Datenschutzverstöße werden in Europa 2026 härter und teurer denn je bestraft. Gleichzeitig zeigen aktuelle Urteile Lücken in der Kontrolle von Geheimdiensten auf und der Kampf um die Regulierung Künstlicher Intelligenz unter der DSGVO eskaliert.

FC Barcelona: Halbe Million Euro Strafe für Gesichtserkennung

Die spanische Datenschutzbehörde AEPD hat den Fußballklub FC Barcelona mit einer Geldstrafe von 500.000 Euro belegt. Der Grund: Der Verein hatte bei einer digitalen Mitgliederzählung 2023 die biometrischen Daten von rund 143.000 Fans verarbeitet, ohne eine rechtskonforme Datenschutz-Folgenabschätzung durchzuführen.

Anzeige

Der Fall FC Barcelona zeigt drastisch, wie teuer eine fehlende Datenschutz-Folgenabschätzung (DSFA) werden kann. Mit diesem kostenlosen E-Book inklusive Muster-Vorlagen und Checklisten erstellen Sie eine rechtssichere DSFA in wenigen Schritten und schützen Ihr Unternehmen vor Bußgeldern. Kostenlose DSFA-Vorlagen und Anleitung herunterladen

Die Mitglieder mussten für die Anmeldung ihren Ausweis und ein Selfie mit „Liveness Detection“ hochladen. Die Behörde kritisierte, die Risikobewertung des Klubs sei mangelhaft. Sie habe weder die Art der biometrischen Daten klar beschrieben, noch weniger invasive Alternativen geprüft oder die Risiken angemessen bewertet. Die Strafe ist eine klare Warnung an alle Unternehmen: Die Verarbeitung hochsensibler Daten wie Gesichtserkennungs-Vektoren erfordert eine lückenlose Dokumentation und strenge interne Prozesse.

Urteil in Deutschland: Geheimdienst entzieht sich Kontrolle

Während private Unternehmen bestraft werden, sind die Befugnisse der Aufseher gegenüber staatlichen Stellen begrenzt. Das Bundesverwaltungsgericht wies am 4. März eine Klage des Bundesdatenschutzbeauftragten (BfDI) gegen den Bundesnachrichtendienst (BND) ab.

Der Streit drehte sich um die Weigerung des BND, dem BfDI Dokumente zu einzelnen Überwachungsmaßnahmen – etwa dem Hacken ausländischer IT-Systeme – vorzulegen. Das Gericht urteilte, der Datenschutzbeauftragte habe keine einklagbare Rechtsposition. Bleibt der BND stur, kann der BfDI lediglich Beschwerde beim Bundeskanzleramt einlegen – ein Instrument ohne direkte Durchsetzungskraft.

Der BfDI warnte, das Urteil schaffe „datenschutzfreie Räume“ und untergrabe grundrechtliche Kontrollen. Datenschützer fordern nun eine gesetzliche Klarstellung, wie Kompetenzstreitigkeiten zwischen Aufsichtsbehörden und Geheimdiensten gelöst werden sollen.

Meta vor Gericht: Grundsatzstreit um Werbung

Parallel tobt in Luxemburg ein Grundsatzprozess, der die Geschäftsmodelle der Tech-Giganten erschüttern könnte. Meta zog vor das zweithöchste EU-Gericht, um einen Eilbeschluss der europäischen Datenschutzbehörden (EDPB) anzufechten.

Die Behörden hatten Meta angewiesen, die Verarbeitung von Nutzerdaten für personalisierte Werbung auf Facebook und Instagram zu stoppen. Sie sahen keine rechtliche Grundlage nach Artikel 6 der DSGVO. Der Druck zwang Meta schließlich, in Europa ein umstrittenes „Bezahlen oder Einwilligen“-Modell einzuführen.

Vor Gericht argumentierte Meta, die EDPB habe ihre Befugnisse überschritten und die Regeln für die gesamte Digitalwerbebranche neu schreiben wollen. Die Behörden hielten dagegen, der Schritt sei nötig gewesen, um einen anhaltenden Rechtsbruch zu stoppen. Das Urteil wird ein wichtiges Präzedenz dafür setzen, wie weit europäische Aufseher in die Geschäftsmodelle globaler Plattformen eingreifen dürfen.

KI unter Beschuss: DSGVO-Strafen erreichen neue Dimension

Die Statistik zeigt: Die Strafverfolgung unter der DSGVO wird immer schärfer. Nach Branchenberichten summierten sich die Bußgelder in Europa 2025 auf 1,2 Milliarden Euro. Seit Anfang 2025 werden zudem im Schnitt über 400 Datenschutzverletzungen pro Tag gemeldet.

Anzeige

Angesichts steigender Bußgelder und neuer Regulierungen ist eine kompakte Übersicht der geltenden Pflichten für Unternehmen unerlässlich. Dieses Gratis E-Book erklärt die EU-KI-Verordnung sowie aktuelle Anforderungen und Fristen endlich verständlich und ohne juristische Fachkenntnisse. EU-KI-Verordnung kompakt: Jetzt kostenlosen Leitfaden sichern

Die Aufsichtsbehörden richten ihr Augenmerk nun verstärkt auf Künstliche Intelligenz. Sie wenden die bestehenden DSGVO-Regeln aggressiv auf KI-Entwickler an. Behörden wie die italienische Garante oder das britische ICO fordern von KI-Firmen eine strikte Rechtfertigung, warum sie massenhaft Daten aus dem Internet sammeln dürfen.

Im Fokus stehen dabei die Interessenabwägung und eine beispiellose Transparenz in den Datenschutzhinweisen. Die Unternehmen müssen klar kommunizieren, wie personenbezogene Daten von ihren Modellen verarbeitet werden. Wer sich nicht daran hält, riskiert hohe Strafen – wie das US-Unternehmen Clearview AI, das vom ICO mit umgerechnet über 9 Millionen Euro belegt wurde – oder sogar den kompletten Betriebsstopp.

Trading

Finanztrends

Redaktion finanztrends.de

>>