Europäischer Datenschutz: Rekordstrafe von 100 Millionen Euro gegen Yango-Mutterkonzern

Anfang Mai 2026 verhängten die Aufsichtsbehörden aus Finnland, den Niederlanden und Norwegen eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., den Mutterkonzern des Fahrdienstes Yango. Der Vorwurf: unerlaubte Datenübermittlungen nach Russland. Diese spektakuläre Geldbuße markiert einen Wendepunkt in der europäischen Datenschutzpraxis – weg von allgemeinen Prinzipien, hin zu einer scharfen, technologiespezifischen Kontrolle.

Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024 – ist Ihr Unternehmen vorbereitet? Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. EU AI Act in 5 Schritten verstehen

Neue Regeln für Künstliche Intelligenz

Trotz der harten Linie bei Verstößen zeigt Brüssel auch Pragmatismus. Am 7. Mai 2026 einigten sich die EU-Institutionen auf den sogenannten Digital Omnibus. Das Update verschiebt die Compliance-Fristen für Hochrisiko-KI-Systeme deutlich nach hinten. Unabhängige KI-Systeme aus Anhang III des EU AI Acts müssen erst bis zum 2. Dezember 2027 konform sein. Für KI, die als Sicherheitskomponente in regulierte Produkte integriert ist, gilt sogar der 2. August 2028 als Stichtag. Ziel ist es, mittelständischen Unternehmen mehr Vorbereitungszeit zu geben und harmonisierte Standards vollständig zu entwickeln.

Doch die Transparenzpflichten kommen pünktlich. Bereits am 8. Mai 2026 veröffentlichte die EU-Kommission einen Entwurf für die Leitlinien zu Artikel 50 des AI Acts. Ab dem 2. August 2026 müssen Chatbots klar gekennzeichnet, Deepfakes markiert und KI-generierte Inhalte mit maschinenlesbaren Wasserzeichen versehen sein. Die Konsultationsphase läuft noch bis zum 3. Juni 2026. Verstöße können teuer werden: bis zu 15 Millionen Euro oder drei Prozent des globalen Jahresumsatzes.

Technische Schutzmaßnahmen und menschliche Fehler

Die technische Entwicklung läuft parallel. Auf der Google I/O am 12. Mai 2026 stellte der Konzern neue Android-Schutzfunktionen vor. Gleichzeitig sorgte Meta für Aufsehen: Am 8. Mai deaktivierte der Konzern die optionale Ende-zu-Ende-Verschlüsselung für Instagram Direct Messages – angeblich wegen geringer Nutzerakzeptanz. Datenschützer sehen darin einen möglichen Verstoß gegen die DSGVO, da Meta nun wieder auf Klartext-Inhalte zugreifen kann. Der Schritt folgt offenbar dem Druck von Strafverfolgungsbehörden und Jugendschützern.

Eine aktuelle IBM-Studie unterstreicht die Dringlichkeit technischer Sicherung: Rund 95 Prozent aller Sicherheitsvorfälle gehen auf menschliches Versagen zurück. Die Folge: Unternehmen setzen verstärkt auf interne Datenschutzschulungen. Zwar schreibt Artikel 5 der DSGVO keinen konkreten Schulungsplan vor, doch die indirekte Verpflichtung ist klar – wer nachweisen kann, dass Mitarbeiter regelmäßig geschult werden, reduziert sein Haftungsrisiko erheblich.

Gerichtliche Klarstellungen

Das Verwaltungsgericht Düsseldorf brachte am 2. April 2026 Licht ins Dunkel der technischen Anforderungen. Für die Übermittlung nicht-sensibler Daten wie Namen an Versicherungen reicht demnach die Standard-Transportverschlüsselung (TLS) aus. Eine Ende-zu-Ende-Verschlüsselung ist rechtlich nicht zwingend erforderlich. Allerdings stellte das Gericht einen DSGVO-Verstoß fest, wenn Auskunftsersuchen nach Artikel 15 erst nach sechs Monaten beantwortet werden – auch wenn es in diesem Fall kein Bußgeld gab.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Jetzt kostenlos herunterladen: Der Umsetzungsleitfaden zum EU AI Act mit allen relevanten Übergangsfristen. Kostenlosen KI-Leitfaden sichern

Compliance als Geschäftsstrategie

Immer mehr Unternehmen setzen auf automatisierte Lösungen. „Whistleblowing as a Service" wird zum Standard für Firmen mit über 50 Mitarbeitern – eine direkte Reaktion auf die EU-Hinweisgeberrichtlinie und das deutsche HinSchG. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Aufsichtsbehörde für KI benannt worden.

Die Zahlen sprechen eine deutliche Sprache: Seit Inkrafttreten der DSGVO am 25. Mai 2018 haben europäische Behörden bis Juli 2024 insgesamt 6.680 Bußgelder in Höhe von 4,2 Milliarden Euro verhängt. Die 100-Millionen-Strafe gegen Yango zeigt: Die Dimensionen wachsen. Hinzu kommen Schäden durch Cyberkriminalität, die in Deutschland die 200-Milliarden-Euro-Marke überschritten haben.

Ausblick: Zweite Jahreshälfte 2026 wird entscheidend

Unternehmen müssen jetzt handeln. Bis August 2026 müssen KI-Anwendungen inventarisiert und Risikoklassifizierungen abgeschlossen sein. Die EU-Kommission wird die finalen Leitlinien zu Artikel 50 in Kürze vorlegen. Wer auf KI-Kompetenz und kontinuierliche Mitarbeiterschulungen setzt, wird die regulatorischen Hürden besser meistern.

Die hessische Meldestelle gegen Hassrede verzeichnete in ihren ersten drei Betriebsmonaten bis Mitte Mai 2026 über 450 Meldungen. Das öffentliche Bewusstsein für digitale Verfehlungen ist auf einem Höchststand. Unternehmen sollten Datenschutz nicht als lästige Pflicht, sondern als fundamentale Säule ihrer Betriebssicherheit und Markenvertrauens begreifen.

de | wirtschaft | 69342596 |