Datenschutz in Europa: Rekordstrafen und neue Regeln für Unternehmen

EU-Behörden verhängten 100 Millionen Euro Strafe gegen den Fahrdienst Yango wegen Datenlecks nach Russland.

Der europäische Datenschutz wird härter. Am 12. Mai verhängten die Aufsichtsbehörden aus Finnland, den Niederlanden und Norwegen eine Gesamtstrafe von 100 Millionen Euro gegen MLU B.V., den Betreiber des Fahrdienstes Yango. Die Vorwürfe wiegen schwer: unzureichender Schutz von Nutzerdaten bei der Übermittlung nach Russland. Die Behörden stellen klar: Personenbezogene Daten dürfen die EU nicht verlassen, wenn ihre Sicherheit nicht garantiert ist.

Der Fall ist kein Einzelfall. Er markiert eine neue Eskalationsstufe in der Durchsetzung der Datenschutz-Grundverordnung (DSGVO) – und fällt zusammen mit einem ganzen Bündel neuer EU-Gesetze, die digitale Regeln straffen und Verstöße deutlich teurer machen.

Angesichts der steigenden Bußgelder für unzureichende Dokumentation ist ein lückenloses Verzeichnis der Verarbeitungstätigkeiten für Unternehmen heute unverzichtbar. Mit dieser kostenlosen Excel-Vorlage und Anleitung erfüllen Sie Ihre Dokumentationspflicht nach Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Muster-Vorlage jetzt gratis herunterladen

Rekordstrafen für Datenverstöße

Die Strafe gegen Yango reiht sich ein in eine Serie von Millionenbußgeldern. Die Aufsichtsbehörden warfen dem Unternehmen vor, keine ausreichenden Sicherheitsmaßnahmen getroffen und Daten nicht nach Herkunftsländern getrennt zu haben. Yango kündigte Berufung an und betont, europäische Nutzerdaten seien pseudonymisiert und innerhalb der EU gespeichert. Dennoch ordneten die Behörden einen sofortigen Stopp der Datenübermittlungen an.

Nur wenige Tage zuvor, am 8. Mai, erzielten die kalifornischen Behörden einen Vergleich über 12,75 Millionen Euro mit General Motors. Der Autobauer soll Fahrerdaten – darunter Standort- und Verhaltensdaten – ohne Einwilligung an Datenmakler verkauft haben. Die Strafe ist happig: fünf Jahre Verkaufsverbot für Fahrerdaten an Auskunfteien und die Löschung bestimmter Datensätze.

Seit Inkrafttreten der DSGVO im Mai 2018 wurden in Europa über 6.680 Bußgelder verhängt. Die Gesamtsumme erreichte bis Juli 2024 rund 4,2 Milliarden Euro. Allein 2023 fielen Strafen von über 1,78 Milliarden Euro an. Maximal drohen Unternehmen bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes.

Neues EU-Regelwerk: AI Act und Digital Omnibus

Seit dem 7. Mai 2026 gilt das „Digital Omnibus on AI"-Paket. Es verschiebt die Umsetzungsfristen für den EU AI Act. Hochrisiko-KI-Systeme müssen bis zum 2. Dezember 2027 konform sein, integrierte Systeme bis zum 2. August 2028. Deutlich früher greifen die Transparenzpflichten: Schon am 2. August 2026 müssen Chatbots gekennzeichnet, KI-Inhalte mit Wasserzeichen versehen und Deepfakes offengelegt werden.

Das neue Regelwerk erweitert die Privilegien für kleine und mittlere Unternehmen auf „kleine Mid-Caps" mit einem Umsatz von bis zu 200 Millionen Euro. Die Strafen bleiben drastisch: bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes. Explizit verboten sind „Nudifier"-Apps und KI-gestützter Finanzbetrug.

Da Datenschutzbehörden bei komplexen Datenverarbeitungen Bußgelder von bis zu 2 % des Jahresumsatzes verhängen können, wird eine rechtssichere Prüfung immer wichtiger. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie eine Datenschutz-Folgenabschätzung (DSFA) korrekt erstellen und welche Fallstricke Sie unbedingt vermeiden sollten. Gratis E-Book mit Muster-DSFA und Checklisten anfordern

Beim 5. Hamburger Datenschutzforum am 6. Mai diskutierten Experten die Herausforderungen durch sich überschneidende Regeln von DSGVO und AI Act. Kritik gab es an neuen, unklaren Rechtsbegriffen und der schwierigen Definition personenbezogener Daten im KI-Kontext. Positiv bewertet wurde eine neue Regel: Die Meldepflicht für Datenpannen gilt künftig nur noch für Hochrisikofälle – mit einem 96-Stunden-Fenster. Juristen rechnen jedoch nicht damit, dass weitere Omnibus-Reformen noch in diesem Jahr abgeschlossen werden.

Cyberbedrohung: KI-gestützte Angriffe nehmen zu

Der verschärfte Kurs hat einen handfesten Grund: Die Bedrohungslage eskaliert. Das Bundeskriminalamt meldet in seinem Lagebild 2025 einen Anstieg der Ransomware-Fälle auf 1.041 – ein deutlicher Zuwachs. Nur sieben Prozent der Opfer zahlten 2024 Lösegeld, der Durchschnittsbetrag lag bei umgerechnet rund 425.000 Euro. Besonders betroffen: kleine und mittlere Unternehmen, die 90 Prozent der Angriffe ausmachen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fand bei einer Prüfung im Mai 2026 heraus: Drei von vier Praxisverwaltungssystemen im Gesundheitswesen haben Sicherheitslücken, die Internetangriffe ermöglichen. Mängel bei Verschlüsselung, veraltete Algorithmen und schwache Authentifizierungsverfahren – sowohl in klinischer als auch in Pflegedokumentationssoftware.

Die Täter nutzen zunehmend Künstliche Intelligenz. Schon 86 Prozent aller Phishing-Angriffe sind KI-gestützt. Eine neue Masche: „Quishing" – Phishing über QR-Codes – stieg im ersten Quartal 2026 um 146 Prozent auf 18,7 Millionen Fälle. Auch Voice-Cloning mit nur drei Sekunden Audiomaterial und Echtzeit-Phishing zur Umgehung der Zwei-Faktor-Authentifizierung sind auf dem Vormarsch.

Behörden reagieren: Neue Schutzmaßnahmen und klare Regeln

Die Aufsichtsbehörden ziehen nach. Am 11. Mai führte der Messengerdienst Signal eine Warnfunktion für Nachrichten von unbekannten Nummern ein – nach einer Serie von Angriffen auf Konten hochrangiger Politiker. Der BSI-Cybersafety-Monitor 2026 zeigt: Elf Prozent der deutschen Internetnutzer waren bis Januar 2026 Opfer von Cyberkriminalität, Online-Shopping-Betrug ist die häufigste Deliktart.

Auch die Rolle des Datenschutzbeauftragten wird gestärkt. In Deutschland müssen Unternehmen mit 20 oder mehr Mitarbeitern in der automatisierten Datenverarbeitung einen Datenschutzbeauftragten bestellen. Bei Verstößen drohen bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes. International zeigt sich ein ähnlicher Trend: China führte im Juli 2025 eine Online-Plattform zur Registrierung von Datenschutzbeauftragten ein – Pflicht für alle, die Daten von mehr als einer Million Menschen verarbeiten.

Ein Urteil des Landgerichts Nürnberg-Fürth vom 5. Mai 2026 klärt die Befugnisse der Ermittler: Staatsanwälte dürfen selbstständig über den Umfang von Datenbeschlagnahmen entscheiden, solange die Durchsuchung der Aufklärung eines konkreten Tatverdachts dient. Der Fall betraf Abrechnungsbetrug in einem medizinischen Zentrum mit einem Schaden von über 272.000 Euro.

Was Unternehmen jetzt wissen müssen

Die Beweislast für angemessene technische und organisatorische Maßnahmen wird steigen. Unternehmen müssen das Prinzip der Datenminimierung umsetzen und klare Löschkonzepte vorweisen. In Kalifornien hat die CPPA im Februar 2026 eine eigene Prüfabteilung gegründet – ein Zeichen, dass proaktive Kontrollen bis 2027 zum Standardrisiko werden.

Die Fristen des AI Act 2026 und 2027 sind kritische Meilensteine. Wer KI-Systeme einsetzt, muss sich jetzt auf die europäischen Transparenz- und Sicherheitsstandards vorbereiten. Datenschutz ist keine lästige Pflicht mehr – er wird zum zentralen Bestandteil des Risikomanagements.

de | wirtschaft | 69328778 |