EU verschärft Datenschutz: Milliardenstrafen drohen

Gleich mehrere Behörden gingen am Dienstag gegen globale Tech-Giganten vor – und machten deutlich: Die Ära der laschen Kontrollen ist endgültig vorbei.

Irland leitet Shein-Untersuchung ein

Die irische Datenschutzkommission (DPC) eröffnete ein formelles Verfahren gegen den Mode-Riesen Shein. Im Zentrum steht der Datentransfer zwischen den europäischen Niederlassungen und der Konzernzentrale in China. Europäische Regulierer fürchten um die Souveränität von Bürgerdaten, sobald Unternehmen mit Sitz außerhalb der EU sie verarbeiten.

Angesichts strengerer Kontrollen durch die Behörden wird die lückenlose Dokumentation der Datenverarbeitung für Unternehmen zur Pflicht. Eine kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenloses Muster-Verarbeitungsverzeichnis jetzt herunterladen

Parallel dazu reichte die österreichische Bürgerrechtsorganisation Noyb eine Beschwerde gegen LinkedIn ein. Der Vorwurf: Die Microsoft-Tochter verkaufe Nutzerdaten unerlaubt weiter. Konkret geht es um eine Anfrage auf vollständige Datenauskunft, die das Netzwerk angeblich nicht erfüllte. Noyb fordert eine empfindliche Geldstrafe.

USA verbietet heimlichen Standort-Verkauf

Auch jenseits des Atlantiks dreht sich die Schraube an. Die US-Handelsbehörde FTC beendete einen jahrelangen Rechtsstreit mit dem Datenhändler Kochava – und verhängte ein weitreichendes Verkaufsverbot für sensible Standortdaten ohne ausdrückliche Einwilligung. Das Unternehmen muss künftig ein „Sensitive Location Program" aufsetzen, seine Datenlieferanten streng prüfen und regelmäßig Bericht erstatten.

BVG kassiert Rüge nach Cyberangriff

In Deutschland sorgt ein Fall für Aufsehen: Berlins Datenschutzbeauftragte Meike Kamp erteilte den Berliner Verkehrsbetrieben eine formelle Verwarnung. Hintergrund ist ein Hackerangriff auf einen Dienstleister Anfang 2025, bei dem Daten von rund 180.000 Kunden abflossen – darunter Namen, Adressen und Vertragsnummern.

Die Behörde stellte gleich zwei Verstöße gegen die DSGVO fest. Erstens: Die BVG hatte nicht sichergestellt, dass der Dienstleister Kundendaten nach Vertragsende im Januar 2025 tatsächlich löschte. Zweitens: Das Unternehmen meldete den Vorfall viel zu spät. Obwohl erste Hinweise Mitte April 2025 vorlagen, informierte die BVG die Aufsicht erst Ende des Monats.

Immer mehr Firmen überfordert

Die Zahl der Beschwerden steigt rasant. In Brandenburg legten die Meldungen 2025 um zehn Prozent auf knapp 1.600 Fälle zu. Die Behörden verhängten 25 Bußgelder in Höhe von insgesamt 109.000 Euro. Ein Campingpark musste eine vierstellige Summe zahlen, weil er 14 Überwachungskameras unrechtmäßig einsetzte.

Doch das Problem sitzt tiefer. Eine aktuelle Sophos-Studie unter 5.000 IT-Entscheidern aus 17 Ländern zeigt: Unternehmen müssen im Schnitt fünf verschiedene Compliance-Standards gleichzeitig erfüllen. IT-Teams verbringen inzwischen 39 Prozent ihrer Arbeitszeit mit Auflagen – und 82 Prozent der Befragten zweifeln, ob sie alle Anforderungen überhaupt erfüllen.

Cloud-Souveränität wird zum Engpass

Laut dem „2026 Data Security and Compliance Risk Report" von Kiteworks erlebten 32 Prozent der europäischen Unternehmen 2025 einen Vorfall im Bereich Datensouveränität. Hauptursache: fehlende Kontrolle über Verschlüsselungsschlüssel. 44 Prozent der IT-Profis sehen in den Souveränitätsgarantien von Cloud-Anbietern das größte Hindernis.

Auf der CloudFest 2026 nannten Experten den Verlust der Datenhoheit als Hauptbarriere für den Einsatz Künstlicher Intelligenz. Die Industrie fordert den Ausbau souveräner europäischer Cloud-Infrastrukturen. Gleichzeitig kritisieren Verbände wie die DSAG neue API-Richtlinien von SAP, die angeblich Transparenz reduzieren und Integrationen erschweren.

Neue Gesetze auf der Zielgeraden

Der regulatorische Rahmen wächst weiter. Am 4. Mai verabschiedete das Repräsentantenhaus von Connecticut ein umfassendes Verbraucherdatenschutzgesetz. Es zielt auf Datenhändler ab, schafft neue Schutzmechanismen für genetische und Standortdaten und reguliert Gesichtserkennung.

In Deutschland verschärfte das Bundesamt für Sicherheit in der Informationstechnik seine C5-Kriterien. Cloud-Anbieter müssen künftig strenge Identitätsprüfungen, Lebenslauf-Checks und polizeiliche Führungszeugnisse für Mitarbeiter in Produktionsumgebungen vorlegen.

EU AI Act: Countdown läuft

Der EU AI Act tritt am 2. August 2026 in seine vollständige Durchsetzungsphase. Für Hochrisiko-Systeme – etwa in Personalabteilungen, bei Kreditwürdigkeitsprüfungen oder kritischer Infrastruktur – werden technische Dokumentation und menschliche Aufsicht Pflicht.

Da die neuen Pflichten der EU-KI-Verordnung viele Unternehmen unvorbereitet treffen, ist schnelles Handeln zur Vermeidung von Sanktionen entscheidend. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über Risikoklassen, Anforderungen und alle relevanten Übergangsfristen. E-Book zum EU AI Act jetzt kostenlos herunterladen

Eine PwC-Studie vom Mai 2026 offenbart: Nur 14 Prozent der irischen Unternehmen fühlen sich vollständig gewappnet. 65 Prozent berichten von unzureichenden Ressourcen. Die möglichen Strafen sind enorm: bis zu sieben Prozent des globalen Jahresumsatzes.

Was jetzt zählt

Der Druck auf Unternehmen wächst von allen Seiten. Wer nicht schnell handelt, riskiert nicht nur Millionenstrafen, sondern vor allem das Vertrauen seiner Kunden. Die Zeit des Abwartens ist vorbei – der August 2026 wird zum Stresstest für die gesamte digitale Wirtschaft.

de | wirtschaft | 69282050 |