Die digitale Wirtschaft steht vor einer doppelten Herausforderung: Während Behörden in Europa und den USA die Regulierung verschärfen, ignorieren große Technologiekonzerne systematisch die Privatsphäre-Einstellungen ihrer Nutzer. Für Online-Händler und Dienstleister bedeutet das hohe finanzielle Risiken und einen permanenten Kontrolldruck.
Systematisches Versagen bei Privatsphäre-Abwahl
Eine großangelegte forensische Untersuchung vom 14. April 2026 zeigt erschreckende Lücken. Die Forschungsgruppe webXray analysierte über 7.000 Websites in Kalifornien. Das Ergebnis: 55 Prozent setzten weiterhin Werbe-Cookies, obwohl Nutzer via Global Privacy Control (GPC) explizit widersprochen hatten.
Die Probleme sind bei den Tech-Giganten am gravierendsten. Google ignorierte die Opt-out-Signale in 86 bis 87 Prozent der Fälle. Bei Meta lag die Quote bei 69 Prozent, bei Microsoft bei etwa 50 Prozent. Besonders brisant: Von Google zertifizierte Consent-Management-Plattformen versagten in 77 bis 91 Prozent der Fälle.
„Viele Unternehmen betrachten Bußgelder offenbar als normale Geschäftskosten“, so Timothy Libert, ehemaliger Google-Forscher und Mitautor der Studie. Die technischen Lösungen wären vergleichsweise einfach umzusetzen. Die geschätzte Gesamthaftung für die Branche beläuft sich jedoch auf rund 5,4 Milliarden Euro.
US-Behörden zeigen sich wenig nachsichtig. Auf einer Konferenz Ende März betonten Aufseher aus mehreren Bundesstaaten: Eine fehlende Absicht ist keine Entschuldigung mehr für nicht funktionierende Opt-out-Mechanismen. Im Visier stehen auch Überwachungspreise und die unrechtmäßige Nutzung von Daten zum Training großer Sprachmodelle.
EU zwingt Google zu Daten-Teilung und geht gegen Meta vor
In Europa verschärft der Digital Markets Act (DMA) den Druck. Die EU-Kommission forderte Google am 16. April auf, Suchdaten – inklusive Anfragen, Rankings und Klickverhalten – mit Wettbewerbern und KI-Entwicklern zu teilen. Google lehnt dies ab und verweist auf Datenschutzrisiken, besonders bei sensiblen Gesundheits- und Finanzdaten.
Gleichzeitig gerät Meta ins Visier der Brüsseler Wettbewerbshüter. Seit Mitte Januar soll der WhatsApp-Mutterkonzern eigenen Quellen zufolge ausschließlich den hauseigenen KI-Chatbot „Meta AI“ zulassen und Wettbewerber wie ChatGPT oder Claude aussperren. Die Kommission drohte am 15. April mit einstweiligen Maßnahmen.
Die deutsche Politik mahnt zur Vorsicht. Digitalminister Karsten Wildberger warnte am 16. April vor einem unkritischen Einsatz von KI-Chatbots in sensiblen Bereichen wie psychologischer Beratung. Er kündigte zudem den Aufbau einer europäischen Alternative zu Plattformen wie Palantir innerhalb der nächsten zwei bis drei Jahre an.
Da die EU-Regulierung bei KI-Systemen bereits Realität ist, müssen Unternehmen nun schnell ihre Risikoklassen identifizieren. Dieser kostenlose Leitfaden bietet einen kompakten Überblick über alle Anforderungen und Fristen des neuen EU AI Acts. EU AI Act in 5 Schritten verstehen
Neue Gesetze treiben Bürokratie für Online-Händler
Der deutsche Gesetzgeber hat die Hürden weiter erhöht. Am 26. März verabschiedete der Bundestag das Datengesetz-Ausführungsgesetz (DADG). Die Bundesnetzagentur wird zur zentralen Aufsichtsbehörde. Verstöße gegen Datenzugangspflichten für vernetzte Produkte können bis zu fünf Millionen Euro oder zwei Prozent des weltweiten Umsatzes kosten. Die Übergangsfrist endet am 12. September 2026.
Zusätzlicher Druck kommt von der erweiterten NIS-2-Richtlinie. Sie erfasst nun mehr mittelständische Unternehmen und verlangt höhere Management-Verantwortung, Lieferketten-Risikoanalysen und strenge Meldepflichten für Sicherheitsvorfälle innerhalb von 24 bis 72 Stunden.
Die EU setzt zunehmend auf automatisierte Compliance-Tools. Am 15. April kündigte die Kommission eine paneuropäische App zur Altersverifikation an. Sie basiert auf der Technologie der digitalen Covid-Zertifikate. Mehrere hundert Forscher warnen jedoch vor Datenschutzrisiken und der Ausgrenzung von Menschen ohne digitale Papiere.
„Check-the-box“-Compliance reicht nicht mehr aus
Die aktuellen Entwicklungen zeigen: Ein reines Abhaken von Compliance-Vorgaben schützt digitale Unternehmen nicht mehr vor hohen Geldstrafen und Reputationsschäden. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes vor. Im Mai 2025 musste TikTok bereits eine Strafe von 530 Millionen Euro zahlen.
Da Lücken in der Dokumentation laut DSGVO existenzbedrohende Bußgelder nach sich ziehen können, ist ein rechtssicheres Verarbeitungsverzeichnis unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, die gesetzliche Pflicht zeitsparend zu erfüllen und Sanktionen von bis zu 2 % des Jahresumsatzes zu vermeiden. Kostenlose Vorlage für das Verarbeitungsverzeichnis sichern
Deutsche Aufsichtsbehörden rücken die interne Governance in den Fokus. Sie kündigten an, künftig stärker die operative Compliance und die Aufsicht auf Vorstandsebene zu prüfen. Neue Transparenzpflichten kommen hinzu: Bis zum 7. Juni 2026 muss die EU-Transparenzrichtlinie in nationales Recht umgesetzt werden. Sie verpflichtet Arbeitgeber, Gehaltsspannen in Stellenausschreibungen anzugeben und verbietet Nachfragen zum vorherigen Gehalt.
Für Unternehmen, die Cloud-Infrastruktur nutzen, bleibt das Shared-Responsibility-Modell entscheidend. Anbieter wie AWS sichern die Basis-Infrastruktur, die Kunden sind jedoch für die Sicherheitskonfiguration ihrer Anwendungen verantwortlich – inklusive Verschlüsselung und Multi-Faktor-Authentifizierung.
Ausblick: Dauerhaft hoher Regulierungsdruck
Die deutsche Digitalwirtschaft blickt mit Sorge auf eine personelle Lücke in der Aufsicht. Nach dem gesundheitsbedingten Ausscheiden von Louisa Specht-Riemenschneider fordern Verbände wie Eco und der BVDW eine schnelle Besetzung der Spitze des Bundesdatenschutzamtes. Es brauche klare Rollen und praktische Leitlinien, nicht nur Personalentscheidungen.
Zur Entlastung plant die Bundesregierung vor der Sommerpause ein zweites „Entlastungskabinett“. Digitalminister Wildberger will damit milliardenschwere Bürokratiekosten für die Wirtschaft senken. Doch mit der NIS-2-Registrierungsfrist am 31. Dezember 2026 und der fortschreitenden Umsetzung von DMA und DSA bleibt der Compliance-Druck hoch.
Die Integration technischer Maßnahmen wie Verschlüsselung und automatisierter Zugangskontrolle wird für Unternehmen zum Schlüssel, um den Anforderungen von DSGVO, NIS-2 und Datengesetz gleichermaßen gerecht zu werden. Der Weg zurück zu simpler Regelbefolgung ist versperrt.
