DSGVO-Bußgelder knacken 6-Milliarden-Marke: Behörden verschärfen Kontrollen

Die europäischen Datenschutzbehörden haben die Gesamtsumme der verhängten DSGVO-Strafen auf über sechs Milliarden Euro erhöht. Ein neuer Meilenstein, der zeigt: Die Ära der bloßen Dokumentationspflicht ist endgültig vorbei.

Laut aktuellen Erhebungen des CMS Enforcement Tracker Reports beliefen sich die kumulierten Bußgelder im März 2026 auf rund 6,11 Milliarden Euro. Während die Aufsichtsbehörden in den ersten Jahren nach Einführung der DSGVO vor allem auf formale Grundlagen wie Einwilligungserklärungen achteten, rücken nun zunehmend operative Fragen in den Fokus. Besonders im Visier: Transparenz bei KI-Systemen, Cybersicherheitsstandards und der Umgang mit Beschäftigtendaten.

Angesichts der Milliardenbußgelder ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Mit dieser kostenlosen Excel-Vorlage und Anleitung erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und fehlerfrei. Kostenlose Muster-Vorlage jetzt herunterladen

Deutsche Behörden fokussieren Arbeitnehmerrechte

In Deutschland legen die Datenschutzbehörden ein besonderes Augenmerk auf die Verarbeitung von Mitarbeiterdaten. Die Rechtsprechung versucht hier zunehmend, die Interessen der Arbeitgeber mit dem Persönlichkeitsrecht der Beschäftigten in Einklang zu bringen. Ein Urteil des Bundesarbeitsgerichts aus dem Frühjahr 2023 etwa legte fest, unter welchen Bedingungen Arbeitgeber bei längerer Krankheit diagnostische Informationen verlangen dürfen – ein Vorgang, der in vielen Fällen eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO erforderlich macht.

Cloud und KI: Neue Herausforderungen für Datenschutzbeauftragte

Die Modernisierung der Arbeitswelt, insbesondere die Einführung von Microsoft 365 und dessen KI-Assistent Copilot, stellt Datenschutzbeauftragte vor völlig neue Aufgaben. Aktuelle Leitlinien vom 20. Mai 2026 betonen, dass die DSGVO-Konformität dieser Systeme eine kontinuierliche Überwachung erfordert. Zu den Kernaufgaben gehören die Bewertung von Telemetrie-Einstellungen, die Durchführung verpflichtender DSFAs und die Prüfung der sogenannten „EU Data Boundary"-Einstellungen, um sicherzustellen, dass Daten innerhalb der zulässigen Rechtsräume verbleiben.

Die Integration von KI-Tools gestaltet sich besonders schwierig. Branchenbeobachter stellen fest, dass viele Unternehmen Schwierigkeiten haben, vollständige Verzeichnisse ihrer Verarbeitungstätigkeiten für KI-Anwendungen zu führen. Ein dokumentierter Fall aus einer Anwaltskanzlei offenbarte, dass nur vier von 23 aktiven KI-Tools durch entsprechende Auftragsverarbeitungsverträge (AVV) abgedeckt waren.

Eine fehlende Datenschutz-Folgenabschätzung bei komplexen Systemen kann Unternehmen bis zu 2 % des Jahresumsatzes kosten. Dieser praxisnahe Leitfaden bietet Ihnen eine fertige Muster-DSFA und hilfreiche Checklisten, um Ihre Compliance-Pflichten rechtssicher zu erfüllen. Gratis E-Book mit Muster-DSFA anfordern

Als Reaktion darauf veröffentlichte die Bundessteuerberaterkammer (BStBK) im Februar 2026 Leitlinien, die Steuerberater verpflichten, spezifische KI-Verzeichnisse zu führen und klare Regeln für die Vertragsprüfung festzulegen.

Verschärft wird der Druck durch den EU AI Act, insbesondere dessen Artikel 4, der ein Mindestmaß an „KI-Kompetenz" für all jene vorschreibt, die solche Systeme implementieren und überwachen. Mit dem Trend zu sogenannten „Agentic AI"-Lösungen – etwa den mobilen Bedrohungsabwehr-Agenten, die Zimperium am 21. Mai 2026 vorstellte – wird die Echtzeit-Überwachung automatisierter Entscheidungsprozesse immer dringlicher.

EuGH schützt Unternehmen vor „DSGVO-Abmahnern"

Nicht alle Entwicklungen sind negativ für Unternehmen. Ein wegweisendes Urteil des Europäischen Gerichtshofs vom 19. März 2026 (Rechtssache C-526/24) bringt Erleichterung im Umgang mit sogenannten „DSGVO-Hoppern". Der EuGH entschied, dass erste Auskunftsersuchen als missbräuchlich eingestuft werden können, wenn sie nachweislich darauf abzielen, eine Grundlage für Schadensersatzforderungen zu schaffen – und nicht die Ausübung legitimer Datenschutzrechte darstellen.

Unternehmen dürfen nun öffentlich zugängliche Informationen wie Warnlisten oder spezialisierte Blogs nutzen, um Muster missbräuchlichen Verhaltens zu identifizieren. Die Beweislast liegt jedoch weiterhin beim Unternehmen: Es muss nachweisen, dass ein Antrag böswillig ist.

Auch das Landgericht Nürnberg stellte Anfang Januar 2026 klar, dass die Kopplung von Dateneinwilligung und Vertrag unter bestimmten Bedingungen zulässig ist – etwa wenn keine Monopolstellung vorliegt und die Datenverarbeitung legitimen Interessen wie der Betrugsbekämpfung dient.

Diese Klarstellungen sind wichtig, denn die Zahl der Gerichtsverfahren bleibt hoch. Zwar erlaubt Artikel 82 DSGVO Schadensersatz, doch die Hürden für den Nachweis immaterieller Schäden sind weiterhin beträchtlich – ein gewisser Schutz für Unternehmen mit soliden Compliance-Programmen.

Digitalgesetz: Der digitale Personalausweis kommt

Ein Meilenstein für die digitale Identität in Deutschland: Das Bundeskabinett verabschiedete am 20. Mai 2026 das Digital-Identitäts-Gesetz (DIdG). Es ebnet den Weg für die EUDI-Wallet, eine digitale Brieftasche für Personalausweise, Signaturen und andere offizielle Dokumente. Ab dem 2. Januar 2027 soll sie verfügbar sein – freiwillig, aber mit einem hohen Sicherheitsniveau unter Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur.

Hintergrund des Gesetzes ist die wachsende Bedrohung durch Mobile-Banking-Kriminalität und raffinierte Phishing-Angriffe. Prognosen für 2026 gehen davon aus, dass mobile Finanzkriminalität Schäden in Höhe von mehreren hundert Milliarden Euro verursachen könnte. Die Statistik spricht eine deutliche Sprache: 86 Prozent aller Phishing-Kampagnen sind inzwischen KI-gesteuert, täglich werden rund 3,4 Milliarden betrügerische E-Mails versendet.

Parallel zu diesen staatlichen Initiativen verabschieden sich die großen Technologiekonzerne von traditionellen Sicherheitsmaßnahmen. Microsoft hat begonnen, die SMS-basierte Verifizierung für Privatkonten auslaufen zu lassen – mit Verweis auf die Anfälligkeit für SIM-Swap-Angriffe. Gemeinsam mit Google und Apple setzt das Unternehmen auf den Umstieg zu Passkeys (FIDO2), die biometrische Daten oder lokale PINs nutzen und damit phishing-resistente Authentifizierung bieten.

Risikomanagement: Vom „Security Debt" zur Zertifizierung

Die Aufsichtsbehörden fordern von Unternehmen ein Umdenken. Ein Whitepaper der ISACA vom 21. Mai 2026 prägt den Begriff der „Security Debt" – der angehäuften Sicherheitsschulden durch aufgeschobene Updates und Compliance-Lücken. Der Verband hat einen Security Debt Index (SDI) eingeführt, der Unternehmen helfen soll, diese Risiken zu messen und zu managen. Besonders relevant ist dies für Firmen, die sich auf die NIS2-Richtlinie und den Digital Operational Resilience Act (DORA) vorbereiten müssen.

Um diese Anforderungen zu bewältigen, greifen Unternehmen zunehmend auf Managed Security Service Provider (MSSPs) zurück. Der kürzlich fusionierte Anbieter Argos Security etwa ernannte am 21. Mai 2026 einen neuen Leiter des Partner-Ökosystems, um seine modularen Cybersicherheitsdienste im DACH-Raum auszubauen.

Ausblick: 2027 als Jahr der digitalen Identität

Die zweite Jahreshälfte 2026 wird für viele Unternehmen zur intensiven Vorbereitung auf die digitalen Identitäts-Meilensteine im Januar 2027. Sie müssen nicht nur neue technische Standards wie Passkeys adaptieren, sondern auch ihre Mitarbeiter für immer ausgefeiltere Social-Engineering-Angriffe schulen. „Quishing" – Phishing über manipulierte QR-Codes – verzeichnete zuletzt einen Anstieg von 150 Prozent, die Behörden meldeten 18 Millionen Vorfälle.

Hinzu kommt die ständige Flut von Sicherheitspatches. Eine kürzlich gemeldete Schwachstelle mit einem CVSS-Score von 9,6 (CVE-2026-41615) zeigt, wie wichtig automatisierte Schwachstellenverwaltung ist.

Für viele Unternehmen wird das kommende Jahr im Zeichen internationaler Zertifizierungen wie ISO/IEC 27001:2022 stehen. Wie die Zertifizierung von Firmen wie AERAsec im Mai 2026 zeigt, gelten diese Standards zunehmend als Grundvoraussetzung für das Geschäft in regulierten Sektoren. Das Ziel: Vertrauen schaffen – bei Partnern und Aufsichtsbehörden gleichermaßen.

de | wirtschaft | 69402537 |