssen Unternehmen beim Einsatz von KI-Systemen nun konkrete Risikoklassen und Dokumentationspflichten beachten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Überblick ĂŒber alle Fristen. Kostenlosen Leitfaden zur KI-Verordnung herunterladen

Apple gegen EU: PrivatsphÀre als Schutzschild?

Der Konflikt zwischen Innovation und Regulierung eskaliert. Am 4. Mai kritisierte ein hochrangiger Apple-Manager die EU scharf. Die verpflichtende InteroperabilitĂ€t nach dem Digital Markets Act gefĂ€hrde die PrivatsphĂ€re der Nutzer, argumentierte er. Dritte Plattformen könnten sensible Daten wie WLAN-VerbindungsverlĂ€ufe einsehen. Bereits jetzt hĂ€tten sich MarkteinfĂŒhrungen KI-gestĂŒtzter Funktionen wie Echtzeit-Übersetzungen in Europa verzögert.

Parallel dazu tobt der Streit um den EU-„Digital Omnibus“. Im Februar 2026 sprachen sich der EuropĂ€ische Datenschutzausschuss und der Datenschutzbeauftragte gegen die Einstufung pseudonymisierter Daten als nicht-personenbezogen aus. Ihr Standpunkt: Eine solche Änderung wĂŒrde den Geltungsbereich der DSGVO aushöhlen. Stand Mai 2026 bleibt die Empfehlung, pseudonymisierte Daten weiterhin als personenbezogen zu behandeln.

Fristen, die Unternehmen kennen mĂŒssen

Die kommenden Monate halten mehrere Deadlines bereit:

  • Indien: Bis Mai 2027 mĂŒssen Unternehmen den Digital Personal Data Protection Act umsetzen. Infosys und Wipro treiben ihre Governance-Strukturen bereits voran.
  • Europa: Der Cyber Resilience Act fĂŒhrt ab 11. September 2026 neue Meldepflichten ein. Die vollstĂ€ndigen Produktsicherheitsanforderungen gelten ab Dezember 2027.
  • Microsoft: Einmal-Passwörter fĂŒr externe Freigaben in SharePoint und OneDrive werden ab Mai 2026 abgeschafft. Bis Ende Juli mĂŒssen Organisationen auf Gastkonten mit Mehrfaktor-Authentifizierung umstellen.

Geopolitische Risiken beeinflussen zunehmend die Cybersicherheitspolitik. Die EU-Kommission schließt bestimmte auslĂ€ndische Energietechnologien wie Solar-Wechselrichter schrittweise von EU-finanzierten Projekten aus – aus SicherheitsgrĂŒnden. Die Übergangsfrist beginnt am 1. November 2026, die strikte Durchsetzung folgt im April 2027. Die Botschaft ist klar: Cybersicherheit ist lĂ€ngst zur nationalen und wirtschaftlichen Sicherheitsfrage geworden.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wirtschaft | 69280771 |