EDPB und EuGH verschärfen Datenschutz: Neue Regeln für Forschung und Speicherung

Neue Leitlinien des Europäischen Datenschutzausschusses (EDPB) und aktuelle Gerichtsurteile definieren die Grenzen von Datenzugriff und -speicherung neu. Im April 2026 veröffentlichte der EDPB aktualisierte Vorgaben zur Datenverarbeitung in der Forschung, während der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil zu missbräuchlichen Auskunftsersuchen fällte. Flankiert wird dies von der geplanten „Digital Omnibus“-Reform, die einen doppelten Ansatz verfolgt: strengere Regeln für die Datenspeicherung bei gleichzeitiger Entbürokratisierung für compliant Unternehmen.

Während Gerichte die Grenzen von Auskunftsersuchen neu definieren, bleibt die lückenlose Dokumentation Ihrer Datenverarbeitung die wichtigste Absicherung gegen Bußgelder. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

EuGH-Urteil: Wann Auskunftsersuchen missbräuchlich sind

Die Gerichte haben Unternehmen endlich ein wichtiges Werkzeug an die Hand gegeben. Am 19. März 2026 entschied der EuGH im Fall Brillen Rottler: Auskunftsersuchen nach der DSGVO können unter bestimmten Umständen als Rechtsmissbrauch eingestuft werden. Zudem stellte das Gericht klar, dass für Schadensersatzansprüche ein tatsächlicher, materieller Schaden nachgewiesen werden muss – eine bloße Verfahrensverletzung reicht nicht. Dies bietet Unternehmen eine potenzielle Verteidigung gegen taktisch motivierte oder übermäßig belastende Anfragen.

Doch die nationalen Gerichte halten die Unternehmen weiterhin an strenge Fristen. Das Verwaltungsgericht Düsseldorf entschied am 2. April 2026: Selbst eine geringfügige Verzögerung bei der Auskunftserteilung stellt einen formalen DSGVO-Verstoß dar. In einem separaten Urteil vom 23. März 2026 stellte dasselbe Gericht zudem klar: Schadensersatzklagen gegen öffentliche Stellen nach Artikel 82 DSGVO müssen vor den Zivilgerichten verhandelt werden. Die Botschaft ist eindeutig: Die Absicht des Antragstellers mag nun eine Rolle spielen, die Pflicht zur fristgerechten Antwort bleibt jedoch absolut.

Neue EDPB-Leitlinien: Schluss mit unbegrenzter Datenspeicherung

Der Europäische Datenschutzausschuss hat seine Position zur Langzeitspeicherung von Daten grundlegend überarbeitet. Am 15. April 2026 veröffentlichte der EDPB die Leitlinien 1/2026, die einen strengen Sechs-Faktoren-Test für die Forschungsdatenverarbeitung einführen. Die Kernbotschaft: Unbegrenzte Speicherung personenbezogener Daten ist selbst für Forschungszwecke explizit verboten. Sobald das konkrete Verarbeitungsziel erreicht ist, müssen die Daten gelöscht oder anonymisiert werden.

Parallel dazu startete der EDPB am 14. April 2026 eine öffentliche Konsultation für eine standardisierte Datenschutz-Folgenabschätzung (DPIA). Ziel ist es, die Risikobewertung von Unternehmen in der gesamten EU zu vereinheitlichen und die Fragmentierung zu beenden, die grenzüberschreitende Compliance bislang erschwert. Dass Verstöße teuer werden können, zeigte Italien: Die dortige Datenschutzbehörde GPDP verhängte im April 2026 ein Bußgeld von 17 Millionen Euro gegen eine Großbank wegen unerlaubter Datentransfers von rund 2,4 Millionen Kunden.

„Digital Omnibus“: Die große Reform kommt – aber langsam

Die EU-Kommission will die digitale Regulierung mit dem „Digital Omnibus“-Paket entwirren. Der erste Vorschlag stammt vom 19. November 2025 und zielt auf mehrere Kernbereiche ab, darunter die DSGVO und das Datengesetz. Zu den wichtigsten Vorschlägen gehören die Verlängerung der Meldefrist für Datenpannen von 72 auf 96 Stunden sowie die Umstellung vom Cookie-Opt-in auf ein Opt-out-System, das über Browsereinstellungen gesteuert wird.

Das Paket sieht zudem eine zentrale Meldestelle für Cybersicherheitsvorfälle vor, die den Verwaltungsaufwand für Unternehmen halbieren könnte. Doch der Fortschritt ist holprig. In intensiven Trilog-Verhandlungen am 28. und 29. April 2026 konnten sich die EU-Gesetzgeber nicht auf den AI-Act-Omnibus einigen. Der Streitpunkt: Sollen Hochrisiko-KI-Systeme in Industriesektoren – etwa in der Medizintechnik oder im Automobilbau – durch sektorale Gesetze statt durch das allgemeine KI-Gesetz geregelt werden? Ohne eine Einigung bleibt die ursprüngliche Compliance-Frist für viele Hochrisiko-Systeme der 2. August 2026.

Die unklaren Fristen und neuen Anforderungen der EU-KI-Verordnung stellen viele IT- und Rechtsabteilungen vor große Herausforderungen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Risikoklassen und Pflichten des AI Acts. EU AI Act in 5 Schritten verstehen – jetzt Leitfaden kostenlos sichern

Technische Lösungen für den Compliance-Druck

Die Industrie reagiert auf den wachsenden Regulierungsdruck mit neuen Tools. Am 28. April 2026 brachten mehrere Unternehmen spezialisierte Plattformen zur Automatisierung von DSGVO- und AI-Act-Compliance auf den Markt:

• Kiteworks präsentierte „Kiteworks Compliant AI“ – eine Lösung, die attributbasierte Zugriffskontrollen und manipulationssichere Audit-Logs für KI-gestützte Datenverarbeitung nutzt.
• Dataiku veröffentlichte den quelloffenen „Kiji Privacy Proxy“, der automatisch sensible personenbezogene Daten durch Platzhalter ersetzt, bevor sie an externe große Sprachmodelle übermittelt werden.
• Die Mitteldeutsche IT (mIT) startete eine Reihe DSGVO-konformer KI-Cloud-Lösungen aus deutschen Rechenzentren, zertifiziert nach dem BSI C5-Standard.

Diese Tools kommen zur rechten Zeit: Eine Bitkom-Studie vom März und April 2026 zeigt, dass zwar 41 Prozent der Unternehmen KI einsetzen, aber rund 12 Prozent der Mitarbeiter auf „Shadow AI“ zurückgreifen – nicht autorisierte Tools, die die Unternehmensrichtlinien umgehen. Die Kluft zwischen Unternehmenspolitik und Mitarbeiterverhalten wächst.

Steuerrecht vs. Datenschutz: Ein ungelöster Konflikt

Eine der größten Herausforderungen bleibt der Widerspruch zwischen Steuerrecht und Datenschutz. Ein aktuelles Urteil des Bundesfinanzhofs (BFH) stellt klar: E-Mails mit steuerrelevanten Informationen gelten als Geschäftsbriefe und müssen mehrere Jahre archiviert werden. Dies kollidiert direkt mit dem Grundsatz der Speicherbegrenzung in der DSGVO.

Rechtsexperten weisen darauf hin, dass Unternehmen derzeit ein „Erstqualifikationsrecht“ besitzen: Sie können selbst bestimmen, welche E-Mails der Steueraufbewahrung unterliegen, bevor die DSGVO-Löschprotokolle greifen. Dies erfordert jedoch eine robuste technische Kategorisierung und klare Löschkonzepte. Die Veröffentlichung der aktualisierten C5:2026-Kriterien durch das BSI im April 2026 bietet hier Orientierung, indem sie NIS2-Anforderungen und Post-Quanten-Kryptographie-Standards integriert.

Ausblick: Fristen rücken näher

Die kommenden Monate werden richtungsweisend für die internationale Datenstrategie. Während die EU mit den letzten Details ihres AI-Act umkämpft, ziehen andere Regionen voran. In den USA verabschiedete Alabama am 17. April 2026 als 22. Bundesstaat ein umfassendes Verbraucherdatenschutzgesetz – das Alabama Personal Data Protection Act tritt am 1. Mai 2027 in Kraft. Neue Bundesvorschläge wie der SECURE Data Act vom 28. April 2026 zielen auf einen einheitlichen nationalen Datenschutzstandard ab.

In Europa bleibt der 2. August 2026 der entscheidende Termin: Dann treten die strengsten Transparenzanforderungen des AI Act in Kraft. Unternehmen müssen zudem bis November 2026 die Identitätsüberprüfung ihrer Direktoren nach den britischen Companies-House-Reformen abschließen. Da die regulatorische Durchsetzung weiter zunimmt – allein die US-Bundesstaaten verhängten 2025 Bußgelder in Höhe von 3,425 Milliarden US-Dollar – ist der Übergang von manueller Compliance zu automatisierten, risikobasierten Governance-Systemen für globale Unternehmen keine Option mehr, sondern eine Notwendigkeit.

de | wirtschaft | 69262837 |