Datenschutz-Durchsetzung: EU kämpft mit Verzögerungen und Sicherheitslücken

Verbraucherschützer kritisieren massive Verzögerungen bei Großverfahren, während gleichzeitig neue digitale EU-Projekte mit schweren Sicherheitsmängeln starten. Die Glaubwürdigkeit des europäischen Datenschutzes steht auf dem Spiel.

Jahrelange Wartezeit: Das Google-Verfahren als Symbol

Ein Paradebeispiel für den behördlichen Rückstau ist die noch immer nicht abgeschlossene Untersuchung zu Googles Datentracking. Die europäische Verbraucherorganisation BEUC zeigt sich frustriert über die Dauer des Verfahrens. Nationale Verbraucherzentralen hatten bereits im November 2018 Beschwerden eingereicht. Sie warfen dem Tech-Riesen vor, mit manipulativen „Dark Patterns“ den Standortverlauf von Nutzern zu erfassen.

Die irische Datenschutzbehörde (DPC) leitete daraufhin im Juli 2019 eine Untersuchung ein, die sie im Februar 2020 noch aus eigener Initiative erweiterte. Doch bis heute, fast acht Jahre nach den ersten Beschwerden, liegt kein abschließender Bescheid vor. Die beanstandeten Praktiken dürfen währenddessen weiterlaufen. Für Kritiker untergräbt diese Trägheit den Schutzgedanken der DSGVO. Unternehmen könnten so jahrelang potenziell rechtswidrig handeln, ohne Konsequenzen fürchten zu müssen.

Während Behördenverfahren gegen Tech-Riesen oft Jahre dauern, müssen Unternehmen ihre eigene Dokumentationspflicht täglich erfüllen, um Bußgelder zu vermeiden. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage jetzt herunterladen

Transatlantischer Datenverkehr: Auf wackligem rechtlichem Grund

Die Komplexität zeigt sich auch bei Datenströmen in die USA. Beim 7. Deutsch-Amerikanischen Datenschutztag in München diskutierten Experten im Frühjahr 2026 das neue Trans-Atlantic Data Privacy Framework (TADPF). Die wirtschaftlichen Interessen sind immens: Der Datenverkehr zwischen den Regionen hat ein Volumen von rund 6,5 Billionen Euro.

Laut Branchendaten transferieren 60 Prozent der deutschen Unternehmen Daten in Drittländer, 59 Prozent davon speziell in die USA. Da eine endgültige Angemessenheitsentscheidung der EU erst im Sommer 2026 erwartet wird, setzen viele auf Übergangslösungen. Ganze 91 Prozent der deutschen Firmen nutzen derzeit Standardvertragsklauseln, um die Übermittlung abzusichern.

Der Bedarf an einem stabilen Abkommen ist groß. Der Europäische Gerichtshof hatte die Vorgänger Safe Harbor und Privacy Shield gekippt. Zwar hat eine US-Exekutivanordnung von 2022 den Zugriff von Geheimdiensten auf europäische Daten eingeschränkt. Dennoch bangten Unternehmen wie Meta in der Vergangenheit mehrfach vor der Einstellung ihrer Dienste in Europa.

EU-Digitalprojekt: Altersprüfung binnen Minuten geknackt

Während die Behörden mit alten Fällen kämpfen, offenbaren neue EU-Projekte gravierende Schwachstellen. Im April 2026 wurde eine frisch vorgestellte europäische Altersverifikations-App für soziale Netzwerke von Sicherheitsforschern innerhalb weniger Minuten ausgehebelt. Das vier Millionen Euro teure Projekt von Scytales und der Deutschen Telekom nutzte zwar moderne Zero-Knowledge-Proof-Technologie, galt aber als nicht-finale Version.

Die Forscher fanden mehrere kritische Fehler: So fehlte eine kryptografische Verknüpfung zwischen der Nutzer-PIN und der Identitätsspeicherung. Konfigurationswerte erlaubten es, PINs zurückzusetzen, Rate-Limits für Brute-Force-Angriffe zu umgehen und die biometrische Authentifizierung abzuschalten. Kritiker sehen in dem Vorfall einen herben Rückschlag für die Europäische Digitale Identität (EUDI Wallet). Manche Beobachter ziehen Parallelen zu den Problemen bei der Einführung digitaler Impfzertifikate.

Auch im Privatsektor wächst die Sorge. Eine YouGov-Studie vom Januar 2026 unter 533 Entscheidern zeigt: 35 Prozent der Unternehmen sehen menschliches oder organisatorisches Versagen als großes Sicherheitsrisiko. 20 Prozent identifizieren Social Engineering als relevante Bedrohung – ein Anstieg gegenüber 2024 (15 Prozent). Trotzdem hat fast ein Drittel der befragten Firmen keine konkrete Cybersicherheitsstrategie.

Reformdruck wächst – in Brüssel und in den Rathäusern

Die aktuellen Herausforderungen führen zu Anpassungen auf verschiedenen Ebenen. In Deutschland wirken sich administrative Veränderungen auch auf den Datenschutz vor Ort aus. Der Landkreis Freising kündigte vorzeitig die Vereinbarung für einen gemeinsamen Datenschutzbeauftragten. Sie endet am 30. Juni 2026. Ab dem 1. Juli müssen die einzelnen Kommunen eigene Beauftragte bestellen. Grund sind Unzufriedenheit mit Leistung und Personalverfügbarkeit.

Die Branche fordert unterdessen mehr Tempo und Klarheit von der Politik. ZVEI-Präsident Gunther Kegel forderte zur Eröffnung der Hannover Messe umfassende Reformen, weniger Bürokratie und mehr Flexibilität auf dem Arbeitsmarkt.

In der Finanz- und Versicherungsbranche wird Künstliche Intelligenz als Lösung für administrative Lasten gesehen. Marsh-CEO John Doyle berichtete im April 2026, sein Unternehmen habe zu KI-Investitionen von über 45 Milliarden Euro beraten. Swiss-Re-Chef Andreas Berger gab an, KI-Tools hätten im Rückversicherungsgeschäft bereits einen Reifegrad von 70 Prozent erreicht und Produktivitätssteigerungen von bis zu 80 Prozent ermöglicht. Diese Technologien können Projektlaufzeiten von Monaten auf Tage verkürzen – müssen sich aber denselben strengen Datenschutzregeln beugen, die bereits die traditionelle Datenverarbeitung herausfordern.

Da innovative KI-Systeme denselben strengen Regeln wie die traditionelle Datenverarbeitung unterliegen, benötigen Unternehmen jetzt klare Orientierung. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den notwendigen Überblick über alle neuen Pflichten und Risikoklassen. Kostenloses E-Book zur KI-Verordnung herunterladen

Ausblick: Entscheidende Monate für den europäischen Datenschutz

Die kommenden Monate werden richtungsweisend sein. Die erwartete EU-Angemessenheitsentscheidung zum transatlantischen Datenschutzrahmen im Sommer 2026 soll für Tausende Unternehmen Rechtssicherheit schaffen. Die Aufklärung langjähriger Beschwerden wie im Google-Fall bleibt jedoch ungewiss.

Die Aufsichtsbehörden stehen vor der schwierigen Aufgabe, gründliche Ermittlungen mit zeitnahen Entscheidungen in Einklang zu bringen. Der Druck auf nationale Datenschutzkommissionen, ihre Verfahren zu modernisieren und zu beschleunigen, wird weiter wachsen. Für die Wirtschaft bleibt die Herausforderung, innovative Technologien wie generative KI mit einem regulatorischen Umfeld in Einklang zu bringen, das Sicherheitslücken und Verfahrensverzögerungen immer weniger toleriert.

de | boerse | 69210430 |