DSGVO-Jubiläum: EU verschärft Datenschutz für internationale Unternehmen

Die europäische Datenschutzlandschaft ist zehn Jahre nach Verabschiedung der DSGVO in eine neue Phase der regulatorischen Reife eingetreten. Am 30. April 2026 genehmigte der Europäische Datenschutzausschuss (EDSA) offiziell die Ausweitung des Europrivacy-Zertifizierungsschemas auf Unternehmen außerhalb des Europäischen Wirtschaftsraums (EWR). Damit schafft die EU einen überprüfbaren Mechanismus für internationale Datentransfers nach Artikel 46 der DSGVO – eine strukturelle Neuerung, die bestehende Instrumente wie Standardvertragsklauseln ergänzt.

Der Schritt kommt zu einem Zeitpunkt, an dem die finanziellen Risiken für Verstöße massiv gestiegen sind. Marktbeobachter beziffern die Bußgelder für grenzüberschreitende Datentransfers zwischen 2025 und 2026 auf rund 1,2 Milliarden Euro. Gleichzeitig wird das regulatorische Umfeld durch die bevorstehende Vollanwendung des EU-AI-Gesetzes und eine Reihe neuer Leitlinien neu geformt.

Angesichts steigender Bußgelder für grenzüberschreitende Datentransfers müssen Unternehmen ihre Compliance-Strukturen dringend absichern. Dieser kostenlose Leitfaden zeigt Ihnen in 5 konkreten Schritten, wie Sie die DSGVO-Vorgaben rechtssicher in Ihrem Betrieb umsetzen. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Strengere Regeln für berechtigtes Interesse und Forschung

Bereits am 29. April 2026 veröffentlichte der EDSA einen umfassenden Fallbericht zur Anwendung des „berechtigten Interesses“ nach Artikel 6 Absatz 1 Buchstabe f DSGVO. Die Analyse zahlreicher Entscheidungen nationaler Aufsichtsbehörden stellt Unternehmen vor einen strengen Drei-Stufen-Test: Sie müssen ein klar definiert es berechtigtes Interesse nachweisen, belegen, dass die Verarbeitung notwendig ist – also keine milderen Alternativen existieren – und eine sorgfältige Abwägung gegen die Rechte der betroffenen Personen vornehmen.

Der Bericht stellt klar: Rein kommerzielle Interessen können zwar berechtigt sein, werden jedoch häufig überwogen, wenn Daten Minderjähriger betroffen sind oder die Notwendigkeit der Verarbeitung nicht belegt werden kann. Der EDSA hob Fälle hervor, in denen die Speicherung biometrischer Daten nach Kontoschließung als unnötig eingestuft wurde oder die Veröffentlichung von Kontaktdaten Minderjähriger abgelehnt wurde. Besonders brisant: Der Versuch, ein berechtigtes Interesse nachträglich geltend zu machen, nachdem eine andere Rechtsgrundlage gescheitert ist, ist in der Regel unzulässig.

Parallel dazu veröffentlichte der EDSA im April 2026 die Leitlinien 1/2026, die einen Sechs-Faktoren-Test für die Datenverarbeitung im Rahmen wissenschaftlicher Forschung einführen. Die Leitlinien verbieten ausdrücklich die unbegrenzte Speicherung personenbezogener Daten für Forschungszwecke. Unternehmen müssen klare Aufbewahrungsfristen festlegen und die Dauer der Datenspeicherung anhand konkreter Forschungsziele rechtfertigen.

„Shadow AI“: Wenn Mitarbeiter heimlich KI nutzen

Die finanziellen Folgen von Datenschutzverstößen gehen längst über direkte Bußgelder hinaus. Ein besonders eindrückliches Beispiel lieferte die Stadt Hannover Anfang 2025: Sie kaufte rund 60.000 Bildungslizenzen für 324.000 Euro – und konnte sie nicht nutzen. Der Grund: Die örtliche Datenschutzbeauftragte war nicht eingeschaltet worden, und die Software erfüllte nicht die erforderlichen Datenschutzstandards für Kinder und Jugendliche.

Der Aufstieg der generativen Künstlichen Intelligenz hat eine neue Risikokategorie geschaffen: „Shadow AI“. Eine Bitkom-Studie vom März und April 2026 mit über 1.000 Teilnehmern zeigt, dass 12 Prozent der Arbeitnehmer KI-Tools heimlich für berufliche Aufgaben nutzen – ohne Genehmigung ihres Unternehmens. Während 34 Prozent der Bevölkerung KI wöchentlich verwenden, setzen 64 Prozent der Unternehmen KI ohne formelle Strategie ein.

Compliance-Experten warnen in einem am 28. April 2026 veröffentlichten Leitfaden: Diese unregulierte Nutzung setzt Unternehmen Halluzinationen, Prompt-Injection-Angriffen und Verstößen gegen geistiges Eigentum aus. Zur Risikominimierung empfehlen Fachleute die Einführung von Anwendungsfallregistern und ein dreistufiges Risikoklassifizierungssystem. Unternehmen, die unter dem EU-AI-Gesetz, das ab dem 2. August 2026 vollständig in Kraft tritt, Hochrisiko-KI-Systeme nicht angemessen verwalten, drohen Strafen von bis zu 35 Millionen Euro oder 7 Prozent ihres weltweiten Jahresumsatzes.

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnung. Sichern Sie sich diesen kostenlosen Praxis-Report, um die neuen Pflichten und Übergangsfristen des AI Acts rechtzeitig zu verstehen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Globale Annäherung: USA und internationale Zertifizierung

Während die europäischen Regulierungsbehörden ihre Rahmenwerke festigen, zeichnen sich bedeutende Entwicklungen in den USA und auf internationaler Ebene ab. Ein Bericht des Centre for Information Policy Leadership (CIPL) vom 28. April 2026 zeigt eine hohe Übereinstimmung zwischen der DSGVO und dem Global Cross-Border Privacy Rules (CBPR) System. Mehr als 70 Prozent der globalen CBPR-Anforderungen sind mit DSGVO-Standards kompatibel. Die Experten empfehlen der EU, eine formelle Teilnahme an dem System zu prüfen, um globale Datenströme zu vereinfachen.

In den USA bleibt die Gesetzeslandschaft fragmentiert, aber aktiv. Alabama verabschiedete am 17. April 2026 als 22. Bundesstaat ein umfassendes Datenschutzgesetz. Das Alabama Personal Data Protection Act (APDPA), das am 1. Mai 2027 in Kraft tritt, richtet sich an Unternehmen, die Daten von mehr als 25.000 Verbrauchern verarbeiten. Bemerkenswert: Das Gesetz verlangt keine Datenschutz-Folgenabschätzungen (DPIAs) und schließt Analysedienste aus der Definition von „Datenverkäufen“ aus.

Auf Bundesebene brachte das US-Repräsentantenhaus am 28. April 2026 zwei bedeutende Gesetzesentwürfe ein: den SECURE Data Act und den GUARD Financial Data Act. Der SECURE Data Act zielt auf einen nationalen Rahmen ähnlich den bestehenden Landesgesetzen ab und gewährt Verbrauchern Rechte auf Zugang, Berichtigung und Löschung – mit erweitertem Schutz für 13- bis 15-Jährige. Der GUARD Act will den Gramm-Leach-Bliley Act von 1999 modernisieren und verlangt von Unternehmen die Offenlegung ihrer KI-Nutzung sowie eine Opt-in-Zustimmung für sensible Finanzinformationen.

Rechtliche Präzedenzfälle: Meta im Visier, Missbrauchsklausel bestätigt

Aktuelle Gerichtsverfahren definieren weiterhin die Grenzen digitaler Verantwortung. Die Europäische Kommission betreibt ein Verfahren gegen Meta, das im Mai 2024 eingeleitet wurde. Es geht um mutmaßliche Verstöße gegen das Digital Services Act (DSA). Im Zentrum steht die Wirksamkeit von Metas Altersverifikationstools für Instagram und Facebook. Sollte die Kommission bestätigen, dass das Unternehmen Minderjährige unter 13 Jahren nicht ausreichend geschützt hat, drohen Meta Strafen von bis zu 6 Prozent seines weltweiten Jahresumsatzes.

Ein wegweisendes Urteil fällte der Europäische Gerichtshof (EuGH) am 19. März 2026 im Fall Brillen Rottler: Datenauskunftsersuchen nach Artikel 15 DSGVO können unter bestimmten Umständen als Rechtsmissbrauch eingestuft werden. Dies bietet Unternehmen eine potenzielle Verteidigung gegen übermäßige oder böswillige Datenanfragen, die eher der Störung des Geschäftsbetriebs als dem Schutz der Privatsphäre dienen.

Die im November 2025 vorgeschlagene Reform „Digital Omnibus“ deutet auf eine mögliche Neujustierung der DSGVO hin, um die KI-Wirtschaft zu unterstützen. Zu den vorgeschlagenen Änderungen gehören die Behandlung von KI-Training als berechtigtes Interesse und die Verlängerung der Meldefrist für Datenschutzverletzungen von 72 auf 96 Stunden.

Ausblick: 2026 wird zum Jahr der Compliance-Transformation

Der Rest des Jahres 2026 wird geprägt sein von souveräner KI-Infrastruktur und der Einführung der EU Digital Identity Wallet, die die Mitgliedstaaten bis Jahresende bereitstellen müssen. Eine Expertenkommission legte am 28. April 2026 Empfehlungen an die Bundesregierung vor, die auf „Deutsches Zukunftskapital“ und eine Vereinfachung der DSGVO-Anforderungen zur Förderung von Innovation abzielen.

Für Unternehmen wird die Integration von Privatsphäre-Signalen in kollaborative Datenumgebungen zur technischen Priorität. Anbieter wie OneTrust kündigten am 28. April 2026 neue Integrationen mit Data-Clean-Room-Technologien an, die die Durchsetzung von Einwilligungssignalen in Multi-Party-Datenkooperationen ermöglichen. Mit dem nahenden Vollanwendungsdatum des AI Act am 2. August 2026 wird der Übergang von freiwilliger Governance zu verbindlicher Compliance voraussichtlich einen Schub bei formalen KI-Schulungen und der Einführung zertifizierter Transfermechanismen auslösen. Organisationen sind zunehmend gefordert, über reaktive Compliance hinauszugehen und Datenschutz nicht länger als bloße rechtliche Hürde, sondern als fundamentale Komponente der digitalen Infrastruktur zu begreifen.

de | wirtschaft | 69265074 |