Rekordstrafe von 100 Millionen Euro: EU verschärft Datenschutz-Durchgriff

V., die Muttergesellschaft des Fahrdienstes Yango, verhängten die Behörden eine Rekordstrafe von 100 Millionen Euro. Der Grund: unerlaubte Übermittlung von Nutzerdaten nach Russland. Die Entscheidung aus dem Mai 2026 markiert eine neue Härte im Umgang mit grenzüberschreitenden Datenströmen – und betrifft indirekt jeden EU-Bürger, dessen Daten von internationalen Konzernen verarbeitet werden.

Angesichts drohender Rekordstrafen bei grenzüberschreitenden Datenflüssen ist eine lückenlose Dokumentation Ihrer Verarbeitungsschritte unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Daten-Souveränität als neues Druckmittel

Die Strafe gegen MLU B.V. ist eine der höchsten, die jemals unter dem europäischen Datenschutzrahmen verhängt wurde. Die Behörden warfen dem Unternehmen vor, sensible Nutzerdaten auf russische Server verschoben zu haben – ein klarer Verstoß gegen die Datenhoheit der EU. Für internationale Konzerne, die in Europa operieren, wird das Risiko damit kalkulierbar: Wer seine Datenarchitektur nicht an die hiesigen Regeln anpasst, zahlt drakonische Strafen.

Doch nicht nur Unternehmen stehen unter Druck. Auch öffentliche Einrichtungen geraten ins Visier der Datenschützer. Anfang 2026 stellte der Europäische Datenschutzbeauftragte (EDSB) seine Überwachung des Europol-„Computer Forensic Network“ (CFN) ein. Die Ermittlungen hatten ergeben, dass die Behörde ein geheimes IT-System mit über zwei Petabyte sensibler Daten betrieben hatte – ohne ausreichende Sicherheitsmaßnahmen. Obwohl eine interne Prüfung 2019 bereits 32 Sicherheitslücken identifizierte, wurden 15 der 150 empfohlenen Verbesserungen nie umgesetzt.

Neue Transparenz-Pflichten für Künstliche Intelligenz

Parallel zum Datenschutz treibt die EU-Kommission das KI-Gesetz voran. Am 8. Mai 2026 veröffentlichte die Kommission den Entwurf der Leitlinien zu Artikel 50, der Transparenzpflichten regelt. Ab dem 2. August 2026 müssen Unternehmen klar kennzeichnen, wenn Nutzer mit einem Chatbot interagieren. KI-generierte Inhalte wie Deepfakes oder synthetische Medien sind durch Wasserzeichen oder Metadaten zu markieren.

Die Strafen für Verstöße sind happig: Bis zu 15 Millionen Euro oder drei Prozent des globalen Jahresumsatzes drohen bei Nichtbeachtung. Die Konsultationsphase zu den Leitlinien läuft noch bis zum 3. Juni 2026, die endgültige Fassung soll vor der August-Frist verabschiedet werden. Bestehende generative KI-Systeme haben dank des „Digital Omnibus“-Pakets bis zum 2. Dezember 2026 Zeit, die Anforderungen zu erfüllen.

Die neuen Transparenzpflichten und Risikoklassen der EU-KI-Verordnung stellen viele Unternehmen vor enorme rechtliche Herausforderungen. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer Rechts- und IT-Abteilung den nötigen Überblick über alle relevanten Fristen und Pflichten des AI Acts. EU AI Act in 5 Schritten verstehen – jetzt Leitfaden kostenlos sichern

Die Fristen für Hochrisiko-KI-Systeme wurden dagegen verschoben. Politische Einigungen im Mai 2026 verlagern die Compliance-Deadlines: Für eigenständige Hochrisiko-Systeme gilt nun der 2. Dezember 2027, für solche, die in Produkte integriert sind, der 2. August 2028. Die Industrie bekommt damit mehr Zeit, sich auf harmonisierte Standards einzustellen.

Cyber-Bedrohung: 81 Prozent der deutschen Unternehmen betroffen

Der regulatorische Druck trifft auf eine zunehmend feindliche digitale Umgebung. Der Sophos „State of Identity Security 2026“-Bericht zeigt: 71 Prozent aller Unternehmen weltweit wurden von identitätsbasierten Angriffen getroffen. Die medianen Wiederherstellungskosten liegen bei 750.000 US-Dollar, der Durchschnitt sogar bei 1,64 Millionen. In Deutschland ist die Lage besonders prekär: Rund 17,4 Prozent der Firmen erkennen solche Angriffe nicht rechtzeitig.

Ein aktuelles Beispiel: Die Ransomware-Attacke auf Foxconn, Zulieferer von Apple und Nvidia. Eine Gruppe erbeutete mit der Nitrogen-Ransomware acht Terabyte Daten, darunter 11 Millionen Dokumente mit vertraulichen Konstruktionszeichnungen aus mehreren nordamerikanischen Fabriken. Der Vorfall reiht sich ein in eine Serie von Angriffen auf den Hersteller.

Die Antwort der Politik: Cybersicherheit wird zur Chefsache. Die NIS-2-Richtlinie verpflichtet Vorstände von rund 30.000 Unternehmen in Deutschland zu verpflichtenden Schulungen. Betroffen sind kleine und mittlere Unternehmen ab 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Obwohl die Registrierungsfrist bereits im März 2026 endete, haben viele Firmen den Prozess noch nicht abgeschlossen – mit möglichen persönlichen Haftungsrisiken für das Management.

BSI baut nationale Cyber-Abwehr auf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rüstet auf. Am 13. Mai 2026 skizzierte BSI-Präsidentin Claudia Plattner eine strategische Neuausrichtung. Kernstück: der „Cyberdome“, eine nationale Infrastruktur zur automatisierten Bedrohungsabwehr. Das BSI versteht sich künftig als zentrale Säule der zivilen Verteidigung gegen hybride Angriffe – mit Fokus auf digitale Souveränität und Unterstützung europäischer Technologieanbieter.

Die wirtschaftlichen Schäden durch Cyberkriminalität in Deutschland haben mit über 200 Milliarden Euro einen Rekordwert erreicht. Das Bundeskriminalamt (BKA) warnt: Die Industrialisierung der Cyberkriminalität durch Künstliche Intelligenz macht Deutschland zum bevorzugten Ziel – wegen seiner starken Mittelstandsstruktur. Das „Cyber Resilience Act“ (CRA) und die Umsetzung von NIS-2 gelten als essenzielle Instrumente, um die Wirtschaft widerstandsfähiger zu machen.

Sicherheit als Rendite-Treiber

Sicherheitsexperten betonen zunehmend: Cybersicherheit ist kein Kostenfaktor, sondern ein Profit-Treiber. Ein Webinar vom 13. Mai 2026 zeigte, wie Unternehmen den Return on Security Investment (ROSI) berechnen können. Wer Produktionsausfälle vermeidet und GDPR-Strafen von bis zu vier Prozent des Umsatzes verhindert, macht Sicherheit zur betriebswirtschaftlichen Notwendigkeit.

Ausblick: Die Zeit läuft

Mit der August-Frist für KI-Transparenz und dem erwarteten KI-Verhaltenskodex im Juni 2026 wird der Handlungsdruck für Unternehmen massiv steigen. Die 100-Millionen-Strafe gegen MLU B.V. ist mehr als eine Warnung – sie ist der Beleg, dass Non-Compliance existenzbedrohende Dimensionen erreicht hat. Juristen und IT-Experten empfehlen daher dringend: jährliche Datenschutzschulungen, externe Managed Security Service Provider (MSSPs) und eine sofortige Inventur aller KI-Anwendungen. Wer jetzt nicht handelt, könnte bald zum nächsten Exempel werden.

de | wirtschaft | 69339428 |