Ein interner Test bei Google zeigt, wie schnell vermeintlich anonymisierte Nutzerdaten entschlüsselt werden können.**
Am 5. Mai 2026 schlug Sergei Vassilvitskii, ein führender Wissenschaftler bei Google, Alarm bei der Europäischen Kommission. Seine Warnung betrifft Artikel 6(11) des Digital Markets Act (DMA). Die Vorschrift zwingt dominante Plattformen dazu, Suchdaten mit Konkurrenten zu teilen – um fairen Wettbewerb zu schaffen.
Angesichts der drohenden Rekordstrafen bei Datenschutz-Verstößen ist eine lückenlose Dokumentation für Unternehmen heute wichtiger denn je. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und mit minimalem Zeitaufwand zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Das Problem: Ein internes „Red Team“ bei Google konnte Nutzer in weniger als zwei Stunden deanonymisieren – und zwar mit genau der Methode, die die EU vorschlägt. Die Deadline für die Umsetzung läuft am 27. Juli 2026. Verstöße gegen den DMA können mit Strafen von bis zu zehn Prozent des globalen Jahresumsatzes geahndet werden.
Die Frage, die sich stellt: Lässt sich der DMA überhaupt mit den strengen Vorgaben der DSGVO vereinbaren?
Politischer Stillstand beim „Digital Omnibus“
Der Streit um Datendefinitionen geht weit über Suchmaschinen hinaus. Am 28. April 2026 scheiterte der zweite politische Trilog zum „EU Digital Omnibus“. Die Verhandler konnten sich nicht auf Konformitätsbewertungen für KI in Produkten wie Maschinen, Medizinprodukten oder Fahrzeugen einigen. Ein neuer Anlauf ist für Mitte Mai geplant – doch die Unsicherheit für Unternehmen bleibt.
Besonders umstritten: Der vorgeschlagene Artikel 41a der DSGVO. Er soll festlegen, wann pseudonymisierte Daten nicht mehr als personenbezogen gelten. Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) forderten in einer gemeinsamen Stellungnahme die komplette Streichung dieses Artikels. Ihre Begründung: Er würde die DSGVO aushöhlen und gefährliche Schlupflöcher schaffen.
Immerhin gibt es Fortschritte: Am 15. April 2026 genehmigte der EDPB aktualisierte Kriterien für das Europrivacy-Siegel. Dieses „Europäische Datenschutz-Gütesiegel“ steht nun auch nicht-europäischen Unternehmen offen, die der DSGVO unterliegen.
Deutsche Behörden verschärfen Kontrollen
Pünktlich zum zehnten Jahrestag der DSGVO ziehen die Aufsichtsbehörden die Zügel an. Am 6. Mai 2026 legte Louisa Specht-Riemenschneider, die Bundesbeauftragte für den Datenschutz (BfDI), ihren 34. Tätigkeitsbericht vor. Die Zahlen sprechen eine deutliche Sprache:
- 11.824 Eingänge – ein Anstieg um 36 Prozent im Vergleich zu 2024
- 129 Aufsichtsmaßnahmen im vergangenen Jahr
- 45 Millionen Euro Bußgeld gegen einen großen Telekommunikationsanbieter
Auch auf Landesebene wird gehandelt. Am 4. Mai 2026 rügte die Berliner Datenschutzbeauftragte Meike Kamp die BVG scharf. Grund war ein Cyberangriff auf einen Dienstleister im April 2025, bei dem rund 180.000 Kundendaten – darunter Namen und Vertragsnummern – abflossen. Die Behörde kritisierte vor allem die verspätete Meldung: Die BVG wusste bereits am 17. April 2025 von dem Vorfall, meldete ihn aber erst am 30. April.
Internationale Konzerne im Visier
Die irische Datenschutzkommission (DPC) leitete am 5. Mai 2026 eine formelle Untersuchung gegen Shein Ireland ein. Der Vorwurf: Der Modehändler übermittelt möglicherweise personenbezogene Daten von EU-Bürgern nach China – ohne ausreichende DSGVO-Garantien. Das Verfahren erinnert an den Fall eines großen Social-Media-Konzerns, der 2025 zu einer Rekordstrafe von 530 Millionen Euro verurteilt wurde.
IT-Teams am Limit: Fünf Standards gleichzeitig
Die Flut neuer Regulierungen – AI Act, NIS-2, Data Act – setzt Unternehmen massiv unter Druck. Eine Studie aus dem Frühjahr 2026 mit 5.000 IT-Managern aus 17 Ländern zeigt:
- Im Durchschnitt müssen Unternehmen fünf verschiedene Compliance-Standards gleichzeitig erfüllen
- IT-Teams verbringen 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben
- 82 Prozent der IT-Führungskräfte zweifeln, ob sie alle Vorschriften einhalten können
Die häufigsten Standards: ISO 27001, DSGVO sowie die Cybersecurity-Frameworks NIST und CIS. Besonders im Finanzsektor wird es kompliziert: Der Digital Operational Resilience Act (DORA) verlagert die Haftung von einzelnen Entscheidern auf die technischen Systeme selbst.
Gerichte stärken Nutzerrechte
Die europäischen Gerichte werden immer strenger. Am 4. Mai 2026 bestätigte der spanische Oberste Gerichtshof eine Sanktion gegen eine Justizvollzugsanstalt auf Lanzarote. Diese hatte von einem Beamten eine spezifische medizinische Diagnose verlangt – ein Verstoß gegen die DSGVO. Das Gericht stellte klar: Ein einfaches ärztliches Attest reicht für Verwaltungszwecke völlig aus.
In Deutschland zeichnet sich eine Klagewelle ab. Am 5. Mai 2026 kündigten Anwälte an, rund 100 Klagen gegen Meta wegen des Einsatzes von Tracking-Tools einzureichen. Grundlage ist ein Urteil des Bundesgerichtshofs (BGH) von Ende 2024: Der Kontrollverlust über persönliche Daten gilt demnach als immaterieller Schaden, der entschädigt werden muss. Die Oberlandesgerichte Jena und Dresden haben bereits entsprechende Schadensersatzforderungen bewilligt.
Die Verbraucherschutzorganisation Noyb hat zudem Beschwerde gegen LinkedIn eingereicht. Der Vorwurf: Die Plattform verweigert Nutzern den Zugriff auf Besucherdaten – obwohl Artikel 15 der DSGVO ein Recht auf Kopie aller Daten vorsieht.
Ausblick: Entscheidende Monate für die Datenwirtschaft
Die kommenden Wochen werden richtungsweisend. Während die Verhandlungen zum Digital Omnibus Mitte Mai in eine entscheidende Phase gehen, stehen andere Deadlines bereits fest:
- 2. August 2026: Erste große Anforderungen des AI Act treten in Kraft – besonders für Hochrisiko-Systeme
- 18. August 2026: Die E-Evidence-Verordnung wird anwendbar – Behörden erhalten dann schnelleren Zugriff auf elektronische Beweismittel, in Notfällen innerhalb von acht Stunden
- 11. Dezember 2027: Der Cyber Resilience Act (CRA) verpflichtet alle Hersteller digitaler Produkte zu Sicherheitsstandards
Die neuen Anforderungen des EU AI Acts bringen für viele Unternehmen ab August 2024 bereits jetzt dringenden Handlungsbedarf bei Risikodokumentation und Qualitätssicherung. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den nötigen Überblick über alle Fristen und Pflichten, um rechtlich auf der sicheren Seite zu sein. Kostenlosen Leitfaden zum EU AI Act sichern
Die Botschaft an die Industrie ist klar: „Security by Design“ ist kein Nice-to-have mehr, sondern Überlebensnotwendigkeit. Unternehmen, die Compliance frühzeitig in ihre Produktarchitektur integrieren, sparen langfristig Entwicklungskosten und minimieren Risiken. Das kurzfristige regulatorische Chaos mag schmerzen – doch wer jetzt die Weichen richtig stellt, wird am Ende die Nase vorn haben.
