Datenschutzbehörden verschärfen Druck auf Unternehmen

GDPR-Flutwelle: Mehr als die Hälfte der Strafen seit 2023 verhängt

Ein aktueller Bericht zur Durchsetzung der Datenschutz-Grundverordnung zeigt eine dramatische Eskalation. Seit Mai 2018 haben die Behörden Bußgelder von über 7,1 Milliarden Euro verhängt. Mehr als 60 Prozent dieser Summe entfielen auf die Zeit nach Januar 2023. Die Botschaft ist klar: strukturelle Sicherheitsmängel werden nicht länger toleriert.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. DSGVO-Pflicht in wenigen Stunden erledigt: So erstellen Sie Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher

Besonders im Fokus stehen Verstöße gegen Artikel 32 (Sicherheit der Verarbeitung) und Artikel 25 (Datenschutz durch Technikgestaltung). Zusammen machen sie rund 28 Prozent aller Sanktionen aus. Nur Verstöße gegen die Rechtsgrundlage der Verarbeitung (Artikel 6) sind mit 34 Prozent häufiger.

Erst am 11. Mai 2026 verhängte die irische Datenschutzkommission (DPC) ein Bußgeld von 250.000 Euro gegen die Bank Permanent TSB. Der Grund: unzureichende Sicherheitsmaßnahmen in Callcentern. Hinzu kamen 27.500 Euro wegen verspäteter Meldung von Datenpannen. Bereits seit Mai 2022 hatten Unbefugte Zugang zu Kundenkonten erlangt. Die spanische Aufsichtsbehörde AEPD verhängte zudem ein Bußgeld von 950.000 Euro gegen ein Unternehmen, das biometrische Gesichtserkennung zur Altersverifikation einsetzte – ohne gültige Rechtsgrundlage und ohne ausreichenden Schutz Minderjähriger.

Kliniken im Visier: Fehlversendungen als Dauerproblem

Besonders alarmierend sind die Zustände im Gesundheitswesen. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) untersuchte das Datenpannen-Management in 33 Kliniken, darunter zehn Unikliniken und 23 Krankenhäuser.

Die Ergebnisse für die Jahre 2023 und 2024 sind ernüchternd: Fehlversendungen sind die häufigste Ursache für Datenlecks. Zwölf der befragten Kliniken meldeten zwar keine Vorfälle – doch die Behörde hält diese Zahl für statistisch kaum glaubwürdig. Offenbar mangelt es an interner Dokumentation und Meldekultur.

Immerhin zeigt sich ein positiver trend: 2023 informierten 21 Prozent der Krankenhäuser Betroffene freiwillig über Datenpannen, auch wenn keine rechtliche Pflicht bestand. 2024 waren es noch 13 Prozent. Dennoch bleibt das Problem der Fehlversendungen drängend. Automatisierte Verschlüsselung und Verifikationsprotokolle sind dringend nötig, um hochsensible Diagnosedaten vor unbefugten Empfängern zu schützen.

WordPress-Plugins: 29 Millionen Installationen betroffen

Die technische Sicherheitslage bleibt angespannt. Im März 2026 veröffentlichten Entwickler von vier großen WordPress-Plugins – Elementor, Yoast SEO, WPForms und Really Simple Security – kritische Updates. Die Schwachstellen betrafen schätzungsweise 29 Millionen Installationen.

Besonders brisant aus Datenschutzsicht: Ein Fehler in WPForms (CVE-2026-25339) erlaubte den Zugriff auf sensible Daten ohne Authentifizierung. Da solche Plugins häufig die Erfassung und den E-Mail-Versand von Nutzerdaten übernehmen, können derartige Lücken Meldeplichten auslösen, sobald Dritte auf die Informationen zugreifen.

KI treibt 82 Prozent der Sicherheitsvorfälle in Deutschland

Eine Studie von Gigamon vom Mai 2026 zeigt: 82 Prozent der Sicherheitsvorfälle in Deutschland werden mittlerweile durch Künstliche Intelligenz verursacht oder begünstigt. Obwohl 80 Prozent der Unternehmen sich gut vorbereitet fühlen, meldeten 76 Prozent mindestens einen Vorfall im vergangenen Jahr – ein Anstieg von 21 Prozent.

Besonders besorgniserregend: IT-Experten warnen vor „Harvest Now, Decrypt Later"-Angriffen. Dabei werden verschlüsselte Daten bereits heute gestohlen, um sie später mit leistungsfähigeren Computern oder KI zu entschlüsseln. Was heute sicher scheint, könnte morgen kompromittiert sein.

Hannover: 324.000 Euro in den Sand gesetzt

Ein Lehrstück für missglückte Digitalisierung liefert die Stadt Hannover. Am 11. Mai 2026 wurde bekannt, dass die Stadt ihre Microsoft 365 Education-Umgebung abschalten musste. Der Grund: Fehlende Datenverarbeitungsvereinbarung und unterlassene Datenschutz-Folgenabschätzung (DPIA).

Rund 324.000 Euro hatte die Stadt in Lizenzen investiert – das System ließ sich nicht halten. Kritiker bemängeln, dass Alternativen wie lokale Installationen oder unbefristete Lizenzen nie ernsthaft geprüft wurden. Der Fall ist eine Warnung für alle Organisationen, die Cloud-Dienste einführen, ohne die vertraglichen und technischen Voraussetzungen für europäische Datenschutzstandards zu schaffen.

Fehlende Datenschutz-Folgenabschätzungen können Unternehmen teure Bußgelder einbringen – wie das Beispiel Hannover zeigt. Dieser kostenlose Leitfaden liefert Ihnen die notwendigen Checklisten und eine fertige Muster-Vorlage, um Ihre Dokumentationspflichten rechtssicher zu erfüllen. Rechtssichere Datenschutzfolgenabschätzung in wenigen Schritten erstellen

Bundesverwaltungsgericht stärkt Patientenrechte

Auch die Justiz zieht eine klare Grenze. Am 6. März 2026 entschied das Bundesverwaltungsgericht, dass private Krankenversicherungen Diagnosedaten aus Rechnungen nicht ohne ausdrückliche Einwilligung für Präventionsprogramme auswerten dürfen. Zwar seien solche Programme sinnvoll, doch sie gehörten nicht zum „Kernbereich" der Versicherungsleistungen. Die hohe Sensibilität von Gesundheitsdaten wiege schwerer als das Interesse der Versicherer an einer unbefugten Verarbeitung.

NIS-2: Persönliche Haftung für Vorstände

Die regulatorischen Anforderungen verschärfen sich weiter. Die NIS-2-Richtlinie, seit dem 6. Dezember 2025 in Kraft, betrifft Unternehmen mit mehr als 50 Mitarbeitern oder über 10 Millionen Euro Umsatz in 18 kritischen Sektoren. Die Registrierungsfrist beim Bundesamt für Sicherheit in der Informationstechnik (BSI) endete am 6. März 2026.

Die neuen Regeln sind hart: Vorstände haften persönlich für Sicherheitsmängel. Bei schwerwiegenden Vorfällen gilt eine Meldefrist von 24 Stunden für eine erste Vorwarnung. Ende-zu-Ende-Verschlüsselung für E-Mails wird damit vom „Nice-to-have" zur rechtlichen Notwendigkeit.

Ausblick: Transparenz-Offensive im zweiten Halbjahr

Der Europäische Datenschutzausschuss (EDSA) hat für die zweite Jahreshälfte 2026 eine koordinierte Durchsetzungsaktion zum Thema Transparenz angekündigt. Zudem müssen Hersteller digitaler Produkte ab September 2026 die Berichtspflichten des Cyber Resilience Act (CRA) erfüllen.

Die Botschaft der Aufseher ist eindeutig: Einzelfälle von Bußgeldern werden abgelöst durch eine ganzheitliche Überwachung. Wer die Integrität und Vertraulichkeit seiner digitalen Kommunikation nicht gewährleistet, riskiert nicht nur Geldstrafen, sondern auch den Ausschluss aus globalen Lieferketten.

de | wirtschaft | 69317945 |