DSGVO-Jubiläum: Zehn Jahre Datenschutz-Grundverordnung – und die Mängel werden immer sichtbarer

Die EU-Datenschutzverordnung gilt zwar weltweit als Maßstab, doch Kritiker und Gerichte zeigen zunehmend auf eklatante Vollzugsdefizite. Aktuelle Urteile aus Deutschland und eine Analyse der EU-Kommission zeichnen ein Bild, in dem nun auch die Aufsichtsbehörden selbst zur Rechenschaft gezogen werden.

DSGVO-Bußgelder treffen auch kleine Unternehmen – sind Sie wirklich auf der sicheren Seite? Dieser kostenlose Leitfaden zeigt, welche 5 Schritte Sie sofort umsetzen müssen, um Abmahnungen zu vermeiden. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Gerichte stellen klare Regeln für Behörden auf

Im Frühjahr 2026 haben deutsche Verwaltungsgerichte mehrere richtungsweisende Entscheidungen getroffen. Das Verwaltungsgericht Düsseldorf entschied am 23. März, dass Schadensersatzklagen nach Artikel 82 DSGVO gegen Behörden vor den Zivilgerichten auszutragen sind. Eine Klarstellung, die zeigt: Die rechtliche Verantwortung der Aufsichtsbehörden steht unter verschärfter Beobachtung.

Nur wenige Tage später, am 2. April, urteilte dasselbe Gericht: Verzögerte Auskunftserteilung verstößt gegen die DSGVO. Zwar ging es konkret um Transportverschlüsselung und die Fristen bei Auskunftsersuchen, doch die Botschaft an alle Aufsichtsbehörden ist eindeutig: Das Recht auf zeitnahe Information ist ein Grundpfeiler der Verordnung und darf nicht auf die lange Bank geschoben werden.

Diese Urteile reihen sich ein in die Kritik, die seit zehn Jahren an der DSGVO geübt wird. Immer wieder beklagen Experten eine „asymmetrische Durchsetzung" und die übermäßige Belastung kleiner und mittlerer Unternehmen.

Um Unternehmen bei der Umsetzung zu helfen, haben Fachleute Ende April einen umfassenden vierteiligen Leitfaden zum Umgang mit Auskunftsersuchen nach Artikel 15 veröffentlicht. Die Kernbotschaft: Die strikte Ein-Monats-Frist und die komplexe Identifizierung sowie Schwärzung von Drittdaten sind eine echte Herausforderung.

Der Europäische Datenschutzausschuss und die „One-Stop-Shop"-Problematik

Der Europäische Datenschutzausschuss (EDSA) versucht, die Inkonsistenzen im sogenannten „One-Stop-Shop"-Verfahren zu beheben. Am 29. April veröffentlichte der EDSA eine Fallsammlung zum „berechtigten Interesse" nach Artikel 6 Absatz 1 Buchstabe f DSGVO. Der Bericht analysiert verschiedene Entscheidungen der Aufsichtsbehörden und bestätigt einen dreistufigen Test: Identifikation eines berechtigten Interesses (das auch rein kommerziell sein kann), Prüfung der Erforderlichkeit der Verarbeitung und schließlich eine Abwägung mit den Rechten der betroffenen Person.

Besonders bemerkenswert: Nachträgliche Änderungen der Rechtsgrundlage für die Datenverarbeitung werden von den Behörden in der Regel abgelehnt. Zudem zeigt der Bericht erhebliche Überschneidungen mit der ePrivacy-Richtlinie auf, insbesondere bei der Frage, wie kommerzielle Interessen gegen die Privatsphäre abgewogen werden. Dieser Schritt hin zu einer einheitlichen Auslegung soll die Fragmentierung verringern, die in einigen EU-Staaten zu Beschwerden über Untätigkeit der Aufsichtsbehörden geführt hat.

Parallel dazu hat der EDSA die Europrivacy-Zertifizierung für internationale Datentransfers ausgeweitet. Seit dem 30. April kann diese Zertifizierung als „angemessene Garantie" für Organisationen außerhalb des Europäischen Wirtschaftsraums nach Artikel 46 dienen. Das könnte die Übermittlungskomplikationen mildern, die seit den wegweisenden EuGH-Urteilen zu internationalen Datenströmen bestehen.

Meta im Visier: Von der Verwarnung zur Milliardenstrafe

Die Folgen der Vollzugslücken zeigen sich am deutlichsten in den spektakulären Verfahren gegen die großen Tech-Konzerne. Am 29. April 2026 legte die EU-Kommission eine vorläufige Bewertung vor, wonach Meta gegen den Digital Services Act (DSA) verstoßen hat. Der Vorwurf: Der Konzern schützt Kinder auf Plattformen wie Instagram und Facebook nicht ausreichend. Nach Erkenntnissen der Kommission sind rund 10 bis 12 Prozent der Nutzer unter 13 Jahren auf diesen Plattformen aktiv. Die derzeitigen Altersverifizierungs- und Meldeverfahren – die mitunter bis zu sieben Klicks erfordern – seien völlig unzureichend.

Sollten die Verstöße bestätigt werden, droht Meta eine Strafe von bis zu sechs Prozent des weltweiten Jahresumsatzes. Der lag 2025 bei knapp über 200 Milliarden Euro. Das wäre nur die Spitze eines Eisbergs: Bereits 2023 kassierte Meta eine Rekordstrafe von 1,2 Milliarden Euro, 2021 traf es Amazon mit 746 Millionen Euro. In den USA verurteilte im März 2026 eine Jury in Los Angeles Meta und YouTube zu Schadensersatzplzahlungen von sechs Millionen Dollar wegen psychischer Gesundheitsschäden bei Jugendlichen.

Diese Entwicklungen zeigen: Regulierungsbehörden und Gerichte haben die Geduld verloren. Sie bewegen sich weg von bloßen Verwarnungen hin zu empfindlichen finanziellen Sanktionen, wenn sie den Eindruck haben, dass Unternehmen „Privacy by Design" oder ein wirksames Risikomanagement nicht umsetzen.

Die „Digital-Omnibus"-Reform: Weniger Bürokratie, mehr Pragmatismus

Als Antwort auf die identifizierten Engpässe legte die EU-Kommission am 19. November 2025 das „Digital-Omnibus"-Reformpaket vor. Dieses Gesetzesvorhaben zielt darauf ab, das digitale Regelwerk – einschließlich Data Act, DSGVO und KI-Verordnung – zu vereinfachen.

Die Kernvorschläge im Überblick:
- KI-Training auf Basis „berechtigter Interessen" ohne ausdrückliche Einwilligung
- Wechsel vom Cookie-Opt-in zum Opt-out-Modell, um die Nutzermüdigkeit zu bekämpfen
- Verlängerung der Meldefrist für Datenpannen von 72 auf 96 Stunden
- Einrichtung einer zentralen Meldestelle für Cybersicherheitsvorfälle

Die Reform gilt als pragmatischer Schritt, um den „Brüssel-Effekt" – die globale Ausstrahlung von EU-Regulierungen – zu erhalten, ohne Unternehmen und Behörden zu überfordern. In Deutschland hat das Bundeskabinett bereits am 11. Februar 2026 das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) verabschiedet. Es bestimmt die Bundesnetzagentur zur zentralen nationalen KI-Aufsichtsbehörde und schafft einen „One-Stop-Shop" für KI-Kompetenz – eine Lehre aus der zersplitterten Durchsetzung der DSGVO in den Anfangsjahren.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Ausblick: Der Schwenk zur KI-Governance

Während sich der regulatorische Fokus zunehmend auf künstliche Intelligenz verlagert, fließen die Erfahrungen aus einem Jahrzehnt DSGVO-Durchsetzung in neue Rahmenwerke ein. Der Großteil der EU-KI-Verordnung wird am 2. August 2026 anwendbar. Dann gelten strenge Compliance-Pflichten für „Hochrisiko-KI-Systeme" – von Risikomanagement über Dokumentation bis hin zur menschlichen Aufsicht.

Die Strafen bei Verstößen gegen die KI-Verordnung sind noch drastischer als bei der DSGVO: Für verbotene Praktiken drohen bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Um Innovation zu fördern, sind die EU-Mitgliedstaaten verpflichtet, bis zum gleichen Datum mindestens eine regulatorische „Sandbox" einzurichten.

Die Unternehmen stellen sich bereits darauf ein. Eine Umfrage unter IT-Entscheidern vom Frühjahr 2026 zeigt: 79 Prozent der Organisationen verlagern KI-Workloads aus der Public Cloud zurück in lokale oder Hybrid-Umgebungen – Datensouveränität und Leistung sind die Hauptgründe. Gleichzeitig nutzen bereits 82 Prozent der deutschen Unternehmen KI-Assistenten, aber 55 Prozent haben bereits sicherheitsrelevante Vorfälle im Zusammenhang mit KI erlebt.

Diese rasanten technischen Entwicklungen werden die Datenschutzbehörden auf eine harte Probe stellen. Die entscheidende Frage ist: Schaffen sie den Wandel von reaktiver Durchsetzung zu proaktiver Steuerung?

de | wirtschaft | 69266602 |