DSGVO-Bußgelder knacken Sechs-Milliarden-Marke: Behörden verschärfen Kontrollen

Die Gesamtsumme der verhängten Bußgelder nach der Datenschutz-Grundverordnung (DSGVO) hat die Marke von sechs Milliarden Euro überschritten. Das geht aus dem aktuellen „GDPR Enforcement Tracker Report“ der Kanzlei CMS hervor, der Ende Mai veröffentlicht wurde. Demnach summierten sich die Strafen bis März 2026 auf insgesamt 6,11 Milliarden Euro.

Doch der Ansturm der Behörden hat eine neue Qualität erreicht. Statt spektakulärer Verfahren gegen Tech-Giganten rücken die regionalen Aufsichtsbehörden zunehmend die operative Compliance in den Fokus. Transparenz, Cybersicherheit und der Umgang mit Künstlicher Intelligenz stehen ganz oben auf der Agenda.

Angesichts der Rekord-Bußgelder wird eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis jetzt herunterladen

Deutschland: Föderaler Flickenteppich mit scharfen Zähnen

Besonders in Deutschland zeigt sich die neue Härte. Das föderale System mit 16 Landesbehörden sorgt für eine intensive Prüfung von Unternehmen. Im Visier stehen vor allem der Umgang mit Beschäftigtendaten und die Rechtsgrundlagen der Datenverarbeitung. Die Folge: Immer mehr Firmen wehren sich juristisch gegen die Auflagen, während Verbraucherverbände mit Sammelklagen nachziehen.

Ein aktuelles Beispiel aus Hamburg zeigt, wie schnell es teuer werden kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte eine sechsstellige Geldstrafe gegen einen Finanzdienstleister. Das Unternehmen hatte Kreditkartenanträge automatisiert abgelehnt – obwohl die Antragsteller eine gute Bonität vorweisen konnten. Die Behörde rügte, dass die betroffenen Kunden keine ausreichende Erklärung für die Ablehnung erhielten. Ein klarer Verstoß gegen die Transparenzpflichten der DSGVO.

Finanzsektor unter Druck: 307 Verfahren, 87,6 Millionen Euro

Die Finanz- und Versicherungsbranche steht besonders im Fokus. Laut CMS-Report wurden in diesem Sektor bereits 307 Bußgelder in Höhe von insgesamt 87,59 Millionen Euro verhängt. Das sind über 20 Millionen Euro mehr als im Vorjahr. Der häufigste Vorwurf: unzureichende technische und organisatorische Maßnahmen. Allein 91 Verfahren drehten sich um diese Schwachstelle.

Die europäische Datenschutzbehörde (EDPB) hat für 2026 zudem eine groß angelegte Prüfaktion koordiniert. Rund 25 Aufsichtsbehörden durchleuchten derzeit die Transparenzpflichten nach den Artikeln 12 bis 14 der DSGVO. Das Problem: Nur etwa ein Drittel aller Unternehmen hat ein vollständiges Verzeichnis ihrer Datenbestände. Mit dem Einzug von KI-Systemen wird diese Lücke immer gefährlicher.

EuGH bremst Klageindustrie aus

Ein Lichtblick für Unternehmen: Der Europäische Gerichtshof (EuGH) hat am 19. März 2026 ein wegweisendes Urteil gefällt. Es richtet sich gegen das sogenannte „DSGVO-Hopping“ – ein Geschäftsmodell, bei dem Personen gezielt Datenauskunftsanträge stellen, um Verstöße zu provozieren und dann Schadensersatz zu fordern.

Der EuGH entschied: Solche „übermäßigen“ Erstanträge können als Rechtsmissbrauch gewertet werden, wenn das eigentliche Ziel die Schadensersatzforderung ist und nicht die Überprüfung der Datenrichtigkeit. Unternehmen dürfen sich künftig auf öffentliche Warnlisten stützen, um mögliche „Hopper“ zu identifizieren. Die Beweislast liegt jedoch bei den Firmen. Das Urteil dürfte vor allem im E-Commerce für Entlastung sorgen, wo Kläger selbst für Bagatellen wie eine einzige unerwünschte Werbe-E-Mail Schadensersatz forderten.

Noch nicht endgültig geklärt ist die Frage, ab wann ein Verstoß überhaupt „schwerwiegend“ genug für Schadensersatz ist. Während deutsche Gerichte oft entschieden, dass bloßes Unwohlsein nicht reicht, wird eine weitere EuGH-Entscheidung noch 2026 Klarheit bringen.

Phishing-Welle: Wenn E-Mails plötzlich vertrauenswürdig aussehen

Die verschärfte Durchsetzung kommt zu einem Zeitpunkt, an dem Unternehmen mit immer raffinierteren Cyberangriffen kämpfen. Seit Mitte Mai 2025 läuft eine massive Phishing-Kampagne, die Google-Dienste wie AppSheet und die Account-Wiederherstellung ausnutzt. Das Tückische: Die Nachrichten tragen gültige digitale Signatureen (SPF, DKIM, DMARC) und werden daher von automatischen Filtern kaum erkannt. Hauptzielgruppe sind Nutzer von Kryptoplattformen.

Sicherheitsforscher von Zimperium und HUMAN Satori haben zudem zwei groß angelegte Betrugsnetzwerke aufgedeckt. Die Kampagne „Premium Deception“ umfasste 250 gefälschte Apps, die beliebte Plattformen wie Facebook, Instagram und Minecraft imitierten. Über zehn Jahre hinweg wurden sie für Carrier-Billing-Betrug genutzt. Das zweite Netzwerk „Trapdoor“ bestand aus 455 schädlichen Apps im Google Play Store, die insgesamt 24 Millionen Mal heruntergeladen wurden und täglich Hunderte Millionen gefälschter Werbegebote generierten.

Die Reaktion der Branche lässt nicht lange auf sich warten. Am 20. Mai 2026 kündigte der Messenger-Dienst Signal neue Schutzfunktionen an. Dazu gehören orangefarbene Warnhinweise für unbestätigte Profile sowie zusätzliche Verifizierungsschritte für Nachrichtenanfragen unbekannter Absender. Der Hintergrund: Schätzungsweise 86 Prozent aller Phishing-Kampagnen werden inzwischen von KI unterstützt.

Da Phishing-Angriffe immer professioneller werden, müssen Unternehmen ihre Abwehrstrategien dringend anpassen. Dieser kostenlose Leitfaden zeigt Ihnen in 4 Schritten, wie Sie Ihr Unternehmen effektiv vor Cyberkriminalität und psychologischen Manipulationstaktiken schützen. Anti-Phishing-Paket für Unternehmen kostenlos anfordern

Integrierte Compliance: Kein Weg mehr daran vorbei

Datenschutz ist kein isoliertes Thema mehr. Das betont auch das Institut für Datenschutz und Datensicherheit (IDD GmbH). Unternehmen müssen ihre Compliance-Systeme ganzheitlich aufstellen – und die DSGVO mit neuen Regularien wie der NIS2-Richtlinie für Cybersicherheit und dem EU AI Act verzahnen.

Ein Zeichen für den Wandel: Microsoft stellt schrittweise von SMS-basierten Verifizierungscodes auf Passkeys um. Grund ist die zunehmende „Multi-Faktor-Authentifizierungs-Müdigkeit“ und die Anfälligkeit für Phishing. Zuvor war eine kritische Sicherheitslücke in Microsoft Authenticator entdeckt worden. Auch Google hat seine Verträge für reCAPTCHA angepasst. Seit dem 2. April 2026 gelten Website-Betreiber als „Verantwortliche“ der Datenverarbeitung – eine Änderung, die sofortige Anpassungen der Datenschutzerklärungen erfordert.

Ausblick: Der Druck steigt weiter

Die regulatorische Schraube wird sich weiterdrehen. Ab Dezember 2027 treten die ersten spezifischen Vorschriften des EU AI Act für Hochrisiko-KI-Systeme in Kraft. Dazu gehören etwa Smartwatches, die Emotionen anhand biometrischer Daten erkennen. Die vollständige Umsetzung für andere Systeme ist für August 2028 geplant.

Für Unternehmen wird die Zeit knapp. Die durchschnittliche Zeit, um Sicherheitslücken zu schließen, ist auf 43 Tage gestiegen – ein Anstieg von 34 Prozent. Während die Behörden immer genauer hinschauen, müssen Firmen ihre tatsächliche Sicherheitspraxis mit ihren öffentlichen Versprechen in Einklang bringen. Die Integration von Cybersicherheit und Datenschutz ist längst keine Kür mehr, sondern eine grundlegende Voraussetzung für den Geschäftsbetrieb.

de | wirtschaft | 69399014 |