DSGVO-Strafen knacken 6-Milliarden-Marke: Behörden verschärfen Kontrollen

Die europäische Datenschutzaufsicht hat eine historische Schwelle überschritten: Seit Inkrafttreten der DSGVO summierten sich die verhängten Bußgelder auf über sechs Milliarden Euro. Der aktuelle CMS GDPR Enforcement Tracker Report vom 21. Mai 2026 beziffert die Gesamtsumme bekannter Strafen auf rund 6,11 Milliarden Euro – erreicht bereits im März 2026.

Doch die Zahl ist nur die Spitze des Eisbergs. Entscheidend ist der strategische Wandel der Aufsichtsbehörden: Sie fokussieren sich zunehmend auf die operative Umsetzung des Datenschutzes. Datenschutzbeauftragte müssen sich von reinen Beraterrollen verabschieden und werden zu rigorosen Prüfern interner Systeme und Drittanbieter-Software.

Angesichts der Milliarden-Bußgelder wird die lückenlose Dokumentation Ihrer Datenverarbeitung zur Existenzfrage. Diese kostenlose Excel-Vorlage hilft Ihnen, das gesetzlich geforderte Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Microsoft 365 im Visier: Audit-Pflicht für Unternehmen

Die Regulierungsbehörden legen ihren Fokus verstärkt auf Transparenz, Cybersicherheit und den Einsatz Künstlicher Intelligenz. Für Unternehmen bedeutet das: Wer Microsoft 365 einsetzt, kommt um einen kontinuierlichen Audit-Prozess nicht herum.

Laut aktuellen technischen Leitlinien vom Mai 2026 müssen Datenschutzbeauftragte nun detaillierte Prüfungen der Auftragsverarbeitungsverträge (AVV) durchführen und die Telemetriestufen strikt auf „Sicherheit" konfigurieren. Zum Pflichtprogramm gehört ein formelles Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) für alle integrierten Dienste wie Teams, SharePoint und Microsoft Copilot.

Besonders brisant: Die Integration von KI-Tools wie Copilot erfordert zwingend eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO. In vielen Fällen ist zusätzlich die Konsultation des Betriebsrats nötig. Die Prüfpflicht erstreckt sich auf technische und organisatorische Maßnahmen (TOM) – vom „Least-Privilege"-Prinzip bei Zugriffsrechten bis zur Überwachung der EU-Datengrenze.

Bankenregulierung: Erleichterungen für kleine Institute

Im Finanzsektor sorgt die neunte MaRisk-Novelle für Bewegung. Seit dem 20. Mai 2026 läuft die Konsultation der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Die Neuerung bringt mehr Flexibilität für weniger bedeutende Institute (LSIs). Sie dürfen die Compliance-Funktion künftig direkt an das ICT-Risikocontrolling oder den Datenschutzbeauftragten anbinden. Bei sehr kleinen Instituten mit einer Bilanzsumme unter einer Milliarde Euro darf sogar ein Geschäftsführer selbst die Compliance-Rolle übernehmen.

Ganz anders sieht es für bedeutende Institute (SIs) aus: Sie geraten zunehmend unter die direkte Aufsicht der Europäischen Bankenaufsichtsbehörde (EBA). Parallel dazu zeichnet sich die Durchsetzung des EU AI Acts ab. Die EU-Kommission präzisierte im Mai 2026 die Einstufung „hochriskanter" KI-Systeme. Besonders relevant: KI in Smartwatches, die über biometrische Daten wie Herzschläge Emotionen erkennt, gilt künftig als hochriskant. Die Umsetzungsfristen für betroffene Unternehmen beginnen im Dezember 2027 und August 2028.

DORA trifft SAP: Strenge Resilienz-Tests

Seit November 2025 ist SAP als kritischer ICT-Drittanbieter (CTPP) nach der Digital Operational Resilience Act (DORA) eingestuft. Der Softwarekonzern unterliegt damit strengen Resilienz-Tests und muss Bedrohungsinformationen teilen. Bei Verstößen drohen Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes.

Gerichte ziehen Grenzen: Kein Schadensersatz für „DSGVO-Hopper"

Während der regulatorische Druck steigt, schaffen Gerichte Klarheit bei Schadensersatzforderungen. Der Europäische Gerichtshof (EuGH) urteilte im März 2026 zum Phänomen der „DSGVO-Hopper" – Personen, die Datenauskunftsanfragen gezielt stellen, um Fehler zu provozieren und Schadensersatz zu fordern. Unternehmen dürfen eine erste Anfrage als missbräuchlich einstufen, wenn sie erkennbar auf Konfrontation aus ist. Die Beweislast liegt beim Unternehmen, das öffentliche Informationen oder Warnlisten nutzen kann.

Auch deutsche Gerichte erhöhen die Hürden für immaterielle Schadensersatzforderungen. Das Landgericht Krefeld wies im November 2025 die Klage eines Kunden ab, dessen Daten bei einem Cyberangriff auf die „G."-Managed-File-Transfer-Software 2023 kompromittiert wurden. Ein bloßer Kontrollverlust über Daten begründet keinen Schadensersatzanspruch – der Kläger muss einen konkreten Schaden nachweisen. Entscheidend: Ein erfolgreicher Hackerangriff über eine Zero-Day-Lücke belegt nicht automatisch, dass die technischen und organisatorischen Maßnahmen des Unternehmens unzureichend waren.

Das Oberlandesgericht Celle senkte Ende 2025 zudem ein milliardenschweres Bußgeld gegen den Händler notebooksbilliger.de drastisch. Die ursprünglich von Niedersachsen verhängten 10,4 Millionen Euro für umfangreiche Videoüberwachung wurden nach einem mehrjährigen Rechtsstreit auf 900.000 Euro reduziert.

Cyber-Bedrohungen: KI-gesteuerte Phishing-Welle

Die Notwendigkeit für DPO-geführue Audits wird durch die Bedrohungslage unterstrichen. Der Cybercrime-Schaden in der deutschen Wirtschaft erreichte 2024 laut Bitkom 178,6 Milliarden Euro bei über 131.000 registrierten Fällen. Rund 86 Prozent aller Phishing-Kampagnen werden mittlerweile KI-gesteuert automatisiert.

Sicherheitsforscher entdeckten Ende Mai 2026 eine neue Phishing-Methode, die ASCII-Zeichen zur Erstellung von QR-Codes nutzt – und damit traditionelle E-Mail-Sicherheitsfilter umgeht. Die Angriffe tarnen sich häufig als DocuSign-Anfragen, um Unternehmenszugangsdaten zu stehlen. Eine kritische Sicherheitslücke (CVE-2026-41615) mit einem CVSS-Score von 9,6 in Microsoft Authenticator unterstreicht die Dringlichkeit schneller Patches. Allein im ersten Quartal 2026 stiegen Banking-Trojaner-Fälle um 196 Prozent auf 1,24 Millionen Instanzen.

Als Reaktion forcieren Google, Apple und Microsoft den Umstieg auf Passkeys nach dem FIDO2-Standard. Microsoft hat seit dem 20. Mai 2026 begonnen, SMS-basierte Codes zugunsten dieser phishing-resistenteren Alternativen abzuschaffen.

Ausblick: Der Datenschutzbeauftragte als technischer Auditor

Die Grenzen zwischen Datenschutz, IT-Sicherheit und Künstlicher Intelligenz verschwimmen zunehmend. Compliance-Experten plädieren für einen ganzheitlichen Compliance-Ansatz, der die Anforderungen von DSGVO, NIS2, DORA und EU AI Act integriert. Bestehende Datenschutzsysteme wie Verschlüsselung und Zugriffskontrollen können als Grundlage dienen, um redundante Verwaltungsstrukturen zu vermeiden.

In Deutschland bleibt die Verarbeitung von Beschäftigtendaten im Fokus, besonders im Gesundheits- und Versicherungssektor. Die Behörden prüfen zunehmend, wie Unternehmen sensible Informationen wie medizinische Diagnosen handhaben. Das Bundesarbeitsgericht hat zwar die Offenlegung von Diagnosen zur Prüfung von Lohnfortzahlungsansprüchen unter bestimmten Bedingungen erlaubt, doch der Sächsische Datenschutzbeauftragte betonte in seinem Tätigkeitsbericht 2025: Solche Daten unterliegen strengen Zugriffsbeschränkungen und Zweckbindungen.

Da die Anforderungen an Datenschutzbeauftragte durch neue Technologien und strengere Prüfungen massiv steigen, wird ein professioneller Tätigkeitsbericht immer wichtiger. Dieser kostenlose Leitfaden inklusive Excel-Vorlage zeigt Ihnen, wie Sie Ihre Arbeit mit Kennzahlen belegen und das Management überzeugen. Vorlage für Ihren überzeugenden Datenschutz-Jahresbericht 2025 gratis anfordern

Die Rolle des Datenschutzbeauftragten wird sich weiter in Richtung technischer Prüfung entwickeln. Fachverbände reagieren bereits mit spezialisierten Schulungen für DPOs ab Ende Juni 2026 – mit Fokus auf den Aufbau umfassender Datenschutz-Handbücher und die Auditierung technischer und organisatorischer Maßnahmen.

Auf der Infrastrukturseite treiben Thales und Google Cloud eine souveräne Cloud-Plattform für den deutschen Markt voran, die bis Ende 2026 marktreif sein soll. Sie soll DSGVO-Konformität gewährleisten und gleichzeitig die Komplexität des US Cloud Act navigieren. Mit der bevorstehenden Durchsetzung des AI Acts in den Jahren 2027 und 2028 wird die Fähigkeit von Organisationen, regelmäßige, dokumentierte Audits durchzuführen, zur wichtigsten Verteidigung gegen die steigende Flut von Regulierungsstrafen.

de | wirtschaft | 69395891 |