Datenschutz: Neue Regeln, alte Risiken

Europas Datenschützer ebnen heute den Weg für globale Zertifizierungen – doch interne Pannen und Sicherheitslücken zeigen, dass die größten Gefahren oft im eigenen Haus lauern.

Zertifikat soll globalen Datenverkehr erleichtern

Die europäischen Datenschutzbehörden haben heute eine wichtige Lücke geschlossen. Der Europäische Datenschutzausschuss (EDPB) hat beschlossen, das Europrivacy-Zertifikat auch außerhalb der EU als offiziellen Mechanismus für Datenübermittlungen anzuerkennen. Unternehmen weltweit können damit künftig mit einem einheitlichen Siegel nachweisen, dass sie europäische Standards einhalten.

Das soll den bürokratischen Aufwand für Konzerne deutlich reduzieren. Bislang mussten für Datenflüsse in Drittländer oft individuelle Verträge geschlossen werden. Das neue Verfahren soll Rechtssicherheit schaffen und Kosten sparen. Die Bedeutung solcher Rahmenwerke zeigt sich schon im Gesetzestext der DSGVO selbst – das Wort „Zertifizierung“ taucht dort 73 Mal auf.

Während Zertifizierungen den globalen Datenverkehr erleichtern, bleibt die interne Dokumentationspflicht für jedes Unternehmen eine gesetzliche Basis. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Kostenlose Muster-Vorlage und Anleitung jetzt gratis herunterladen

Pannen zeigen Schwachstelle: der interne Umgang

Trotz neuer Regeln bleiben interne Datenlecks ein massives Problem. Erst im März musste sich die Volkswagen-Tochter VW Group Services (VWGS) mit einem folgenschweren Vorfall auseinandersetzen. Rund 600 Mitarbeiter wurden über einen Datenschutzverstoß informiert.

Was war passiert? Manager hatten im Sommer 2025 eine Initiative zur Senkung von Fehlzeiten gestartet. Dabei wurden Dossiers mit Namen, Alter und sensiblen Gesundheitsdaten erstellt – klassifiziert mit einem Ampelsystem. Diese Informationen wurden unter Führungskräften unrechtmäßig geteilt. Betroffene Mitarbeiter haben inzwischen Klage beim Arbeitsgericht Braunschweig eingereicht.

Der Fall zeigt: Datenschutz ist nicht nur eine Frage der Berichte nach außen. Er muss auch intern gelten, besonders beim Umgang mit höchstpersönlichen Mitarbeiterdaten.

Vom Handy im Fluss bis zur löchrigen EU-App

Ein Spionageprozess in Wien wirft derzeit ein grelles Licht auf die oft lasche Praxis der physischen Datenträgervernichtung. Im Zentrum steht das Handy eines ehemaligen Ministeriumsbeamten, das 2017 bei einer Bootsfahrt in einen Fluss gefallen sein soll. Der Geheimdienst gab damals an, das Gerät sei irreparabel und werde zerstört.

Staatsanwälte behaupten nun das Gegenteil. Das Telefon sei nie vernichtet worden und tauchte im Juni 2022 wieder auf – in den Händen von Kontakten eines früheren Top-Managers. Ein fatales Versäumnis, dessen Folgen bis zu ausländischen Geheimdiensten reichen sollen. Die Lehre für Unternehmen und Behörden ist klar: Die Vernichtung muss lückenlos dokumentiert und unwiderruflich sein.

Gleichzeitig offenbaren sich Schwachstellen in neuen digitalen Technologien. Forscher wiesen heute Sicherheitslücken in einer Demo-Version einer neuen EU-Altersverifikations-App nach. PIN- und Biometrie-Schutz ließen sich umgehen, weil die Sicherheitscodes nicht kryptografisch mit den Identitätsdaten verknüpft waren. Solche Mängel, so die Warnung, könnten das Vertrauen in Großprojekte wie die geplante Europäische Digitale Identitäts-Brieftasche untergraben.

Industrie warnt: Zu strikte Regeln bremsen Innovation

Während die EU mit KI- und Data Act den Datenschutz verschärft, formiert sich Widerstand in der Wirtschaft. Siemens-Chef Roland Busch kritisierte heute auf der Hannover Messe die aktuelle Regulierung scharf. Die EU behandle industrielle KI mit den gleichen restriktiven Maßnahmen wie Verbraucheranwendungen – eine massive Bremsung für die Produktivität.

Die Kritik der Industrie zeigt, wie komplex die neuen Anforderungen des EU AI Acts für Unternehmen sind. Dieser kostenlose Leitfaden bietet Ihrer Rechts- und IT-Abteilung den nötigen Überblick über Fristen, Risikoklassen und Pflichten der neuen KI-Verordnung. EU AI Act Umsetzungsleitfaden kostenlos anfordern

Seine Drohung ist deutlich: Bis zu 1 Milliarde Euro seiner KI-Investitionen könnte Siemens notfalls in den USA oder China statt in Europa platzieren. Zwar hat die EU-Kommission im November 2025 für einige Hochrisiko-KI-Anforderungen eine 16-monatige Schonfrist vorgeschlagen. Für Busch reicht das nicht aus. Trotz der Kritik stellte Siemens in Hannover neue Tools vor, darunter einen Engineering-Agenten, der die Produktivität in der Industrie um bis zu 50 Prozent steigern soll.

Andere Regionen setzen derweil auf Kooperation. Deutschland und Brasilien unterzeichneten heute eine fünfjährige Partnerschaft für industrielle KI und souveräne Datennutzung. Die Zusammenarbeit soll Bereiche wie Fertigung, Gesundheitswesen und Energie umfassen.

Ausblick: Von Widerrufs-Knöpfen bis zum Kinderschutz

Die nächsten regulatorischen Meilensteine stehen bereits fest. Bis zum 19. Juni 2026 müssen Online-Händler einen gut sichtbaren „Widerrufs-Knopf“ in ihre Verträge einbauen. Verbraucher können Käufe dann in einem zweistufigen digitalen Prozess rückgängig machen. Das erhöht den Druck auf Händler, lückenlose Echtzeit-Protokolle über Kundeninteraktionen zu führen.

Ebenfalls Ende Juni erwartet die Politik umfassende Empfehlungen einer unabhängigen Expertenkommission zum Kinderschutz in der digitalen Welt. Erste Ergebnisse deuten darauf hin, dass pauschale Social-Media-Verbote für Minderjährige keine Universallösung sind. Der Fokus wird wohl auf einer besseren Durchsetzung bestehender Regeln und der Stärkung von Medienkompetenz liegen.

Die Richtung ist klar: Die Unternehmensstrategie muss sich von reiner Compliance hin zu einer lückenlos nachweisbaren und sicheren Verwaltung des gesamten Datenlebenszyklus bewegen. Die neuen globalen Zertifikate sind dabei nur ein erster Schritt.

de | boerse | 69218552 |