Das Berliner Kammergericht hat eine milliardenschwere Musterfeststellungsklage der Verbraucherschutzorganisation Stiftung SOMI gegen die Plattform X (ehemals Twitter) für unzulässig erklärt. Die Richter entschieden, dass die geltend gemachten Datenschutzverstöße keine einheitliche Schadensregulierung rechtfertigen.
Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. Muster-Verarbeitungsverzeichnis jetzt kostenlos herunterladen
Individuelle Schäden verhindern Massenklage
Die Stiftung SOMI wollte für betroffene Nutzer pauschale Entschädigungen durchsetzen: 750 Euro pro Person für allgemeine Datenschutzverstöße und weitere 250 Euro im Zusammenhang mit einem konkreten Datenleck. Doch das Kammergericht (Az. 20 VKl 1/25) stellte klar: Nach dem Verbraucherrechtedurchsetzungsgesetz (VDuG) müssen die Ansprüche „im Wesentlichen gleichartig“ sein. Genau das sei hier nicht der Fall.
Die Begründung der Richter: Die individuellen Beeinträchtigungen jedes Nutzers unterscheiden sich zu stark, um sie über einen Kamm zu scheren. Das Urteil entlastet X zwar nicht von den Vorwürfen der Datenschutzverletzung – es versperrt aber den Weg für diese spezielle Sammelklage.
Währenddessen stehen andere Plattformen in der Kritik. Erst am Mittwoch unterstützten Datenschutzaktivisten eine Beschwerde gegen LinkedIn Ireland. Der Vorwurf: Das Netzwerk verstecke gesetzlich garantierte Auskunftsrechte hinter einer Bezahlschranke.
Zehn Jahre DSGVO: Rekordsummen bei Bußgeldern
Die Niederlage der Verbraucherschützer fällt in eine Zeit massiv verschärfter Datenschutzkontrollen. Seit Inkrafttreten der DSGVO 2018 haben die Aufsichtsbehörden insgesamt 7,1 Milliarden Euro an Bußgeldern verhängt. Allein 2025 entfielen 1,2 Milliarden Euro auf diese Summe.
Der Bundesbeauftragte für den Datenschutz (BfDI) meldete für 2025 einen regelrechten Ansturm: 11.824 Eingänge – ein Plus von 36 Prozent im Vergleich zu 2024. Besonders spektakulär: eine 45-Millionen-Euro-Strafe gegen Vodafone wegen mangelnder Kontrolle von Partnerunternehmen.
Auch der Einzelhandel rückt ins Visier. Die irische Datenschutzkommission (DPC) leitete Anfang der Woche eine Untersuchung gegen Shein Ireland ein. Es geht um die Übermittlung von Nutzerdaten aus der EU und dem EWR nach China.
KI-Regulierung: Neue Regeln für ChatGPT und Co.
Parallel zu den klassischen Datenschutzverfahren richten die Behörden den Fokus auf Künstliche Intelligenz. Eine gemeinsame Untersuchung kanadischer Datenschutzbehörden kam zu dem Ergebnis: OpenAI hat für das Training von ChatGPT massiv personenbezogene Daten ohne gültige Einwilligung gesammelt.
Strafen blieben aus – wegen der Kooperation des Unternehmens und der Zusage, Löschverfahren einzuführen. Doch die Politik zieht Konsequenzen. In British Columbia fordern Datenschützer bereits eine Reform des Datenschutzgesetzes für das KI-Zeitalter.
In Brüssel zeichnet sich derweil eine Einigung ab. Unterhändler von EU-Parlament und Rat einigten sich auf den sogenannten „AI Omnibus“ – ein Paket zur Vereinfachung des geplanten KI-Gesetzes. Die wichtigsten Punkte:
- Aufgeschobene Pflichten: Regeln für Hochrisiko-KI-Systeme gelten erst ab Dezember 2027
- Kennzeichnungspflicht: KI-generierte Inhalte müssen ab Dezember 2026 mit Wasserzeichen versehen werden
- Verbotene Praktiken: Mitgliedsstaaten müssen bis Dezember 2026 KI-generierte Missbrauchsbilder und sogenannte „Nudifier“-Apps verbieten
- Industrie-Ausnahme: Auf Druck Deutschlands bleiben Industrieanlagen weitgehend von den KI-Regeln verschont
Angesichts der neuen EU-KI-Pflichten, die bereits seit August 2024 gelten, müssen Unternehmen ihre Compliance-Strategie dringend anpassen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act zeigt Ihnen alle relevanten Fristen und Risikoklassen auf einen Blick. Kostenloses KI-Verordnung E-Book sichern
Compliance-Falle: IT-Teams im Dauerstress
Die Flut neuer Vorschriften setzt Unternehmen massiv unter Druck. Eine weltweite Umfrage unter 5.000 IT-Managern zeigt: Die Hälfte aller Firmen kämpft mit der Einhaltung von fünf verschiedenen Standards gleichzeitig. 39 Prozent ihrer Arbeitszeit verbringen IT-Teams mittlerweile mit Compliance-Aufgaben.
„Reaktive Sicherheitsmaßnahmen reichen nicht mehr“, warnten Experten auf der CloudFest-Konferenz Anfang Mai. Vertrauen müsse als Infrastrukturebene betrachtet werden – besonders da der Markt für „agentische KI“ in Europa bis 2026 auf rund 5,5 Milliarden US-Dollar wachsen soll.
Einige Unternehmen setzen auf Automatisierung. Der Softwareanbieter CookieHub brachte diese Woche eine Plattform für kleine und mittlere Unternehmen auf den Markt, die bei der Bearbeitung von Auskunftsersuchen (DSAR) helfen soll. Ziel: Die gesetzliche 30-Tage-Frist einhalten.
Ausblick: Was kommt auf die Digitalwirtschaft zu?
Das Berliner Urteil zeigt: Die DSGVO schützt zwar individuelle Rechte, doch der Weg zu kollektivem Rechtsschutz in Deutschland bleibt steinig. Kläger müssen eine hohe Gleichartigkeit ihrer Ansprüche nachweisen – eine Hürde, die große Plattformen vor massiven Schadensersatzzahlungen schützt.
Der nächste Meilenstein steht bereits bevor: Die formelle Verabschiedung des vereinfachten EU-KI-Gesetzes wird noch vor der Sommerpause im August erwartet. Deutsche Tech-Konzerne wie Siemens, SAP und Airbus fordern zwar weniger Bürokratie. Doch der Europäische Datenschutzausschuss (EDPB) hat bereits das nächste Ziel ins Visier genommen: Die koordinierte Durchsetzungsaktion des kommenden Jahres konzentriert sich auf die Transparenzpflichten der DSGVO (Artikel 12 bis 14). Die Botschaft an die Unternehmen ist klar: Wer nicht erklärt, was er mit den Daten macht, muss mit Konsequenzen rechnen.
