Datenschutz-Welle rollt: Behörden verschÀrfen Kontrollen massiv
Veröffentlicht: 05.05.2026 um 13:40 Uhr, Redaktion boerse-global.de
Die erste Maiwoche brachte gleich mehrere wegweisende Entscheidungen: Die US-Handelsbehörde FTC verhĂ€ngte ein Verkaufsverbot fĂŒr sensible Standortdaten gegen den Datenbroker Kochava, Connecticut verabschiedete ein neues PrivatsphĂ€re-Gesetz, und die Berliner Datenschutzbeauftragte erteilte den Berliner Verkehrsbetrieben eine formelle Verwarnung. Parallel dazu zeigt eine aktuelle Studie: Die Kluft zwischen gefĂŒhlter und tatsĂ€chlicher IT-Sicherheit in Unternehmen ist alarmierend groĂ.
LĂŒcken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschĂ€tzen dieses Risiko â eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfĂŒllen. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen
Standortdaten und Gesundheitsinformationen im Visier
Am 4. Mai 2026 einigte sich die FTC mit dem Datenbroker Kochava auf einen Vergleich. Das Unternehmen muss kĂŒnftig den Verkauf sensibler Standortdaten unterlassen, ein strenges Programm fĂŒr Standortdaten einfĂŒhren und Zulieferer prĂŒfen. Zudem sind regelmĂ€Ăige Datenlöschungen und ausdrĂŒckliche Einwilligungen der Verbraucher Pflicht. Der Rechtsstreit zog sich seit 2022 hin.
Noch brisanter: EnthĂŒllungen von Anfang Mai zeigen, dass 20 US-Bundesstaaten BĂŒrgerschafts- und Rassedaten aus GesundheitsmarktplĂ€tzen an Werbefirmen weitergaben. Der District of Columbia teilte sogar ethnische Zugehörigkeit, E-Mail-Adressen und Telefonnummern mit sozialen Netzwerken. New York und Virginia lieĂen Daten ĂŒber inhaftierte Familienmitglieder oder Gesundheitsanfragen verfolgen. Branchenexperten schĂ€tzen, dass ĂŒber sieben Millionen Amerikaner betroffen sind.
Connecticut reagiert nun gesetzlich: Das ReprĂ€sentantenhaus verabschiedete Senate Bill 4 mit 141 zu 6 Stimmen. Das Gesetz etabliert ein zentrales Löschsystem fĂŒr Verbraucherdaten und reguliert genetische Daten, Gesichtserkennung sowie Kennzeichenscanner. Auch KI-gesteuerte Preismodelle werden adressiert.
BVG-Verwarnung: LehrstĂŒck fĂŒr VersĂ€umnisse
Ein Paradebeispiel fĂŒr die Folgen von NachlĂ€ssigkeit liefert Berlin. Die Datenschutzbeauftragte verwies die Berliner Verkehrsbetriebe am 4. Mai offiziell in die Schranken. Auslöser: Ein Cyberangriff auf einen Dienstleister im April 2025, bei dem Daten von rund 180.000 Kunden abflossen â Namen, Adressen und Vertragsnummern, aber keine Bankdaten oder Passwörter.
Die Behörde stellte gleich mehrere VerstöĂe gegen die DSGVO fest: Die BVG hatte die Datenlöschung nicht ĂŒberwacht und den Vorfall viel zu spĂ€t gemeldet. Der Angriff wurde am 17. April 2025 entdeckt, die Meldung erfolgte erst am 30. April â weit auĂerhalb der 72-Stunden-Frist. Genau diese Verzögerung ist einer der hĂ€ufigsten GrĂŒnde fĂŒr Strafen. Die kumulierten DSGVO-BuĂgelder haben seit 2018 die Marke von 4,5 Milliarden Euro ĂŒberschritten.
Das Sicherheits-Paradoxon: Viel Vertrauen, wenig Tests
Die Studie âState of Assumed Security 2026â offenbart ein gefĂ€hrliches MissverhĂ€ltnis: 93 Prozent der IT-Sicherheitsmanager halten ihre MaĂnahmen fĂŒr ausreichend â aber nur 30 Prozent testen nach Patches systematisch nach. Gerade einmal elf Prozent der Organisationen schaffen es, kritische Sicherheitsupdates innerhalb von 24 Stunden nach Warnungen von Behörden wie dem BSI oder der ENISA einzuspielen.
Das Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) reagierte bereits am 7. April 2026 mit den aktualisierten C5:2026-Kriterien. KernstĂŒck ist das Kriterium HR-01: Cloud-Personal muss streng identitĂ€tsgeprĂŒft und qualifiziert sein. Bei hohen Schutzanforderungen sind diese ĂberprĂŒfungen jĂ€hrlich zu wiederholen. Die Einhaltung wird zunehmend zur Marktzugangsvoraussetzung unter NIS-2 und DORA.
Sovereign AI: Deutsche Server als Trumpf
Die Sorge um Datenhoheit treibt Unternehmen zu privaten Cloud-Infrastrukturen. Anfang Mai erweiterten mehrere IT-Distributoren ihr Angebot um KI-Plattformen, die ausschlieĂlich auf deutschen oder europĂ€ischen Servern laufen. Eine Umfrage auf der CloudFest 2026 zeigt: Der Verlust der Datenhoheit und das Risiko falscher KI-Entscheidungen sind die gröĂten HĂŒrden fĂŒr den KI-Einsatz in Unternehmen. Zwei Drittel der Befragten setzen daher auf souverĂ€ne Infrastruktur und Open-Source-Modelle.
Da die EU-KI-Verordnung bereits seit August 2024 gilt, mĂŒssen Unternehmen beim Einsatz von KI-Systemen nun konkrete Risikoklassen und Dokumentationspflichten beachten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer IT- und Rechtsabteilung den notwendigen Ăberblick ĂŒber alle Fristen. Kostenlosen Leitfaden zur KI-Verordnung herunterladen
Apple gegen EU: PrivatsphÀre als Schutzschild?
Der Konflikt zwischen Innovation und Regulierung eskaliert. Am 4. Mai kritisierte ein hochrangiger Apple-Manager die EU scharf. Die verpflichtende InteroperabilitĂ€t nach dem Digital Markets Act gefĂ€hrde die PrivatsphĂ€re der Nutzer, argumentierte er. Dritte Plattformen könnten sensible Daten wie WLAN-VerbindungsverlĂ€ufe einsehen. Bereits jetzt hĂ€tten sich MarkteinfĂŒhrungen KI-gestĂŒtzter Funktionen wie Echtzeit-Ăbersetzungen in Europa verzögert.
Parallel dazu tobt der Streit um den EU-âDigital Omnibusâ. Im Februar 2026 sprachen sich der EuropĂ€ische Datenschutzausschuss und der Datenschutzbeauftragte gegen die Einstufung pseudonymisierter Daten als nicht-personenbezogen aus. Ihr Standpunkt: Eine solche Ănderung wĂŒrde den Geltungsbereich der DSGVO aushöhlen. Stand Mai 2026 bleibt die Empfehlung, pseudonymisierte Daten weiterhin als personenbezogen zu behandeln.
Fristen, die Unternehmen kennen mĂŒssen
Die kommenden Monate halten mehrere Deadlines bereit:
- Indien: Bis Mai 2027 mĂŒssen Unternehmen den Digital Personal Data Protection Act umsetzen. Infosys und Wipro treiben ihre Governance-Strukturen bereits voran.
- Europa: Der Cyber Resilience Act fĂŒhrt ab 11. September 2026 neue Meldepflichten ein. Die vollstĂ€ndigen Produktsicherheitsanforderungen gelten ab Dezember 2027.
- Microsoft: Einmal-Passwörter fĂŒr externe Freigaben in SharePoint und OneDrive werden ab Mai 2026 abgeschafft. Bis Ende Juli mĂŒssen Organisationen auf Gastkonten mit Mehrfaktor-Authentifizierung umstellen.
Geopolitische Risiken beeinflussen zunehmend die Cybersicherheitspolitik. Die EU-Kommission schlieĂt bestimmte auslĂ€ndische Energietechnologien wie Solar-Wechselrichter schrittweise von EU-finanzierten Projekten aus â aus SicherheitsgrĂŒnden. Die Ăbergangsfrist beginnt am 1. November 2026, die strikte Durchsetzung folgt im April 2027. Die Botschaft ist klar: Cybersicherheit ist lĂ€ngst zur nationalen und wirtschaftlichen Sicherheitsfrage geworden.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
