DSGVO: Fines über 7,1 Milliarden Euro – Händler in der Pflicht

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 haben die Aufsichtsbehörden Bußgelder in Höhe von über 7,1 Milliarden Euro verhängt. Besonders brisant: Mehr als 60 Prozent dieser Summe entfällt auf die Zeit nach Januar 2023. Die Behörden fokussieren sich zunehmend auf Datensparsamkeit und Transparenz – und treffen damit den Kern des E-Commerce.

Die steigenden Bußgelder zeigen, dass Lücken in der Dokumentation für Unternehmen existenzbedrohend sein können. Mit dieser kostenlosen Muster-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und rechtssicher. Kostenlose Excel-Vorlage und PDF-Anleitung jetzt herunterladen

Gastzugang als Compliance-Strategie

Die häufigsten Verstöße betreffen Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung) mit 34 Prozent aller Verstöße, gefolgt von Verletzungen der Artikel 25 und 32 (Datenschutz durch Technikgestaltung und Sicherheit der Verarbeitung) mit 28 Prozent. Für Online-Shops bedeutet das: Wer Daten sammelt, muss genau begründen können, warum.

Der Gastzugang – also die Möglichkeit, ohne dauerhaftes Kundenkonto einzukaufen – hat sich vom Komfortfeature zur Compliance-Pflicht entwickelt. Das Prinzip der „Datensparsamkeit" verlangt, nur die Daten zu erheben, die für die jeweilige Transaktion zwingend notwendig sind. Wer Kunden zur Registrierung zwingt, verstößt gegen Artikel 25, der „Privacy by Default" vorschreibt.

Gesundheitsdaten: BVerwG zieht rote Linie

Ein wegweisendes Urteil des Bundesverwaltungsgerichts vom 6. März 2026 unterstreicht den Trend: Eine private Krankenversicherung darf Diagnosedaten aus Abrechnungsunterlagen nicht ohne ausdrückliche Einwilligung für Präventionsprogramme nutzen. Das Gericht stellte klar, dass selbst ein „berechtigtes Interesse" nach Artikel 6 die sensible Natur von Gesundheitsdaten nicht überwiegt – und fehlende Transparenz nicht durch Geschäftsbeziehungen geheilt wird.

Biometrie unter Beschuss: 950.000 Euro Strafe in Spanien

Wer auf Gesichtserkennung zur Altersverifikation setzt, bewegt sich auf dünnem Eis. Die spanische Datenschutzbehörde AEPD verhängte Anfang Mai 2026 ein Bußgeld von 950.000 Euro gegen ein Unternehmen. Die Gründe lesen sich wie ein Lehrbuch der Verstöße:

• Speicherung biometrischer Daten ohne gültige Einwilligung
• Voraktivierte Sekundärnutzung für Analyzwecke
• Unzureichender Schutz Minderjähriger unter 14 Jahren
• Verstoß gegen „Privacy by Default"

Für Händler, die über fortschrittliche Verifikationsmethoden nachdenken, ist dies eine deutliche Warnung. Die Behörden koordinieren sich zunehmend grenzüberschreitend – und auch kleine und mittlere Unternehmen sind nicht mehr sicher.

Governance-Lücke: KI und Cloud-Dienste

Die Kluft zwischen Innovation und Regulierung wächst. Eine aktuelle Red-Hat-Studie unter 100 deutschen IT-Entscheidern zeigt: Nur 30 Prozent der Unternehmen haben ausgereifte Governance-Strukturen für autonome KI-Agenten implementiert. Dabei sind laut Gigamon bereits 82 Prozent der Cybersicherheitsvorfälle in Deutschland mit KI verknüpft.

Besonders peinlich: Die Stadt Hannover musste im Frühjahr 2026 ihre Microsoft-365-Education-Systeme abschalten. Grund: Die Lizenzen im Wert von 324.000 Euro wurden ohne gültige Datenschutz-Folgenabschätzung (DPIA) und ohne Auftragsverarbeitungsvertrag beschafft. Die Lektion: Ohne solide rechtliche Basis ist selbst die teuerste Software-Lizenz wertlos.

Für Online-Händler ist Artikel 28 DSGVO (Auftragsverarbeitung) existenziell. Über 50 Prozent aller Datenpannen gehen auf Drittanbieter zurück. Screening-Plattformen wie das Schweizer Unternehmen Validato helfen, Lücken zwischen verschiedenen Regularien wie dem Digital Operational Resilience Act (DORA) und nationalen Datenschutzgesetzen zu schließen.

Der Vorfall in Hannover verdeutlicht, wie riskant eine fehlende Datenschutz-Folgenabschätzung für Verantwortliche sein kann. Dieser kostenlose Leitfaden bietet Ihnen eine fertige Muster-DSFA und praktische Checklisten, um Bußgelder rechtssicher zu vermeiden. Muster-DSFA und Experten-Checklisten kostenlos anfordern

NIS-2: Persönliche Haftung für Geschäftsführer

Seit dem 6. Dezember 2025 gilt die NIS-2-Richtlinie ohne Übergangsfrist. Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder einem Jahresumsatz über 10 Millionen Euro in 18 kritischen Sektoren – darunter Lebensmittelhandel, Maschinenbau und Chemie.

Die Meldefrist für „besonders wichtige Einrichtungen" im BSI-Portal endete am 6. März 2026. Bußgelder erreichen bis zu 10 Millionen Euro oder 2 Prozent des globalen Umsatzes. Entscheidend: Die Geschäftsführung haftet persönlich. Cybersicherheit ist kein IT-Thema mehr – es ist Chefsache.

Die Meldefristen für Sicherheitsvorfälle sind streng gestaffelt:
- 24 Stunden: Erste Frühwarnung
- 72 Stunden: Zwischenbericht
- 1 Monat: Abschlussbericht

Der Druck kommt zur rechten Zeit. Google meldete einen historischen Vorfall, bei dem Angreifer generative KI nutzten, um einen Exploit für eine bisher unbekannte „Zero-Day"-Schwachstelle zu entwickeln – der Angriff wurde zwar vereitelt, zeigt aber das neue Bedrohungsniveau. Die IT-Sicherheitsfirma Trellix meldete am 17. April 2026 einen Einbruch in ihre Quellcode-Repositories, zu dem sich die Gruppe RansomHouse bekannte.

Ausblick: Was auf Händler zukommt

Die regulatorische Bürde wächst weiter. Am 7. Mai 2026 verabschiedete die EU den „Digital Omnibus on AI" – mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des globalen Umsatzes für Verstöße gegen Hochrisiko-KI-Systeme. Die Transparenzpflichten nach Artikel 50 des AI Act werden am 2. August 2026 rechtsverbindlich.

Die Datenschutzbehörden haben angekündigt, in der zweiten Jahreshälfte 2026 einen Schwerpunkt auf Transparenz-Enforcement zu legen. Konkret geht es darum, wie Unternehmen Nutzer über Datenverarbeitung informieren.

Für Online-Händler ist die Botschaft glasklar: Ein funktionierender Gastzugang und schlanke Datenerhebung sind kein Nice-to-have mehr – sie sind die Eintrittskarte für den Markt. NIS-2-Compliance wird zum „Entry Ticket" für Lieferketten. Wer seine internen Prozesse und Risikobewertungen nicht dokumentiert, fliegt aus großen Partnerschaften – und haftet persönlich.

de | wirtschaft | 69315474 |