Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Die DSGVO-Durchsetzung im Jahr 2026 interessiert sich nicht mehr für Ihre Richtlinien

Die DSGVO-Durchsetzung im Jahr 2026 interessiert sich nicht mehr für Ihre Richtlinien

von Marc ten Eikelder updated Mai 25, 2026 DSGVO-Compliance
Lesezeit: 9 Minuten

Wichtige Erkenntnisse

  1. Aufsichtsbehörden nehmen Systeme ins Visier, nicht Papierkram. Die Durchsetzung der DSGVO beschleunigt sich: Zwischen 2023 und 2026 verhängen Aufsichtsbehörden mehr Bußgelder als in den fünf Jahren zuvor. Immer häufiger wird die Lücke zwischen dokumentierter Compliance und operativer Realität sanktioniert.
  2. Zwei parallele Fälle setzen den Trend. Das Bußgeld der niederländischen Datenschutzbehörde (DPA) in Höhe von 100 Mio. € gegen MLU und die Untersuchung der irischen DPC zu Shein senden eine klare Botschaft: Übertragungsmechanismen müssen in der Praxis nachweisbar sein – nicht nur auf dem Papier.
  3. Beweise zählen mehr als Zusicherungen. Europäische Aufsichtsbehörden verlangen exportierbare Audit-Trails, unveränderliche Protokolle und dokumentierte Reaktionsbereitschaft. „Wir glauben, wir sind konform“ reicht nicht mehr aus.
  4. Koordination zwischen Datenschutzbehörden nimmt zu. Die Zeit des Forum-Shoppings endet. Dieselben rechtlichen Argumentationen tauchen nun gleichzeitig in Dublin, Den Haag, Hamburg und Paris auf.
  5. Fragmentierung der Compliance ist der eigentliche Kostenfaktor. Unternehmen, die separate Tools für E-Mails, Filesharing, Managed File Transfer, Formulare und KI einsetzen, können keinen einheitlichen Audit-Trail vorlegen. Die technische Fragmentierung wird zum Compliance-Risiko.

Das Zeitalter der Compliance durch Richtliniendokumente ist vorbei

Innerhalb eines Monats haben zwei europäische Datenschutzbehörden Signale gesendet, die das Compliance-Verständnis von CISOs, Datenschutzbeauftragten und General Counsels grundlegend verändern sollten. Am 8. Mai 2026 gab die niederländische DPA ein Bußgeld von 100 Millionen Euro gegen MLU B.V. – den niederländischen Betreiber der Yango-Taxi-App und eine Yandex-Tochter – wegen unrechtmäßiger Übermittlung finnischer und norwegischer Nutzerdaten nach Russland bekannt. Standardvertragsklauseln allein reichten nicht aus. Drei Tage zuvor hatte die irische DPC eine Untersuchung gegen Infinite Styles Services (Shein Ireland) wegen Datenübermittlungen in die EU und den EWR nach China angekündigt.

Zwei Aufsichtsbehörden. Zwei Hochrisiko-Zielländer. Eine rechtliche Erkenntnis: Vertragliche Schutzmaßnahmen ersetzen keine technische Kontrolle.

Beide Fälle stehen im Kontext einer umfassenden Analyse der Durchsetzungstrends: DSGVO-Bußgelder übersteigen inzwischen 7,1 Milliarden Euro bei über 1.400 Entscheidungen seit 2018. Zwischen Januar 2023 und März 2026 wurden mehr Bußgelder verhängt als in den fünf Jahren davor. Gründe sind: wachsende Expertise der Behörden, Personalaufbau bei den DPAs und Unternehmen, die DSGVO-Compliance ignorierten und nun mit Sanktionen rechnen müssen. Verstöße gegen die Rechtsgrundlage nach Artikel 6 machen inzwischen rund ein Drittel der Maßnahmen aus. Die koordinierte Durchsetzungsinitiative des EDSA 2026 fokussiert sich auf Transparenz-Compliance in verschiedenen Sektoren und Ländern.

Gemeinsam ist diesen Durchsetzungsmaßnahmen eine regulatorische Grundannahme, die sich seit Schrems II abzeichnet: Compliance ist etwas, das ein Unternehmen nachweist – nicht etwas, das es behauptet. Die niederländischen und irischen Maßnahmen sind die operative Umsetzung dieser These. Die Bußgelder sind der Preis für eine rein theoretische Behandlung.

Für Verantwortliche ist die Botschaft unbequem, aber eindeutig: Das Zeitalter der Compliance durch Richtliniendokumente ist vorbei. Die Zeit der Beweis- und Architektur-Compliance hat begonnen. Wer den Wandel früh erkennt, spart Kosten, beschleunigt Audits und besteht Prüfungen besser als Unternehmen, die weiter Aktenordner füllen.

Wo Compliance-Dokumentation von der operativen Realität abweicht

Die Fälle aus 2026 zeigen ein Muster, das über einzelne Rechtsfragen hinausgeht: Sie sanktionieren die Lücke zwischen dokumentierter und tatsächlicher Systemfunktion. Drei Muster tauchen in aktuellen DPA-Entscheidungen und Analystenberichten immer wieder auf.

  • Dokumentation spiegelt die Realität nicht wider. Das Verzeichnis der Verarbeitungstätigkeiten eines Verantwortlichen listet Datenflüsse, die nicht mehr zur aktuellen Systemarchitektur passen. Eine Datenschutz-Folgenabschätzung (DPIA) wurde für den Piloten erstellt, aber nie nach Skalierung aktualisiert. Das Lieferantenverzeichnis ist sechs Monate alt. Wenn die DPA Beweise verlangt, sagen die Dokumente das eine, die Systeme das andere. Die Behörde wertet die Dokumentation als reine Formalität.
  • Anordnungen werden ignoriert. Eine frühere DPA-Maßnahme forderte konkrete Nachbesserungen – aktualisierte Authentifizierung, eingeschränkte Zugriffe, Fristen für Meldungen von Datenschutzverstößen. Die Nachbesserungen wurden zugesagt, aber nur teilweise umgesetzt. Bei einem neuen Vorfall eskaliert die Behörde nicht nur wegen des neuen Vorfalls, sondern weil die frühere Anordnung als bloße Empfehlung behandelt wurde.
  • Risiken erkannt, aber nicht beherrscht. Interne Dokumente – Vorstandspräsentationen, Audit-Berichte, DSPM-Ergebnisse – zeigen, dass das Unternehmen das Risiko kannte. Die Kontrollen wurden jedoch nicht angepasst. Die Darstellung „wusste und handelte nicht“ ist inzwischen das bevorzugte Narrativ der Behörden, da sie den höchsten Bußgeldfaktor begründet.

Alle Muster führen auf die gleiche Ursache zurück: Compliance wird als Dokumentationsaufgabe statt als operative Aufgabe verstanden. Die Lösung sind nicht bessere Richtlinien, sondern Systeme, die die versprochenen Nachweise tatsächlich liefern.

Die Analyse der Durchsetzungstrends 2026 zeigt, wie sich das auf die Bußgeldhöhe auswirkt. Behörden nutzen die Argumentation „wusste und handelte nicht“ zunehmend, da sie höhere Bußgelder rechtfertigt als ein reiner Technikfehler. Eine Fehlkonfiguration ist ein Versehen. Ein dokumentiertes, aber nicht behobenes Risiko ist eine bewusste Entscheidung. Der Bußgeldmultiplikator spiegelt diesen Unterschied wider, und die Dokumentation eines Unternehmens wird zum Beweis, den die Behörde für die Bewertung der Entscheidung heranzieht.

Warum grenzüberschreitende Übermittlungen der Testfall sind

Grenzüberschreitende Übermittlungen bündeln alle Governance-Fehler in einem Entscheidungspunkt: Rechtsgrundlage, technische Schutzmaßnahmen, Lieferantenprüfung, Transfer Impact Assessment, Reaktionsbereitschaft bei Behördenanfragen. All das kulminiert, sobald ein Datensatz die Grenze überschreitet.

Deshalb wählten die niederländische AP den Yango-Betreiber MLU und die irische DPC Shein. Die Übermittlung ist das sichtbare Ergebnis des Governance-Systems. Ist der Übertragungsmechanismus nicht verteidigbar, gilt die gesamte Governance als schwach.

Daten aus dem Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigen das Ausmaß der Lücke: Nur 36 % der Unternehmen haben Transparenz darüber, wie Partner Daten in KI-Systemen verarbeiten. 29 % nennen grenzüberschreitende Übermittlungen über KI-Anbieter als zentrales Datenschutzrisiko. Die Erkenntnis ist da, die Kontrolle fehlt.

Der 2026 Forecast Report beschreibt den Wandel: Weg von „Wo werden die Daten gespeichert?“ hin zu „Wo werden sie verarbeitet, wer hat Zugriff und können Sie das nachweisen?“. Die Speicherhoheit beantwortet die erste Frage – die meisten Großunternehmen haben das gelöst. Die Verarbeitungshoheit beantwortet die beiden anderen. Die Fälle MLU und Shein drehen sich genau darum.

KI-Workloads erschweren alles zusätzlich. Ein Prompt kann in einer anderen Jurisdiktion verarbeitet werden als der Speicherort. Das Modell kann in einem dritten Land gehostet sein. Das Finetuning erfolgt in einem vierten. Das Ergebnis durchquert mehrere Länder, bevor es zurückkommt. Klassische Souveränitätskontrollen greifen hier nicht, weil sie von einem festen Speicherort ausgehen. KI geht davon aus, dass es keinen festen Ort gibt.

Koordination der Datenschutzbehörden beendet das Forum-Shopping

Jahrelang konnten Unternehmen von den Unterschieden zwischen europäischen Datenschutzbehörden profitieren. Die irische DPC war langsam. Die deutschen Behörden waren streng, aber uneinheitlich. Die italienische Garante erließ mutige Anordnungen, die oft von Gerichten kassiert wurden. Unterschiedliche Länder, unterschiedliche Prioritäten, unterschiedliche Zeitpläne.

Die Analyse der Durchsetzungstrends 2026 zeigt, dass diese Lücke schließt. Die DPAs koordinieren sich über den Europäischen Datenschutzausschuss, teilen Fallanalysen und stimmen Durchsetzungsprioritäten ab. Die Argumentation der niederländischen AP im MLU-Fall stimmt mit den Positionen des EDSA zu Schrems II überein. Die Shein-Untersuchung der irischen DPC folgt derselben rechtlichen Architektur. CNIL, BfDI und AP kommen bei ähnlichen Sachverhalten zunehmend zu den gleichen Ergebnissen.

Das ist wichtig, weil es den strategischen Vorteil des Forum-Shoppings für EU-Zentralen beseitigt. Ein multinationales Unternehmen, das Dublin wegen der vermeintlichen Nachsicht der DPC wählt, sieht sich nun mit einer DPC konfrontiert, die Shein nach denselben Maßstäben prüft wie die AP MLU. Das „freundliche Forum“ ist zum koordinierten Forum geworden.

Ebenso wichtig: Die Koordination verkürzt die Halbwertszeit von Durchsetzungsentscheidungen. Die Argumentation aus dem MLU-Fall wird in anderen DPA-Verfahren innerhalb von Monaten – nicht Jahren – auftauchen. Wer abwartet, ob der Präzedenzfall Bestand hat, wird zum nächsten Beklagten.

Für Compliance-Teams bedeutet das: Die Überwachung der Durchsetzung muss alle DPAs gleichzeitig im Blick behalten, nicht nur die lokale. Das Risikoregister muss davon ausgehen, dass jede von einer DPA übernommene Theorie in kurzer Zeit von anderen angewandt wird.

Fragmentierung ist die technische Altlast

Die meisten Unternehmen können die von europäischen Behörden geforderten einheitlichen Nachweise nicht liefern, weil ihre Infrastruktur für den Datenaustausch fragmentiert ist. E-Mails laufen in einem System, Filesharing in einem anderen, Managed File Transfer in einem dritten. SFTP-Server laufen auf Legacy-Systemen. Formulare sammeln personenbezogene Daten über Einzellösungen. KI-Workloads verarbeiten Daten über eine weitere Integrationsschicht.

Jedes System hat seinen eigenen Audit-Trail. Jede Integration ihre eigene Lücke. Wenn eine DPA den vollständigen Nachweis verlangt, wie ein Datensatz bewegt wurde – welcher Anwender darauf zugriff, welcher Anbieter ihn verarbeitete, welches Land er durchquerte –, müssen fünf oder sechs verschiedene Protokollquellen korreliert werden. Das dauert Wochen. Die DPA erwartet eine Antwort in Tagen.

Genau das beschreibt der Kiteworks 2026 Forecast Report: Technische Altlasten werden zum Compliance-Risiko. 33 % der Unternehmen verfügen nicht über Audit-Trails in Beweisqualität. Der Grund ist nicht fehlendes Logging, sondern fragmentiertes Logging. Die Systeme erzeugen Daten – aber kein System erzeugt Beweise.

Der European Sovereignty Report von Kiteworks beschreibt die konsolidierte Alternative: eine einzige zero-trust Plattform, auf der E-Mail, Filesharing, Managed File Transfer, SFTP, Formulare und KI-Workloads einheitliche Richtlinien und einen konsolidierten Audit-Log teilen. Das ist die technische Antwort auf das systemische Governance-Problem, das die DPAs jetzt sanktionieren. Es ist nicht die einzige Lösung, aber die, die am ehesten dem regulatorischen Trend entspricht.

Der Kiteworks-Ansatz: Ein Audit-Trail, viele Frameworks

Kiteworks ersetzt fragmentierte Insellösungen durch ein einheitliches Governance-Framework, das die prüfbereiten Nachweise liefert, die Behörden, Auditoren und Unternehmenskunden zunehmend fordern. Das Private Data Network konsolidiert E-Mail, Filesharing, Managed File Transfer, SFTP und Formulare in einer Plattform, auf der jede Datei über ihren gesamten Lebenszyklus kontrolliert, nachverfolgt und geschützt wird.

Die Architektur ist für die Compliance entscheidend, weil sie Beweise aus einer Quelle liefert. Zentrale, unveränderliche Audit-Logs erfassen, wer was, wann, im Auftrag von wem und unter welcher Richtlinie aufgerufen hat. Automatisiertes Compliance-Reporting – mit vorkonfigurierten Vorlagen für DSGVO, DORA, NIS 2, PIPEDA, PDPL und mehr – liefert die exportierbaren Nachweise, die eine DPA auf Abruf sehen will, nicht nur quartalsweise.

Die Souveränitätsdimension wird auf Architekturebene durchgesetzt. Die Verwahrung der Verschlüsselungsschlüssel bleibt in der jeweiligen Jurisdiktion. Geofencing wird durch konfigurierbare IP-Kontrollen umgesetzt. Flexible Bereitstellungsoptionen – On-Premises, Private Cloud, Hybrid, FedRAMP – ermöglichen es Unternehmen, sensible Inhalte in der eigenen Jurisdiktion zu halten, egal ob EU, Kanada, Naher Osten oder USA. Die Kontrollen hängen nicht vom Wohlwollen eines Drittland-Auftragsverarbeiters ab, sondern von der Architektur des Datenpfads selbst.

Für Unternehmen, die sich auf die nächste DSGVO-Durchsetzungswelle vorbereiten, ist die Konsequenz klar: Dieselben Investitionen, die die DSGVO erfüllen, erfüllen auch DORA, NIS 2, PIPEDA, PDPL und die Governance-Anforderungen des EU AI Act. Das Prinzip „eine Plattform, mehrere Frameworks“ ist kein Marketing-Slogan, sondern die operative Antwort auf eine Regulierungslandschaft, die sich auf gemeinsame Beweisanforderungen zubewegt.

Was Unternehmen vor der nächsten DPA-Anfrage tun müssen

  1. Erstens: Führen Sie ein Audit von Dokumentation und Realität durch. Vergleichen Sie ROPA, DPIAs und Lieferantenverzeichnisse mit der tatsächlich eingesetzten Infrastruktur. Laut Kiteworks 2026 Forecast Report fehlen 33 % der Unternehmen Audit-Trails in Beweisqualität – meist, weil Dokumentation und Systeme auseinanderdriften. Identifizieren Sie jede Lücke, bevor es die Behörde tut.
  2. Zweitens: Konsolidieren Sie den Audit-Trail. Fragmentiertes Logging ist die Hauptursache vieler Compliance-Fehler. Daten aus dem Kiteworks 2026 Forecast Report zeigen: Konsolidierung zahlt sich am schnellsten bei grenzüberschreitenden Untersuchungen aus, da einheitliche Nachweise die Reaktionszeit von Wochen auf Tage verkürzen. Ein einziger, unveränderlicher Log über alle Datenbewegungen ist aktuell die am besten verteidigbare Compliance-Investition.
  3. Drittens: Behandeln Sie Transfer Impact Assessments als technische, nicht nur rechtliche Aufgabe. TIAs, die Risiken dokumentieren, aber keine technischen Kontrollen zur Risikominderung beschreiben, bestehen die Prüfung nach MLU nicht. Laut Kiteworks 2026 Forecast Report haben nur 36 % der Unternehmen Transparenz über das KI-Datenmanagement ihrer Partner. Ergänzen Sie jede TIA um Verschlüsselung mit unternehmenseigenen Schlüsseln, Residenzpflicht und Zugriffsprotokollierung.
  4. Viertens: Überwachen Sie die Durchsetzung durch DPAs aktiv. Die Koordination der europäischen DPAs bedeutet, dass eine Theorie aus einer Jurisdiktion in anderen innerhalb weniger Monate übernommen wird. Laut Kiteworks 2026 Forecast Report absorbieren Unternehmen mit ausgereiften Compliance-Automatisierungsprogrammen Durchsetzungssignale schneller. Integrieren Sie das Monitoring in den GRC-Workflow, nicht nur in die Rechtsabteilung.
  5. Fünftens: Testen Sie das Reaktions-Playbook. Simulieren Sie Behördenanfragen. Simulieren Sie einen Anbieterausfall in einer Hochrisiko-Jurisdiktion. Simulieren Sie eine DPA-Anfrage, die innerhalb von 72 Stunden Nachweise zur Verarbeitungshoheit verlangt. Die Entscheidung der niederländischen AP zeigt: Dokumentierte Vorbereitung unterscheidet Unternehmen, die Durchsetzungsrisiken beherrschen, von denen, die zahlen.
  6. Sechstens: Richten Sie den Vorstand auf die neue Risikorechnung aus. DSGVO-Höchststrafen von 4 % des weltweiten Umsatzes, kombiniert mit bis zu 7 % nach EU AI Act, machen Compliance zum Thema im Unternehmensrisikoregister. Das MLU-Bußgeld, die Shein-Untersuchung und der allgemeine Durchsetzungstrend sind jetzt Budgetthemen, nicht nur Compliance-Themen.

Die nächste Anfrage kündigt sich nicht an. Die Architektur muss vorher stehen.

Häufig gestellte Fragen

Die Koordination zwischen DPAs beendet das Forum-Shopping. Eine von einer DPA übernommene Theorie wird innerhalb von Monaten von anderen angewandt. Daten aus dem Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigen: 33 % der Unternehmen verfügen nicht über Audit-Trails in Beweisqualität. Integrieren Sie das Monitoring in GRC-Workflows, nicht nur in die Rechtsprüfung, und konsolidieren Sie das Logging, damit Nachweise auf Anfrage für jede DPA-Anfrage bereitgestellt werden können.

Einzellogs sind Telemetrie; einheitliche Logs sind Beweise. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 33 % der Unternehmen verfügen nicht über Audit-Trails in Beweisqualität, meist weil Logs über E-Mail, Filesharing, Managed File Transfer und KI-Tools verteilt sind. Behörden verlangen korrelierte Nachweise innerhalb weniger Tage. Einheitliches Logging verkürzt die Reaktionszeit von Wochen auf Tage und unterstützt DSGVO, DORA, NIS 2 und PIPEDA gleichzeitig.

DPIAs müssen die tatsächlich eingesetzte Architektur widerspiegeln, nicht die geplante. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 36 % der Unternehmen haben Transparenz über das KI-Datenmanagement ihrer Partner. DPAs prüfen zunehmend, ob die DPIA das tatsächlich laufende System beschreibt. Führen Sie ein Audit von Dokumentation und Realität durch, aktualisieren Sie DPIAs für KI-Workflows und dokumentieren Sie die technischen Kontrollen zur Risikominderung.

Die Entscheidung der niederländischen AP zielt auf Verarbeitungshoheit, nicht nur Speicherhoheit. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 29 % der Unternehmen sehen grenzüberschreitende Übermittlungen über KI-Anbieter als zentrales Datenschutzrisiko. Dokumentieren Sie, wo jeder Anbieter Daten verarbeitet, wer unter welcher Jurisdiktion Zugriff hat und ob Verschlüsselungsschlüssel außerhalb des Ziellandes liegen. SCCs allein genügen dem neuen Standard nicht mehr.

Im Gesundheitswesen addieren sich die regulatorischen Anforderungen, sodass sich die Nachweispflichten verstärken. Der Kiteworks Data Security and Compliance Risk: 2026 Forecast Report zeigt: 33 % der Unternehmen verfügen nicht über Audit-Trails in Beweisqualität. Ein einheitliches Governance-Framework, das DSGVO-Artikel 30, die HIPAA Security Rule und neue KI-Anforderungen gleichzeitig abdeckt, schließt die Lücke zwischen Dokumentation und Realität, auf die DPAs und HHS OCR zunehmend abzielen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks