Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Aufsichtsbehörden der DSGVO ahnden nicht mehr nur Datenschutzverstöße. Sie sanktionieren auch fehlende Sicherheitsmaßnahmen, die hätten vorhanden sein müssen.

Aufsichtsbehörden der DSGVO ahnden nicht mehr nur Datenschutzverstöße. Sie sanktionieren auch fehlende Sicherheitsmaßnahmen, die hätten vorhanden sein müssen.

von Uri Kedem updated Februar 25, 2026 DSGVO-Compliance
Lesezeit: 11 Minuten

In der europäischen Datenschutzaufsicht findet derzeit ein Wandel statt, den jede Führungskraft im Bereich Compliance und Sicherheit verstehen muss. Es ist kein subtiler Wandel – und er verändert grundlegend, wie Sie in Datensicherheit investieren.

Gibson Dunns Update zum europäischen Datenschutz im Februar 2026 fasst aktuelle DSGVO-Durchsetzungsmaßnahmen zusammen, die die neue Realität deutlich machen. Aufsichtsbehörden konzentrieren sich nicht mehr nur darauf, was während eines Datenschutzverstoßes passiert ist. Sie prüfen, was im Vorfeld hätte vorhanden sein müssen. Und sie verhängen Geldbußen in Millionenhöhe, wenn Kontrollen fehlen, die sie inzwischen als Mindeststandard ansehen.

Zwei Fälle aus dem Update verdeutlichen dieses Muster. Im ersten Fall sanktionierte eine Aufsichtsbehörde eine Behörde, nachdem Angreifer auf personenbezogene Daten von Personen zugreifen konnten, die über 20 Jahre registriert waren. Die Feststellungen: unzureichende Passwort-Richtlinien, keine Zwei-Faktor-Authentifizierung (2FA) und unzureichende Protokollierung und Überwachung – alles Verstöße gegen Artikel 32 DSGVO, der „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten fordert. Im zweiten Fall wurde eine Telekommunikationsgruppe zu einer Geldstrafe in Millionenhöhe verurteilt, nachdem Angreifer auf Daten zu rund 24 Millionen Kundenverträgen zugreifen konnten. Die Behörden bemängelten schwache Authentifizierung, unvollständige Meldungen von Datenschutzverletzungen gemäß Artikel 33 sowie unrechtmäßige Datenaufbewahrung gemäß Artikel 5(1)(e).

Die Botschaft ist eindeutig: Aufsichtsbehörden sanktionieren die strukturellen Schwächen, die den Verstoß ermöglicht haben – nicht nur den Vorfall selbst. Und die konkret benannten Schwachstellen sind Aspekte, die die meisten Unternehmen schon vor Jahren hätten beheben können und sollen.

5 wichtige Erkenntnisse

  1. Aufsichtsbehörden sanktionieren strukturelle Sicherheitslücken, nicht nur die daraus resultierenden Vorfälle. Das Update von Gibson Dunn zum europäischen Datenschutz im Februar 2026 zeigt einen klaren Wandel in der Durchsetzung. Behörden warten nicht mehr auf einen Datenschutzverstoß mit messbarem Schaden, bevor sie Bußgelder verhängen. Sie ahnden die zugrundeliegenden strukturellen Schwächen – unzureichende Authentifizierung, fehlende Protokollierung und Überwachung, unrechtmäßige Datenaufbewahrung –, die einen Vorfall möglich gemacht oder dessen Auswirkungen verschärft haben. Die Botschaft: Wenn Ihre Kontrollen unzureichend waren, haften Sie – unabhängig davon, ob der schlimmste Fall eingetreten ist.
  2. Eine Behörde wurde für über 20 Jahre gespeicherte Daten ohne 2FA, Protokollierung und Überwachung sanktioniert. Angreifer konnten auf personenbezogene Daten von Personen zugreifen, die über zwei Jahrzehnte registriert waren. Die Aufsichtsbehörde bemängelte unzureichende Passwort-Richtlinien, keine Zwei-Faktor-Authentifizierung (2FA) sowie unzureichende Protokollierung und Überwachung als Verstöße gegen Artikel 32 DSGVO. Die Sanktion erfolgte nicht nur wegen des Vorfalls, sondern wegen fehlender Kontrollen, die ihn hätten verhindern oder erkennen können. Bußgeld und Anordnungen zur Nachbesserung spiegeln wider, dass dies heute Grundanforderungen und keine Wunschziele mehr sind.
  3. Eine Telekom-Gruppe wurde nach Offenlegung von 24 Millionen Kundendatensätzen mit Millionenstrafe belegt. Angreifer erhielten Zugriff auf Daten zu rund 24 Millionen Kundenverträgen. Die Behörden bemängelten schwache Authentifizierung, unvollständige Meldungen nach Artikel 33 und unrechtmäßige Datenaufbewahrung nach Artikel 5(1)(e). Die Strafe belief sich auf mehrere Millionen Euro. Der Fall zeigt, dass Behörden mehrere Aspekte gleichzeitig bewerten: Haben Sie den Vorfall verhindert? Haben Sie ihn erkannt? Haben Sie ihn gemeldet? Haben Sie Daten gehalten, die längst hätten gelöscht werden müssen?
  4. Artikel 32 verlangt jetzt klar 2FA, Echtzeit-Protokollierung und automatisierte Aufbewahrung. In beiden Fällen definieren die Durchsetzungsmaßnahmen, was „geeignete technische und organisatorische Maßnahmen“ nach Artikel 32 praktisch bedeuten: Starke Authentifizierung inklusive Zwei-Faktor-Authentifizierung für exponierte Konten, Echtzeit-Protokollierung und Erkennung unbefugter Zugriffe sowie disziplinierte Datenminimierung und Aufbewahrungskontrollen. Das sind keine Empfehlungen mehr, sondern regulatorische Mindestanforderungen.
  5. Die Beweislast hat sich verschoben – Sie müssen Compliance nachweisen, nicht nur behaupten. Das Verantwortlichkeitsprinzip aus Artikel 5(2) verlangt, dass Unternehmen nachweisen, dass sie geeignete Maßnahmen implementiert haben. Diese Fälle machen deutlich: Die Behörden prüfen, ob Sie präventive Kontrollen (2FA, Zugriffsbeschränkungen) und detektive Kontrollen (Protokollierung, Überwachung) hatten, ob diese zum Zeitpunkt des Vorfalls aktiv waren und ob Sie dies dokumentieren können. Die bloße Behauptung, „geeignete Maßnahmen“ zu haben, reicht ohne technischen Nachweis nicht mehr aus.

Was „geeignete technische Maßnahmen“ 2026 tatsächlich bedeutet

Seit Jahren verlangt Artikel 32 DSGVO von Unternehmen, „geeignete technische und organisatorische Maßnahmen“ zum Schutz personenbezogener Daten umzusetzen. Die Formulierung ist bewusst offen gehalten und gibt Unternehmen Flexibilität, je nach Risikolage zu entscheiden, was angemessen ist.

Doch diese Flexibilität wird enger. Die von Gibson Dunn hervorgehobenen Durchsetzungsmaßnahmen legen immer konkreter fest, was „angemessen“ bedeutet – und die Messlatte liegt nicht hoch. Es geht um grundlegende Sicherheitsmaßnahmen, die die meisten Compliance-Frameworks seit Jahren empfehlen. Der Unterschied: Das Fehlen dieser Basics gilt jetzt als Verstoß – unabhängig vom Schadensausmaß.

Starke Authentifizierung, inklusive 2FA. Beide Fälle nannten schwache Authentifizierung als Verstoß. Passwörter allein reichen für Systeme mit personenbezogenen Daten nicht mehr aus. Im Fall der Behörde wurde das Fehlen von Zwei-Faktor-Authentifizierung (2FA) explizit beanstandet. Für die Aufsichtsbehörden ist 2FA kein Best Practice mehr, sondern Pflicht. Die Erwartung geht über einfache 2FA hinaus: Kontextbezogene Authentifizierung, etwa Step-up-Verifizierung bei risikoreichen Aktionen wie Massendownloads oder externem Teilen, Gerätevertrauensrichtlinien, die den Zugriff auf verwaltete Geräte beschränken, sowie Geolokalisierungskontrollen, die Zugriffe aus unerwarteten Regionen melden.

Echtzeit-Protokollierung und Erkennung. Im Fall der Behörde wurde „unzureichende Protokollierung und Überwachung“ als eigenständiger Verstoß genannt. Die Erwartung: Unternehmen müssen unbefugte Zugriffe in Echtzeit erkennen – nicht erst Wochen oder Monate später bei einer forensischen Untersuchung. Das bedeutet umfassende Audit-Trails, die jeden Zugriff auf personenbezogene Daten erfassen: Wer, was, wann, wo und wie. Es bedeutet Echtzeit-Benachrichtigungen bei verdächtigen Aktivitäten wie ungewöhnlichen Zugriffsmustern, Massendownloads oder wiederholten fehlgeschlagenen Authentifizierungsversuchen. Und es bedeutet unveränderbare Protokolle – fälschungssichere Aufzeichnungen, die nachträglich nicht manipuliert werden können.

Disziplinierte Datenminimierung und Aufbewahrung. Im Fall der Behörde wurden personenbezogene Daten über mehr als 20 Jahre gespeichert. Im Telekom-Fall wurde „unrechtmäßige Aufbewahrung“ beanstandet. Das Speicherbegrenzungsprinzip aus Artikel 5(1)(e) verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den ursprünglichen Zweck erforderlich ist. Die Behörden setzen dieses Prinzip jetzt mit Bußgeldern durch – nicht mehr nur mit Empfehlungen. Unternehmen benötigen automatisierte Aufbewahrungsrichtlinien, die personenbezogene Daten nach Ablauf bestimmter Fristen löschen, Legal-Hold-Management zur Sicherung von Daten im Rechtsstreit und Löschprotokolle, die den Nachweis der fristgerechten Löschung gegenüber den Behörden erbringen.

Nachweisbare Compliance. Das Verantwortlichkeitsprinzip aus Artikel 5(2) ist der verbindende rote Faden. Es reicht nicht, geeignete Maßnahmen zu haben – Sie müssen sie nachweisen können. Wenn eine Behörde fragt, ob Sie zum Zeitpunkt des Vorfalls 2FA eingesetzt haben, müssen Sie Belege vorlegen – keine Richtliniendokumente, sondern technische Nachweise. Wenn gefragt wird, ob Sie unbefugte Zugriffe überwacht haben, brauchen Sie Audit-Trails und Alarmkonfigurationen, keine Präsentation vom letzten Security Review.

Eine vollständige Checkliste für die DSGVO-Compliance

Jetzt lesen

Warum die Durchsetzung auf Infrastruktur und nicht nur auf Vorfälle abzielt

Dieser Trend in der Durchsetzung ist nicht aus dem Nichts entstanden. Die Behörden haben jahrelang Leitlinien veröffentlicht, gewarnt und Erwartungen klar kommuniziert. Die Hinwendung zur Sanktionierung struktureller Schwächen ist das Ergebnis der Erkenntnis, dass reine Empfehlungen nicht ausreichen.

Die Zahlen bestätigen das: Ein durchschnittlicher Datenschutzverstoß kostet weltweit 4,88 Millionen US-Dollar, im Gesundheitswesen sogar 10,93 Millionen (IBM Cost of a Data Breach Report, 2024). DSGVO-Bußgelder können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen. Und der EU AI Act bringt eine weitere Ebene: Bußgelder bis zu 35 Millionen Euro oder 7 % des Umsatzes bei schwerwiegenden Verstößen. Da KI-Agents und generative KI-Tools zunehmend personenbezogene Daten verarbeiten – oft über Kanäle, die Unternehmen nicht vollständig kontrollieren – steigt der regulatorische Druck, Basis-Kontrollen nachzuweisen, weiter an.

Auch die Durchsetzungsstrategie wird ausgefeilter. In diesen Fällen wurde nicht nur ein Vorfall festgestellt und eine Strafe verhängt. Die Behörden prüften, ob das Unternehmen präventive Kontrollen (2FA, Zugriffsbeschränkungen) hatte, die den Vorfall hätten verhindern können, detektive Kontrollen (Protokollierung, Überwachung), die ihn früher erkannt hätten, reaktive Kontrollen (Meldung von Datenschutzverstößen) zur Einhaltung der 72-Stunden-Frist nach Artikel 33 sowie Aufbewahrungskontrollen, die das Datenvolumen hätten begrenzen können. Jede fehlende Kontrolle wurde als separater Verstoß gewertet. Die Bußgelder summieren sich.

Was die meisten Unternehmen bei der DSGVO-Sicherheits-Compliance immer noch falsch machen

Die unbequeme Wahrheit, die diese Fälle offenlegen: Die meisten Unternehmen behaupten, „geeignete Maßnahmen“ zu haben. Die wenigsten können dies unter regulatorischer Prüfung nachweisen. Die Lücke zwischen Richtlinie und Realität führt zu Bußgeldern.

Die Authentifizierungslücke. Viele Unternehmen verfügen über 2FA-Richtlinien. Nur wenige setzen 2FA konsequent in allen Systemen mit personenbezogenen Daten durch. Legacy-Filesharing-Plattformen, E-Mail-Systeme und Managed File Transfer-Tools bieten oft nicht die Authentifizierungsmechanismen, die die Behörden heute erwarten. Consumer-Tools bieten meist nur einfache Authentifizierung, aber selten kontextbezogene Step-up-Authentifizierung für risikoreiche Aktionen, Gerätevertrauensprüfung oder Geolokalisierungskontrollen. Bei einer Prüfung zählt nicht das Richtliniendokument, sondern die technische Umsetzung.

Die Protokollierungslücke. Viele Unternehmen protokollieren einige Aktivitäten. Nur wenige führen umfassende, unveränderbare Audit-Trails, die jeden Zugriff auf personenbezogene Daten über alle Kanäle hinweg erfassen – Filesharing, E-Mail, Managed File Transfer, Web-Formulare, APIs. Fragmentierte Tools erzeugen fragmentierte Protokolle. Jedes System hat sein eigenes Format, eigene Aufbewahrung, eigene Lücken. Wenn Behörden einen vollständigen Nachweis verlangen, wer wann auf welche personenbezogenen Daten zugegriffen hat, stellen viele Unternehmen fest, dass sie diesen nicht liefern können. Im Fall der Behörde wurde „unzureichende Protokollierung“ als Verstoß gewertet – das bedeutet: unvollständig, nicht umfassend oder nicht fälschungssicher.

Die Aufbewahrungslücke. Die Datenaufbewahrung ist die DSGVO-Anforderung, mit der die meisten Unternehmen am meisten kämpfen. Eine Aufbewahrungsrichtlinie zu schreiben ist einfach – sie systemübergreifend automatisiert durchzusetzen, ist viel schwieriger. E-Mail-Archive, File Shares, Backups, Kollaborationsplattformen – personenbezogene Daten sammeln sich in Dutzenden von Repositorys an. Ohne automatisierte Aufbewahrung bleiben Daten oft jahrelang über ihren Zweck hinaus gespeichert. Im Fall der Behörde wurden Daten über zwei Jahrzehnte gehalten. Das ist kein Richtlinienversagen, sondern ein Versagen der Infrastruktur zur Durchsetzung.

Die Dokumentationslücke. Artikel 5(2) verlangt, dass Unternehmen Compliance nachweisen – nicht nur behaupten. Bei einer Prüfung wollen Behörden vorgefertigte Compliance-Berichte sehen, die 2FA-Umsetzungsquoten, Zugriffskonfigurationen und Aufbewahrungskonformität dokumentieren. Sie erwarten auditfähige Nachweise technischer und organisatorischer Maßnahmen. Sie wollen vollständige forensische Zeitlinien für die Meldung nach Artikel 33 (72-Stunden-Frist). Und sie verlangen Verarbeitungsverzeichnisse nach Artikel 30, die zeigen, wie personenbezogene Daten tatsächlich verarbeitet werden – nicht, wie es laut Richtlinie sein sollte.

Die Lücke zwischen Richtlinie und nachweisbarer Compliance schließen

Die von Gibson Dunn beschriebenen Durchsetzungsmaßnahmen betreffen ausschließlich vermeidbare Versäumnisse – sofern die richtige Infrastruktur vorhanden ist. Nicht ein Flickenteppich aus separaten Tools für Filesharing, E-Mail, Managed File Transfer und Web-Formulare, jeweils mit eigenen Authentifizierungs-, Protokollierungs- und Aufbewahrungsfunktionen. Sondern eine einheitliche Plattform, die personenbezogene Daten kanalübergreifend mit konsistenten Kontrollen und einem zentralen Audit-Trail verwaltet.

Das Private Data Network von Kiteworks wurde genau für diese Compliance-Herausforderung entwickelt. Es adressiert jede der im Gibson Dunn-Update genannten Schwächen – nicht als Zusatzfunktionen, sondern als grundlegende Designprinzipien.

Für die Authentifizierung erzwingt Kiteworks 2FA für jeden Zugriff auf personenbezogene Daten, mit kontextbezogener Step-up-Authentifizierung bei risikoreichen Aktionen wie Massendownloads und externem Teilen. SSO-Integration unterstützt Enterprise-Identity-Provider mit 2FA. Gerätevertrauen beschränkt den Zugriff auf verwaltete, konforme Geräte. Geolokalisierungskontrollen melden und blockieren Zugriffe aus unerwarteten Regionen. Genau diese Kontrollen wurden von den Behörden in den Durchsetzungsmaßnahmen als fehlend beanstandet.

Für Protokollierung und Überwachung bietet Kiteworks umfassende, unveränderbare Audit-Trails, die jeden Zugriff auf personenbezogene Daten erfassen – wer, was, wann, wo, wie – über alle Kanäle hinweg. Echtzeit-Benachrichtigungen informieren Sicherheitsteams sofort über verdächtige Aktivitäten. KI-gestützte Anomalieerkennung identifiziert ungewöhnliche Zugriffsmuster, die auf einen Angriff hindeuten können. Und die SIEM-Integration exportiert Protokolle an Enterprise-Security-Plattformen zur Korrelation mit anderen Sicherheitsereignissen. Genau diese Protokollierungs- und Überwachungsinfrastruktur haben die Behörden in beiden Fällen erwartet – und nicht vorgefunden.

Für die Datenaufbewahrung erzwingt Kiteworks automatisierte Aufbewahrungsrichtlinien, die personenbezogene Daten nach definierten Fristen löschen – mit Legal-Hold-Management zur Sicherung von Daten im Rechtsstreit und gleichzeitiger Löschung aller anderen Daten. Löschprotokolle belegen gegenüber den Behörden, dass Daten fristgerecht entfernt wurden. Datenklassifizierung kennzeichnet personenbezogene Daten nach Kategorie mit passenden Aufbewahrungsregeln. Diese Infrastruktur hätte sowohl die 20-jährige Datensammlung als auch die unrechtmäßige Aufbewahrung in beiden Fällen verhindert.

Für nachweisbare Compliance stellt Kiteworks vorgefertigte DSGVO-spezifische Compliance-Berichte, ein CISO-Dashboard mit Echtzeit-Transparenz zu Zugriffen und Richtlinienverstößen, auditfähige Dokumentation sowie Unterstützung bei der Meldung von Datenschutzverstößen mit vollständigen forensischen Zeitlinien für die 72-Stunden-Frist nach Artikel 33 bereit. Wenn Behörden Nachweise für geeignete Maßnahmen verlangen, können Unternehmen mit Kiteworks diese liefern – weil die Plattform sie kontinuierlich generiert, nicht erst im Nachhinein.

KI-Agents machen die Einhaltung von Artikel 32 schwieriger – und dringlicher

Die genannten Durchsetzungsfälle betreffen klassische Vorfälle – Angreifer kompromittieren Systeme, um auf personenbezogene Daten zuzugreifen. Doch die Anforderungen aus Artikel 32 werden mit dem Einsatz von KI-Agents und generativen KI-Tools, die personenbezogene Daten in großem Umfang verarbeiten, exponentiell komplexer.

Jeder KI-Agent, der auf personenbezogene Daten zugreift, benötigt eine eigene Identität mit Authentifizierungs- und Zugriffskontrollen. Jede KI-Interaktion mit personenbezogenen Daten muss protokolliert werden. Jedes KI-Tool, das personenbezogene Daten verarbeitet, muss Aufbewahrungsrichtlinien einhalten. Und jede KI-Daten-Interaktion muss für Behörden auditierbar und nachweisbar sein.

Wenn Behörden Unternehmen bereits für fehlende 2FA und unzureichende Protokollierung in klassischen Systemen mit Millionenstrafen belegen, ist das Risiko bei KI-Agents noch größer – denn hier bewegen sich Daten schneller, in größeren Mengen und mit weniger menschlicher Kontrolle.

Das Kiteworks AI Data Gateway und der Secure MCP Server erweitern die gleichen Artikel-32-Kontrollen – Authentifizierung, Protokollierung, Zugriffs-Governance und Aufbewahrung – auf KI-Interaktionen. Egal, ob personenbezogene Daten von einem menschlichen Anwender über ein File Share oder von einem KI-Agenten über eine API abgerufen werden: Die Kontrollen, der Audit-Trail und die Compliance-Nachweise sind identisch. Eine Plattform. Eine Policy Engine. Ein unveränderbarer Nachweis.

Die Richtung der Durchsetzung ist klar. Die Frage ist, ob Sie bereit sind.

Das Update von Gibson Dunn im Februar 2026 macht deutlich, dass Compliance-Teams jetzt persönlich gefordert sind. Die Behörden interessieren sich nicht mehr für Ihre Datenschutzrichtlinie – sie wollen wissen, ob Sie die technische Infrastruktur zur Durchsetzung haben und ob Sie dies im Ernstfall nachweisen können.

Die in diesen Fällen beanstandeten Verstöße – keine 2FA, keine Echtzeit-Protokollierung, keine automatisierte Aufbewahrung, unrechtmäßige Datensammlung – sind weder exotisch noch neu. Es sind vermeidbare Versäumnisse grundlegender Sicherheitsmaßnahmen. Und genau diese Versäumnisse machen die Behörden jetzt teuer.

Die Unternehmen, die diese Durchsetzungswelle überstehen, sind diejenigen, die jederzeit nachweisen können, dass 2FA für jeden Zugriff auf personenbezogene Daten erzwungen wird, dass jeder Zugriff in einem unveränderbaren Audit-Trail protokolliert wird, dass Aufbewahrungsrichtlinien automatisiert und auditierbar sind und dass sie innerhalb von 72 Stunden nach einem Vorfall eine vollständige forensische Zeitlinie rekonstruieren können.

Die Unternehmen, die diesen Nachweis nicht liefern können, schreiben die Schecks. Und die werden – wie die jüngsten Fälle zeigen – immer größer.

Erfahren Sie, wie Kiteworks Sie unterstützen kann – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Ja – und genau das ist der Durchsetzungswandel, den das Gibson Dunn-Update vom Februar 2026 klar aufzeigt. Behörden sanktionieren jetzt die strukturellen Sicherheitslücken, die einen Verstoß ermöglicht oder wahrscheinlicher gemacht haben – unabhängig vom tatsächlichen Schaden. Nach dem Verantwortlichkeitsprinzip in Artikel 5(2) liegt die Beweislast beim Unternehmen: Sie müssen nachweisen, dass geeignete Kontrollen vorhanden waren. Fehlende 2FA, Echtzeit-Protokollierung oder automatisierte Datenminimierung gelten als Verstoß – nicht als mildernder Umstand – selbst wenn der Schaden letztlich begrenzt blieb.

Basierend auf aktuellen Durchsetzungen betrachten Behörden drei Kontrollen als Mindeststandard nach Artikel 32. Erstens: Starke Authentifizierung – 2FA für jedes System mit personenbezogenen Daten, mit kontextbezogener Step-up-Verifizierung bei risikoreichen Aktionen wie Massendownloads oder externem Teilen. Zweitens: Echtzeit-Protokollierung – umfassende, unveränderbare Audit-Trails, die jeden Zugriff auf personenbezogene Daten erfassen (wer, was, wann, wo), mit Live-Alarmierung bei verdächtigen Mustern. Drittens: Automatisierte Aufbewahrung – Richtlinien, die personenbezogene Daten nach definierten Fristen löschen, mit Löschprotokollen als Nachweis der Compliance. Ein Richtliniendokument allein reicht nicht – entscheidend ist die technische Infrastruktur zur Durchsetzung.

Artikel 5(1)(e) verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den ursprünglichen Zweck erforderlich ist – danach müssen sie gelöscht oder anonymisiert werden. Die von Gibson Dunn beschriebenen Fälle zeigen, dass Behörden übermäßige Aufbewahrung als eigenständigen Verstoß werten: Eine Behörde hielt Daten über 20 Jahre, im Telekom-Fall wurde „unrechtmäßige Aufbewahrung“ separat beanstandet. Praktisch bedeutet das: Unternehmen brauchen automatisierte Aufbewahrungspläne, keine manuellen. Sie benötigen auch Legal-Hold-Funktionen zur Sicherung von Daten im Rechtsstreit und Löschprotokolle als prüfbaren Nachweis, wenn die Behörde fragt.

Die gleichen Anforderungen aus Artikel 32 – umfassende Protokollierung, Echtzeit-Überwachung, fälschungssichere Aufzeichnungen – gelten für jedes System, das auf personenbezogene Daten zugreift, auch für KI-Agents. Das Risiko ist bei KI-Agents sogar höher, da sie in hoher Geschwindigkeit und großem Umfang arbeiten – unkontrollierter Zugriff kann so deutlich mehr Daten exponieren, bevor er erkannt wird. Behörden haben bereits für „unzureichende Protokollierung“ in klassischen Systemen Bußgelder verhängt; derselbe Standard gilt für KI-Workflows. Jede KI-Daten-Interaktion muss in einem unveränderbaren Audit-Trail mit Identität, Zeitstempel, abgerufenen Daten und Aktion erfasst werden – und diese Nachweise müssen nach Artikel 5(2) vorgelegt werden können.

Artikel 33 verlangt die Meldung eines Datenschutzverstoßes an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden. Die Meldung muss Art des Vorfalls, Kategorien und ungefähre Anzahl betroffener Personen und Datensätze, wahrscheinliche Folgen sowie getroffene oder geplante Maßnahmen beschreiben. Im Telekom-Fall aus dem Gibson Dunn-Update wurde eine „unvollständige Meldung“ beanstandet – das heißt, die Meldung erfüllte nicht die Vollständigkeitsanforderungen. Ursache ist fast immer eine unzureichende Protokollierungsinfrastruktur: Ohne umfassende Audit-Trails und Echtzeit-Überwachung können Sie nicht innerhalb von 72 Stunden rekonstruieren, was passiert ist, wer betroffen war und welche Daten exponiert wurden. Die SIEM-Integration und forensische Zeitlinien, die Artikel-33-Compliance ermöglichen, sind untrennbar mit den Protokollierungsanforderungen aus Artikel 32 verbunden.

Weitere Ressourcen

  • Blog-BeitragDSGVO-Datenresidenz-Anforderungen verstehen und einhalten
  • Blog-BeitragSo versenden Sie personenbezogene Daten per E-Mail DSGVO-konform: Ihr Leitfaden für sichere E-Mail-Kommunikation
  • Blog-BeitragDSGVO-Compliance erreichen: So erfüllen Sie das neue EU-Datenschutzgesetz
  • Blog-BeitragSo teilen Sie Dateien mit internationalen Partnern, ohne gegen die DSGVO zu verstoßen
  • Blog-BeitragSo erstellen Sie DSGVO-konforme Formulare

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks