EuGH und Datenschützer verschärfen Regeln für Zugangsdaten

Der Umgang mit Passwörtern und Login-Daten steht vor einem grundlegenden Wandel. Zwei wegweisende Entscheidungen europäischer und deutscher Behörden setzen neue Maßstäbe für Sicherheit und Datenschutz.

EuGH-Urteil setzt Grenzen für Auskunftsansprüche

Am 19. März 2026 hat der Europäische Gerichtshof (EuGH) in einem Grundsatzurteil (C-526/24) klargestellt: Das Auskunftsrecht nach der Datenschutz-Grundverordnung (DSGVO) ist nicht schrankenlos. Zwar stellt der Kontrollverlust über persönliche Daten einen immateriellen Schaden dar, der entschädigt werden kann. Unternehmen müssen aber missbräuchliche Anfragen nicht beantworten.

Lücken in der Dokumentation nach Art. 30 DSGVO können bei behördlichen Prüfungen schnell zu hohen Bußgeldern führen. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation rechtssicher und kinderleicht. Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde erstellt

Konkret bedeutet das: Fordert eine Person Zugangsprotokolle an, nur um einen Schadensersatzanspruch zu konstruieren, kann das Unternehmen die Auskunft verweigern. Vorausgesetzt, es kann die mutwillige Absicht nachweisen. „Das Urteil ist ein wichtiges Schutzschild gegen Data-Request-Trolling“, kommentiert eine Münchner Anwältin für IT-Recht. Gleichzeitig bleibe das Transparenzgebot unangetastet. Nutzer müssen weiterhin nachvollziehen können, wer auf ihre Konten zugreift.

Deutsche Aufsicht verlagert Verantwortung auf Hersteller

Bereits einen Tag zuvor, am 18. März, signalisierte die Datenschutzkonferenz (DSK) eine Kehrtwende. In ihrem „Digital Fitness Check“ fordern die deutschen Aufsichtsbehörden einen „Verantwortungsshift“ weg von den Unternehmen hin zu den Software-Herstellern.

Künftig sollen Anbieter von Tools für Passwort-Management oder Datenübertragung stärker in die Pflicht genommen werden. Ihre Produkte müssen Privacy und Security by Design von Haus aus integrieren. Das Ziel ist klar: Die technische Last für kleine und mittlere Unternehmen soll sinken, während der Schutz sensibler Log-in-Daten steigt. Für Hersteller wie SAP oder deutsche IT-Dienstleister bedeutet das erhöhten Druck, sichere Standardeinstellungen zu liefern.

NIS2-Deadline löst verschärfte Kontrollen aus

Der neue Fokus kommt nicht von ungefähr. Seit dem Stichtag für die NIS2-Richtlinie am 6. März stehen rund 29.000 deutsche Unternehmen unter genauerer Beobachtung. Landesbehörden haben ihre Prüfaktivitäten hochgefahren.

So beteiligt sich die Aufsichtsbehörde Brandenburg an einer europaweiten Überprüfung, die besonders den HR-Bereich im Visier hat. Im Fokus steht die Frage: Wie werden Bewerberdaten und Zugangscredentials übermittelt und gespeichert? Bereits im März verhängten Behörden fünfstellige Bußgelder gegen Firmen, die Passwörter im Klartext versendet oder gespeichert hatten. Artikel 32 der DSGVO verlangt hier eindeutig „state-of-the-art“-Verschlüsselung.

Angesichts verschärfter Kontrollen und neuer Gesetze wie der KI-Verordnung stehen viele Geschäftsführer vor wachsenden Herausforderungen in der IT-Sicherheit. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Trend zu passwortfreier Authentifizierung beschleunigt sich

Die jüngsten Entwicklungen passen zu einem größeren Trend: dem Abschied vom klassischen Passwort. Massive Datenlecks, zuletzt mit 150 Millionen betroffenen Nutzern, wurden oft durch einfache Keylogger ermöglicht. Die Kombination aus EuGH-Urteil und DSK-Initiative dürfte die Einführung sicherer Alternativen wie Passkeys oder hardwarebasierter Authentifizierung beschleunigen.

Marktbeobachter erwarten einen Boom bei Security-as-a-Service-Angeboten, gerade für KMU. Bis Ende 2026 könnten zudem neue „Best Practice“-Leitlinien für Finanz- und Personalabteilungen vorliegen. Die Botschaft an die Wirtschaft ist klar: Einfache Verschlüsselung ist nur das Minimum. Erwartet wird die durchgängige Integration herstellerseitig garantierter Sicherheitsprotokolle.

boerse | 68962569 |