DSGVO-Jubiläum: Reformen und neue Milliardenrisiken für Unternehmen

Die Europäische Union begeht den zehnten Jahrestag der Datenschutz-Grundverordnung – doch statt Ruhe kehrt neue Unruhe ein. Der Grund: Die EU-Kommission treibt mit dem „Digital Omnibus“-Reformpaket eine grundlegende Neuausrichtung voran, die Unternehmen vor völlig neue Herausforderungen stellt. Während einige DSGVO-Regeln gelockert werden sollen, drohen gleichzeitig drastisch höhere Strafen für KI-Verstöße.

Die EU-KI-Verordnung stellt Unternehmen bereits heute vor komplexe Anforderungen an Risikodokumentation und Qualitätssicherung. Dieser kostenlose Umsetzungsleitfaden hilft Ihrer IT- und Rechtsabteilung, alle relevanten Fristen und Pflichten des AI Act im Blick zu behalten. EU AI Act in 5 Schritten verstehen

Zehn Jahre DSGVO – und ein neuer Kurs

Seit Gründung des Europäischen Datenschutzausschusses (EDPB) am 25. Mai 2018 haben 31 europäische Aufsichtsbehörden einheitliche Maßstäbe entwickelt. Die DSGVO wurde zum globalen Vorbild für digitale Grundrechte. Doch nun verändert der „Digital Omnibus“ die Spielregeln. Das am 19. November 2025 vorgeschlagene Reformpaket sieht vor, dass Unternehmen künstliche Intelligenz künftig auf Basis „berechtigter Interessen“ trainieren dürfen – sofern die Daten pseudonymisiert sind. Bisher war dafür eine ausdrückliche Einwilligung nötig.

Auch beim Cookie-Management plant die Kommission eine Kehrtwende: Statt der bisherigen Opt-in-Pflicht soll ein Opt-out-Modell kommen. Zudem wird der Begriff der sensiblen Daten nach Artikel 9 enger gefasst. Für Konzerne bedeutet das eine spürbare Entlastung – doch die neue Freiheit hat ihren Preis.

Der Meta-Fall: Wenn Strafen zu Compliance werden

Wie komplex die Durchsetzung von Datenschutzstrafen sein kann, zeigt der Fall Meta in Nigeria. Die nigerianische Datenschutzkommission (NDPC) hatte im Februar 2025 eine Strafe von umgerechnet rund 30 Millionen Euro gegen den US-Konzern verhängt. Der Vorwurf: Datentransfers ohne Rechtsgrundlage und fehlende Einwilligungen für personalisierte Werbung, von denen über 60 Millionen Nutzer betroffen waren.

Doch Ende 2025 einigten sich beide Seiten außergerichtlich. Meta zahlte lediglich die Verfahrenskosten und verpflichtete sich zu Compliance-Maßnahmen – darunter Aufklärungskampagnen und Facebook-Anzeigen. Die Strafe selbst wurde in Sachleistungen umgewandelt. Nigerianische Anwaltsverbände kritisierten den Deal scharf. Ihre Befürchtung: Solche Vergleiche untergraben die abschreckende Wirkung des Datenschutzrechts – eine Debatte, die auch in Europa längst geführt wird.

KI-Gesetz: Strafen jenseits der DSGVO-Grenzen

Während die DSGVO an manchen Stellen gelockert wird, zieht die EU beim KI-Einsatz die Schrauben an. Ab dem 2. August 2026 gelten die meisten Regeln des AI Act. Besonders brisant: Wer Hochrisiko-KI im Personalwesen einsetzt – etwa zur Analyse von Bewerbungen – muss mit Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes rechnen. Das übertrifft die bisherigen DSGVO-Höchststrafen deutlich.

Parallel dazu verschärft auch Großbritannien die Regeln. Die dortige Datenschutzbehörde ICO veröffentlichte am 31. März 2026 einen Bericht zu automatisierten Entscheidungen im Recruiting. Die Botschaft: Ohne menschliche Kontrolle und robuste Datenschutz-Folgenabschätzungen geht nichts. Dass ICO-Chef John Edwards seit Ende Februar 2026 wegen einer internen Untersuchung von seinen Aufgaben entbunden ist, verleiht der Debatte zusätzliche Brisanz.

Bei der Nutzung von Hochrisiko-KI drohen Unternehmen empfindliche Bußgelder von bis zu 7 % des Jahresumsatzes, wenn Dokumentationspflichten vernachlässigt werden. Erfahren Sie in diesem kostenlosen Report, welche Systeme konkret betroffen sind und wie Sie die neuen Regeln rechtssicher umsetzen. Kostenlosen Report zu Hochrisiko-KI anfordern

Europrivacy: Der neue Goldstandard für Zertifizierungen

Um Unternehmen durch diesen Dschungel zu lotsen, hat der EDPB am 16. April 2026 die überarbeitete „Europrivacy“-Zertifizierung (Version 82) verabschiedet. Das Besondere: Dieses Siegel gilt nun auch für internationale Datentransfers nach Artikel 42 DSGVO. Unternehmen, die noch die alte Version 60 nutzen, müssen bis Ende 2026 umstellen. Die Zertifizierung soll als „sicherer Hafen“ dienen und nachweisen, dass alle Auflagen erfüllt sind – ein entscheidender Vorteil im Falle von Prüfungen.

Compliance-Allianzen: Datenschutz wird Chefsache

Die neue Regulierungswelle zwingt Unternehmen zum Umdenken. Datenschutzteams arbeiten längst nicht mehr isoliert, sondern bilden „Compliance-Allianzen“ mit Kollegen aus Cybersicherheit und KI-Governance. Diese strategische Neuausrichtung ist überlebenswichtig, denn ab dem 7. Juni 2026 kommt mit der EU-Entgelttransparenzrichtlinie die nächste Herausforderung: Arbeitgeber dürfen dann nicht mehr nach früheren Gehältern fragen und müssen Gehaltsspannen offenlegen.

Auch in den USA tut sich etwas. Am 22. April 2026 brachten Republikaner im Repräsentantenhaus den „Secure Data Act“ ein. Das Gesetz soll ein bundesweites Datenschutzrecht schaffen, das die vielen Einzelstaatsregelungen ersetzt. Vorbild ist erkennbar die EU: Das Gesetz sieht Auskunfts- und Löschrechte vor sowie eine 45-tägige „Heilungsfrist“ für Unternehmen, bevor Strafen verhängt werden.

Der Balanceakt: Strengere Strafen bei mehr Flexibilität

Die aktuelle Entwicklung gleicht einem Spagat: Einerseits lockert die EU traditionelle DSGVO-Pflichten, um Innovationen zu ermöglichen. Andererseits verschärft sie die Sanktionen für neue Technologien drastisch. Der „Digital Omnibus“ zeigt, dass Brüssel auf die Kritik der Industrie reagiert – die zehnjährige Geschichte der DSGVO bleibt jedoch das Fundament, auf dem alle neuen Gesetze aufbauen.

Der Fall Meta in Nigeria demonstriert eindrucksvoll: Selbst wenn Aufseher zunächst hohe Strafen verhängen, enden Verfahren oft mit Vergleichen. Die Bereitschaft der Behörden, auf sofortige Zahlungen zugunsten langfristiger Compliance zu verzichten, wird zum entscheidenden Faktor.

Ausblick: Die entscheidenden Termine bis 2027

Für Unternehmen wird der Rest des Jahres 2026 zur Bewährungsprobe. Bis zum 1. Juli 2026 senkt Connecticuts Datenschutzgesetz die Schwellenwerte – dann sind bereits Firmen betroffen, die Daten von 35.000 Verbrauchern verarbeiten. In Europa müssen die Mitgliedstaaten bis Ende 2026 die digitale Identitätsbrieftasche einführen.

Die Berichtspflichten der Entgelttransparenzrichtlinie greifen ab dem 7. Juni 2027 – dann liegt die Beweislast bei Lohnstreitigkeiten beim Arbeitgeber. Und der Cyber Resilience Act gilt zwar erst ab Dezember 2027, doch seine Anforderungen beeinflussen bereits heute die Risikobewertungen.

Die Botschaft ist klar: Wer jetzt seine Datenprozesse nicht an die kommenden Reformen anpasst, riskiert nicht nur DSGVO-Strafen, sondern auch die deutlich höheren Sanktionen des AI Act. Die Zeit des Abwartens ist vorbei.

de | boerse | 69250371 |