GM zahlt Millionenstrafe: Datenschutz-Offensive auf beiden Seiten des Atlantiks

Behörden in Nordamerika und Europa verschärfen den Druck auf Unternehmen – mit Rekordstrafen und neuen Regeln für KI.

Der 8. Mai 2026 markiert eine Zäsur im globalen Datenschutz: Gleich mehrere Aufsichtsbehörden verhängten empfindliche Geldstrafen gegen Großkonzerne. Allen voran der Fall General Motors, der mit einer Millionenstrafe in Kalifornien endete. Zeitgleich treibt die EU die Regulierung Künstlicher Intelligenz voran und verklagt säumige Mitgliedsstaaten.

Die massiven Bußgelder gegen Großkonzerne zeigen, dass Datenschutzverstöße heute existenzbedrohend sein können – auch für kleine und mittlere Betriebe. Dieser kostenlose Leitfaden führt Sie in 5 konkreten Schritten zur rechtssicheren Umsetzung der DSGVO und schützt Sie vor teuren Abmahnungen. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Rekordstrafe für GM: Datenhandel mit Fahrerprofilen

Der US-Autobauer General Motors hat sich mit der kalifornischen Justiz geeinigt und zahlt umgerechnet rund 11,7 Millionen Euro. Es ist die höchste je verhängte Strafe nach dem California Consumer Privacy Act (CCPA) – und das erste große Verfahren, das sich speziell mit dem Grundsatz der Datensparsamkeit befasst.

Die Ermittlungen deckten auf: Zwischen 2020 und 2024 sammelte GM über seinen OnStar-Dienst Daten von hunderttausenden Fahrern – Namen, Standorte, Fahrverhalten wie Geschwindigkeit und Bremsmuster. Ohne Wissen der Kunden verkaufte der Konzern diese Informationen an Datenhändler wie Verisk und LexisNexis. Branchenkreise schätzen die Einnahmen aus diesen Geschäften auf rund 18,4 Millionen Euro.

Die Einigung sieht drastische Maßnahmen vor: GM muss binnen 180 Tagen alle unrechtmäßig erhobenen Daten löschen, darf fünf Jahre lang keine Fahrerdaten mehr an Auskunfteien verkaufen und muss ein strengeres Datenschutzprogramm aufsetzen. Das umstrittene Produkt Smart Driver wird eingestellt. Ein Glück für die Betroffenen: Kaliforniens Versicherungsrecht verhinderte, dass die Daten zur Erhöhung der Prämien genutzt wurden.

Europa schlägt zu: Bußgelder für Yango, PTSB und Vodafone

Während die USA den Datenhandel ins Visier nahmen, konzentrierten sich die europäischen Behörden auf illegale Datentransfers und Sicherheitslücken.

Die niederländische Datenschutzbehörde verhängte eine Rekordstrafe von 100 Millionen Euro gegen den Fahrdienst Yango, eine Tochter des russischen Technologiekonzerns MLU. Der Vorwurf: Yango speicherte sensible Kundendaten – darunter Führerschein-Kopien, Privatadressen und Kontonummern – auf Servern in Russland. Ein klarer Verstoß gegen die EU-Datenschutzgrundverordnung (DSGVO). Yango, das bereits 2025 seine Dienste in Norwegen und Finnland einstellte, kündigte Berufung an.

In Irland belegte die Datenschutzkommission (DPC) die Bank PTSB mit einer Geldstrafe von 277.500 Euro. Grund waren drei Sicherheitsvorfälle im Open24 Contact Centre im Jahr 2022. Die Ermittler stellten fest, dass unzureichende Sicherheitsvorkehrungen es Angreifern ermöglichten, auf Konten zuzugreifen und finanzielle Schäden zu verursachen. Zudem versäumte es die Bank, die vorgeschriebene 72-Stunden-Frist zur Meldung der Vorfälle einzuhalten.

In Deutschland legte der Bundesbeauftragte für den Datenschutz (BfDI) seinen 34. Tätigkeitsbericht vor. Die Bilanz ist alarmierend: 11.824 formelle Beschwerden – ein Anstieg von 36 Prozent gegenüber 2024 und satte 52 Prozent mehr als 2023. Ein Highlight der Durchsetzung: eine 45-Millionen-Euro-Strafe gegen Vodafone. Der Telekommunikationsriese hatte es versäumt, seine Partnerunternehmen ausreichend zu überwachen und wies systemische Sicherheitslücken in seinen Authentifizierungsprozessen auf.

EU verschiebt KI-Regeln – und verklagt säumige Staaten

Die Regulierung Künstlicher Intelligenz nimmt neue Konturen an. Am 7. Mai 2026 einigten sich die EU-Institutionen auf das „Digital Omnibus VII“ – ein Paket, das die Umsetzungsfristen des AI Acts neu justiert.

Die Botschaft an die Industrie: mehr Zeit für die Einhaltung strenger Regeln. Hochriskante KI-Systeme – etwa in kritischer Infrastruktur oder bei Strafverfolgungsbehörden – müssen erst ab dem 2. Dezember 2027 vollständig konform sein. Für KI, die in Industriemaschinen eingebettet ist, gilt eine verlängerte Frist bis August 2028. Deutlich früher greifen dagegen neue Verbote: Bereits im Dezember 2026 sind sogenannte „Nudifier“-Anwendungen und nicht-einvernehmliche Deepfakes tabu. Die EU-Kommission hat zudem eine Konsultation zu Transparenzrichtlinien gestartet – Bürger und Unternehmen können bis zum 3. Juni 2026 mitreden, wie KI-generierte Inhalte gekennzeichnet werden sollen.

Angesichts der neuen EU-KI-Verordnung müssen Unternehmen ihre IT- und Compliance-Strategien jetzt grundlegend anpassen. Dieser kostenlose Umsetzungsleitfaden zum AI Act hilft Ihnen, Risikoklassen richtig einzuschätzen und alle relevanten Übergangsfristen rechtssicher einzuhalten. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Parallel dazu geht Brüssel in die Offensive: Am 7. Mai leitete die Kommission rechtliche Schritte gegen sieben Mitgliedsstaaten ein, darunter Frankreich, Polen und Spanien. Der Vorwurf: Sie haben es versäumt, die Richtlinie zur Resilienz kritischer Einrichtungen (CER) in nationales Recht umzusetzen. Angesichts der jüngsten Großangriffe – wie dem Hack auf die Bildungsplattform Canvas durch die Gruppe ShinyHunters, bei dem 275 Millionen Datensätze von 9.000 Bildungseinrichtungen kompromittiert wurden – gewinnt das Thema an Dringlichkeit.

Gerichte schärfen Haftung und Auskunftsrechte

Auch die Justiz treibt die Entwicklung voran. Das Berliner Landgericht II entschied am 22. April 2026: Banken haften für Phishing-Schäden, wenn sie offensichtliche Unstimmigkeiten übersehen – etwa ungewöhnliche IP-Adressen bei Transaktionen. Im konkreten Fall muss die Apobank einem Kunden Schadensersatz von über 200.000 Euro zahlen.

Noch grundsätzlicher fiel das Urteil des Verwaltungsgerichts Düsseldorf vom 21. Januar 2026 aus. Ein Marketingunternehmen hatte die Daten eines Nutzers sofort nach Eingang einer Auskunftsanfrage gelöscht. Die Richter stellten klar: Das Auskunftsrecht nach Artikel 15 DSGVO hat Vorrang vor der Löschung. Die Daten müssen erhalten bleiben, um die Auskunftspflicht zu erfüllen.

Ausblick: Das Ende der Ära der Nachsicht

Blickt man auf die erste Jahreshälfte 2026, zeichnet sich ein klarer Trend ab: Die Phase der reinen Gesetzgebung geht zu Ende, die Ära der aktiven Durchsetzung beginnt. Die Gesamtsumme der DSGVO-Strafen hat seit 2018 die 7,1 Milliarden Euro überschritten – allein 2025 kamen über 1,2 Milliarden Euro hinzu. Die Behörden fokussieren sich zunehmend auf Spezialbereiche wie Biometrie und sensible Standortdaten.

In den USA hat die FTC kürzlich einen wegweisenden Vergleich mit dem Datenhändler Kochava erzielt, der den Verkauf von Standortdaten von Klinik- oder Gotteshausbesuchen ohne Einwilligung verbietet. Zudem warnte die Behörde 13 Datenhändler vor möglichen Verstößen gegen das „Protecting Americans‘ Data from Foreign Adversaries Act“.

Am 27. Mai 2026 will die EU-Kommission ihr Tech-Souveränitäts-Paket vorstellen. Die Botschaft an die globale Wirtschaft ist klar: Datenminimierung und strenge Kontrolle von Drittanbieter-Transfers werden zum neuen Normal. Unternehmen, die jetzt nicht umsteuern, zahlen bald drauf – im wahrsten Sinne des Wortes.

de | wirtschaft | 69299576 |