**
Die Berliner Datenschutzbeauftragte Meike Kamp hat am Montag eine formelle Verwarnung gegen die Berliner Verkehrsbetriebe (BVG) ausgesprochen. Grund ist ein schwerwiegender Datenschutzvorfall aus dem April 2025. Ein Dienstleister des Verkehrsunternehmens wurde damals Ziel eines Hackerangriffs – rund 180.000 Datensätze gelangten in falsche Hände. Betroffen waren Namen, Adressen, Vertragsnummern und vereinzelt E-Mail-Adressen.
Die Ermittlungen der Behörde förderten gleich mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) zutage. So versäumte es die BVG, die Löschung von Daten durch den Dienstleister zu überwachen – ein Verstoß gegen die Artikel 5 und 32 der DSGVO. Besonders brisant: Die BVG meldete den Vorfall erst Wochen nach der Entdeckung, obwohl die DSGVO eine 72-Stunden-Frist vorschreibt. Zudem fehlten klare Verfahren für den Umgang mit Sicherheitsvorfällen in der Auftragsverarbeitung. Die BVG hat zwischenzeitlich Abhilfemaßnahmen angekündigt.
DSGVO-Verstöße bei der Auftragsverarbeitung können Unternehmen teuer zu stehen kommen, wie aktuelle Fälle von mangelnder Überwachung zeigen. Dieser kostenlose Experten-Report liefert Ihnen fertige Vorlagen und Checklisten, um die Zusammenarbeit mit Dienstleistern rechtssicher zu gestalten. Gratis E-Book zur Auftragsdatenverarbeitung herunterladen
Brandenburg: Beschwerden auf Rekordniveau
Auch im Nachbarland Brandenburg schlagen die Datenschützer Alarm. Die Landesbeauftragte Dagmar Hartge präsentierte am Montag den Datenschutzbericht für 2025. Die Zahl der Beschwerden stieg um zehn Prozent auf 1.599 Fälle. Besonders auffällig: Videoüberwachung bleibt ein Dauerbrenner. Die Beschwerden in diesem Bereich legten um 30 Prozent auf 431 Fälle zu. Ein Campingplatz bei Potsdam kassierte eine vierstellige Geldstrafe, weil er 14 Kameras ohne Rechtsgrundlage betrieb.
Der Bericht offenbart auch Schwachstellen in sensiblen Bereichen. Ein Hackerangriff auf eine Arztpraxis führte zum Verlust von 8.000 Patientendaten. Die Angreifer verschlüsselten 75 Gigabyte medizinische Daten – inklusive der Backups. Und das Landeskriminalamt (LKA) Brandenburg musste sich eingestehen, dass ein Netzwerkspeicher zeitweise öffentlich im Internet zugänglich war.
KI-gesteuerte Angriffe: Das Tempo wird zum Problem
Die deutschen Fälle sind nur die Spitze des Eisbergs. Weltweit verändert sich die Bedrohungslage dramatisch. Der Grund: Künstliche Intelligenz macht Angriffe schneller und präziser. Das KI-Tool Mythos des Unternehmens Anthropic identifizierte kürzlich 271 Schwachstellen im Firefox-Browser – und nutzte 181 davon erfolgreich aus. Die KI entdeckte sogar einen 27 Jahre alten Bug in OpenBSD und einen 16 Jahre alten Fehler in FFmpeg. Eine Leistung, die für menschliche Forscher unmöglich wäre.
Diese Entwicklung zwingt selbst die US-Cybersicherheitsbehörde CISA zum Umdenken. Sie erwägt, die Frist zur Behebung kritischer Sicherheitslücken von derzeit zwei bis drei Wochen auf nur drei Tage zu verkürzen. Denn KI-gestützte Werkzeuge wie Mythos oder GPT-5.4-Cyber ermöglichen es Angreifern, neue Schwachstellen nahezu in Echtzeit auszunutzen.
Die Ransomware-Zahlen für April 2026 zeigen ein gemischtes Bild. Zwar sank die Gesamtzahl der Angriffe um 22 Prozent auf 628 Fälle. Doch im Gesundheitswesen stiegen die Attacken um zehn Prozent auf 45 Vorfälle. Besonders schwer traf es das US-Krankenhaus Signature Healthcare: Diebe erbeuteten 2 Terabyte an Daten, Chemotherapie-Termine mussten abgesagt werden. In den Niederlanden legten Angreifer die Plattform ChipSoft lahm, die 80 Prozent aller Krankenhäuser des Landes nutzt.
Zehn Jahre DSGVO: Fundament für neue Regeln
Am 27. April 2026 feierte die DSGVO ihren zehnten Geburtstag. Der Europäische Datenschutzausschuss (EDPB) würdigt sie als Fundament für den digitalen Rechtsrahmen der EU – inklusive KI-Verordnung und Data Act. Doch die praktische Umsetzung bleibt schwierig. Dirk Freytag, Präsident des Bundesverbands Digitale Wirtschaft (BVDW), kritisierte die Bundesregierung scharf: Sie versage dabei, die europäische Digitalpolitik aktiv mitzugestalten. Die fragmentierte Aufsichtsstruktur in Deutschland sorge für erhebliche Rechtsunsicherheit.
International wird die Lage nicht einfacher. In Großbritannien gilt seit Juni 2025 der Data (Use and Access) Act 2025. Unternehmen müssen bis zum 19. Juni 2026 interne Beschwerdeverfahren einrichten. In den USA gewinnt eine nationale Datenschutzregelung an Fahrt: Der GUARD Financial Data Act und der SECURE Data Act wurden im April 2026 im Repräsentantenhaus eingebracht. Acht Bundesstaaten, darunter New Jersey und New Hampshire, haben bereits neue Privatsphäre-Gesetze verabschiedet. Maryland folgt im Oktober 2025 mit einem strikten Verbot von gezielter Werbung für Minderjährige.
Angesichts der neuen EU-KI-Verordnung und sich verschärfender digitaler Gesetze stehen viele Compliance-Abteilungen vor großen Herausforderungen. Dieser kompakte Leitfaden zum AI Act hilft Ihnen, Risikoklassen und Fristen schnell zu verstehen und rechtlich auf der sicheren Seite zu bleiben. Kostenloses E-Book zur KI-Verordnung sichern
Datenhoheit als Standortfaktor
Die Kombination aus steigenden Cyber-Bedrohungen und strengeren Auflagen verändert die IT-Strategien deutscher Unternehmen grundlegend. Datenhoheit wird zum entscheidenden Kriterium bei der Wahl von Kommunikationsplattformen. Immer mehr Firmen setzen auf regionale oder hybride Modelle, die eine Speicherung der Daten innerhalb Europas garantieren. Der US-amerikanische CLOUD Act wird von vielen europäischen Unternehmen als Risiko für die Datensouveränität betrachtet.
KI spielt in diesem Umfeld eine doppelte Rolle: Sie ist sowohl Bedrohung als auch Lösung. Neue Plattformen wie die von Ncontracts am 6. Mai 2026 vorgestellte Lösung helfen Finanzinstituten, regulatorische Änderungen in Echtzeit zu verfolgen und Prüfpfade zu dokumentieren.
Ausblick: Wichtige Termine 2026
Der Europäische Datenschutzausschuss hat für die kommenden Monate mehrere Plenarsitzungen angesetzt: am 11. Mai, 8./9. Juni und 17. September. Themen sind unter anderem die Datenverarbeitung für wissenschaftliche Forschung und internationale Datentransfers. Am 9. Mai lädt das Europäische Parlament zu einem „Open Day“ mit Schwerpunkt auf KI-Governance.
Für deutsche Unternehmen bleibt die Harmonisierung nationaler Vorschriften mit den EU-Standards die zentrale Herausforderung. Besonders die Diskussion um den „Digital-Omnibus“-Vorschlag und die Pseudonymisierung von Daten ist noch nicht abgeschlossen. Während der EDPB und der Europäische Datenschutzbeauftragte Anfang 2026 die Streichung bestimmter Passagen empfahlen, fordern Industrieverbände praktikable Kriterien für einen flexibleren Umgang mit pseudonymisierten Daten. Die Frage, ob Regulierer und Unternehmen mit dem Tempo der KI-getriebenen Angriffe Schritt halten können, wird über die Stabilität der digitalen Wirtschaft entscheiden.
