Bakeca und Enel: Italien verschärft DSGVO-Vollzug
Im April 2026 hat die rumänische Datenschutzbehörde Renault Commercial Roumanie nach einem Cyberangriff mit unzureichenden Sicherheitsmaßnahmen sanktioniert, die spanische AEPD verhängte 950.000 Euro gegen YOTI für Biometrie-Verarbeitung ohne Rechtsgrundlage, die italienische Garante traf Bakeca und Enel Energia. Das DSGVO-Vollzugs-Bild 2026 verschiebt sich klar in Richtung Mittelstand und Cyber-getriebener Bußgelder. Was das für Sicherheits- und Datenschutz-Architekturen 2026 bedeutet.
TL;DR: DSGVO trifft 2026 zunehmend Mittelstand und Sicherheits-Versagen
- April-2026-Fälle: Renault Roumanie (Cyber-Vorfall mit unzureichender Sicherheit + ungeeignete Auftragsverarbeiter), YOTI (950.000 Euro für Biometrie-Verarbeitung), Enel Energia (563.052 Euro für Werbewiderspruch-Versagen), Bakeca (Daten-Mishandling).
- Bußgeldrahmen DSGVO bleibt bei 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes (höherer Wert greift). 17 Landesdatenschutzbehörden + BfDI sind in Deutschland zuständig, mit zunehmend abgestimmter Sanktionspraxis.
- Die wiederkehrenden Fall-Muster 2026 sind Cyber-Vorfälle mit unzureichender Sicherheitsarchitektur, fehlende Auftragsverarbeitungs-Verträge, Werbewiderspruchs-Verstöße, fehlerhafte Löschkonzepte und Videoüberwachungs-Themen.
- Mittelständler werden 2026 zunehmend zur Zielgruppe der Aufsichten, weil DAX-Konzerne ihre Compliance-Architekturen weitgehend abgesichert haben und die Aufsichten ihre Vollzugs-Quoten ausweiten.
- Wer 2026 keine aktuelle Auftragsverarbeitungs-Map, kein Löschkonzept und keine Cyber-Resilienz-Architektur hat, riskiert in Q3/Q4 2026 ein Bußgeld-Verfahren, das schnell sechs- oder siebenstellig wird.
Was die April-2026-Fälle wirklich zeigen
Die vier prominenten Fälle des April 2026 (Renault Commercial Roumanie, YOTI, Enel Energia, Bakeca) sind nicht repräsentativ für die DSGVO-Vollzugs-Statistik insgesamt, aber sie zeigen die Stoßrichtung der Aufsichten 2026 deutlich. Drei Muster lassen sich klar identifizieren.
Erstens: Cyber-Vorfälle als Bußgeld-Auslöser. Der Renault-Roumanie-Fall ist ein klassisches Beispiel für die Verschmelzung von DSGVO und Cyber-Sicherheits-Pflichten. Nach einem Cyberangriff hat die rumänische Datenschutzbehörde nicht nur den Vorfall sanktioniert, sondern explizit die Sicherheits-Architektur und die Auftragsverarbeiter-Auswahl als Bußgeld-Begründung herangezogen. Das ist ein wichtiger Wendepunkt: Wer 2026 von einem Ransomware-Angriff getroffen wird, riskiert nicht nur den operativen Schaden und die NIS2-Meldepflicht, sondern auch ein DSGVO-Bußgeld wegen unzureichender Schutzmaßnahmen nach Art. 32 DSGVO.
Zweitens: Biometrie und sensible Datenkategorien als Bußgeld-Schwerpunkt. Das YOTI-Bußgeld von 950.000 Euro für die Verarbeitung biometrischer Daten ohne wirksame Rechtsgrundlage ist Teil eines breiteren Trends. Die Aufsichten 2026 nehmen Biometrie, Gesundheitsdaten und sensible Kategorien in besonderer Schärfe in den Vollzugs-Fokus. Wer Biometrie für Authentifizierung einsetzt (Touch-ID-Workflows, Fingerprint-Scanner in der Werkshalle, Gesichtserkennung im Zutritts-Management), muss die Rechtsgrundlage und die Datenschutz-Folgenabschätzung in akkurater Tiefe vorlegen können. Das berührt direkt die NIS2-MFA-Architektur aus April 2026, weil viele MFA-Lösungen biometrische Faktoren nutzen.
Drittens: Werbewiderspruch und Marketing-Compliance als Dauerbrenner. Der Enel-Energia-Fall zeigt, dass auch klassische Marketing-Compliance-Themen 2026 zu sechsstelligen Bußgeldern führen. Wer das Widerspruchs-Management nicht sauber im CRM verankert hat oder wer historische E-Mail-Listen ohne klare Einwilligungs-Spur weiter nutzt, läuft 2026 in ein Bußgeld-Verfahren. Das Thema ist seit 2018 bekannt, wird aber operativ in vielen Mittelständlern immer noch unzureichend behandelt.
Warum der Mittelstand 2026 ins Visier rückt
Die DSGVO-Statistik 2018 bis 2024 war stark von Großverfahren gegen Tech-Konzerne (Meta, Amazon, Google, TikTok) geprägt. 2025 und 2026 verschiebt sich das Bild deutlich. DAX-Konzerne und große Mittelständler haben ihre DSGVO-Architektur in den vergangenen sechs bis acht Jahren weitgehend stabilisiert. Die Aufsichten haben ihre Vollzugs-Kapazitäten ausgebaut und werden in den nächsten 18 Monaten verstärkt mittelständische Unternehmen prüfen, vor allem in den Risiko-Sektoren Gesundheit, Energie, Handel und Industrie. Der Mittelstand ist 2026 das natürliche Ziel der nächsten Vollzugs-Welle.
Aus Sicherheits- und Datenschutz-Beratungs-Praxis heraus zeigen sich vier wiederkehrende Lücken in mittelständischen DACH-Setups, die 2026 mit hoher Wahrscheinlichkeit zu Bußgeld-Verfahren führen werden. Erstens: Veraltete oder nicht vollständige Auftragsverarbeitungs-Verträge mit Cloud- und SaaS-Anbietern. Zweitens: Fehlende oder veraltete Löschkonzepte, vor allem in Bewerber-Datenbanken und alten CRM-Systemen. Drittens: Unzureichende Cyber-Sicherheits-Architektur, gemessen am Stand der Technik nach Art. 32 DSGVO. Viertens: Schwache oder fehlende Datenschutz-Folgenabschätzungen für KI-, Biometrie- und Tracking-Systeme.
Vier Sofortmaßnahmen für die nächsten 90 Tage
Maßnahme 1: AVV-Inventarisierung mit Vollständigkeits-Check. Eine vollständige Liste aller externen Auftragsverarbeiter, mit Datum der AVV, Datenkategorien, Schutzmaßnahmen und Audit-Tiefe. Aus Beratungspraxis fehlen in mittelständischen Unternehmen regelmäßig zwischen 15 und 40 Prozent der AVVs für tatsächlich genutzte Anbieter. Eine Inventarisierung dauert vier bis sechs Wochen und ist in der ersten BSI- oder Datenschutz-Prüfung das wichtigste Dokument.
Maßnahme 2: Löschkonzept-Refresh mit konkreten Lösch-Routinen. Ein schriftliches Löschkonzept mit klar definierten Aufbewahrungs-Fristen pro Datenkategorie, automatisierten Lösch-Routinen in den führenden Systemen (CRM, ERP, Bewerber-Datenbank, E-Mail-Archiv) und einem jährlichen Löschungs-Protokoll. Die häufigsten Löschungs-Verstöße betreffen alte Bewerber-Datenbanken (Daten, die nach Bewerbungs-Abschluss nicht innerhalb von sechs Monaten gelöscht wurden) und alte CRM-Datensätze ohne Einwilligungs-Basis.
Maßnahme 3: Cyber-Sicherheits-Architektur nach Stand der Technik. Eine schriftliche Bewertung der eigenen Sicherheits-Architektur gegen den aktuellen Stand der Technik, mit konkreten Lücken-Analyse und Investitions-Plan. Die NIS2-Logik und die DSGVO-Logik überschneiden sich hier zu einem großen Teil, sodass eine integrierte Bewertung wirtschaftlich Sinn ergibt. Kernpunkte sind MFA für privilegierte Zugriffe, Verschlüsselung für sensible Daten in Transit und at Rest, ein robustes Backup- und Recovery-Konzept, ein dokumentiertes Vorfalls-Management mit 24/72-Stunden-Meldeprotokollen.
Maßnahme 4: Datenschutz-Folgenabschätzungen für alle Hochrisiko-Verarbeitungen. Eine vollständige Liste aller Verarbeitungen, die nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung benötigen, mit Status (vorhanden, in Arbeit, fehlt) und Verantwortung. Die häufigsten Lücken 2026 betreffen KI- und Machine-Learning-Anwendungen, Biometrie-Systeme, umfassende Tracking-Lösungen im Marketing und Mitarbeiter-Monitoring-Systeme. Wer hier eine offene Liste hat, hat im Aufsichts-Verfahren ein klares Finding.
Wie ein Bußgeld-Verfahren in der Praxis abläuft
Aus der Praxis-Begleitung mehrerer DSGVO-Verfahren in DACH lässt sich der typische Ablauf in vier Phasen beschreiben. Phase 1: Anlassbezogene Prüfung. Die Aufsicht erhält einen Hinweis (Datenpannen-Meldung, Beschwerde, Cybervorfall, Marktüberwachung) und fordert mit einem Auskunftsverlangen erste Informationen an. Reaktionsfrist: zwei bis vier Wochen. Phase 2: Anhörung. Wenn die ersten Antworten Verstöße nahelegen, leitet die Aufsicht ein förmliches Verfahren ein und gewährt rechtliches Gehör. Phase 3: Bußgeld-Bescheid. Die Aufsicht setzt das Bußgeld fest, häufig mit Möglichkeit zur einvernehmlichen Beendigung des Verfahrens. Phase 4: Klage oder Bestandskraft. Bei strittigen Fällen geht das Verfahren vor Gericht, häufig vor dem Verwaltungsgericht.
Die wichtigste operative Erkenntnis: Die ersten zwei bis vier Wochen entscheiden in vielen Verfahren über die Höhe des späteren Bußgelds. Wer auf das Auskunftsverlangen schnell und vollständig antwortet, mit klarer Dokumentation und sichtbaren Korrekturen, signalisiert Compliance-Reife und reduziert das Bußgeld erheblich. Wer das Schreiben drei Monate auf den Schreibtisch legt, verschärft die Position erheblich. Aus den DACH-Verfahrens-Erfahrungen sind 30 bis 60 Prozent Bußgeld-Reduktion durch professionelle Antwort-Praxis möglich.
Wie sich DSGVO und NIS2 ab 2026 inhaltlich verzahnen
Eine zentrale operative Verschiebung 2026 ist die enge Verzahnung von DSGVO- und NIS2-Pflichten. Wenn in Folge eines Cyber-Vorfalls personenbezogene Daten betroffen sind, greifen beide Regelwerke parallel. Die NIS2-Meldung an das BSI erfolgt innerhalb von 24 Stunden, die DSGVO-Meldung an die Aufsichtsbehörde in der Regel innerhalb von 72 Stunden. Die Inhalte müssen konsistent sein, sonst entstehen Glaubwürdigkeits-Lücken im Verfahren. Aus Praxis-Sicht empfiehlt sich ein integriertes Incident-Response-Playbook, das beide Pfade gemeinsam strukturiert. Die 96-Stunden-Rekonstruktion aus dem Healthcare-Incident-Report April 2026 zeigt diese Verzahnung exemplarisch.
Wie die Vorstands-Governance den Schutz erhöhen kann
Aus den Verfahrens-Erfahrungen heraus ist die wichtigste organisatorische Schutzmaßnahme eine klare Verantwortlichkeits-Kette für Datenschutz auf Vorstands-Ebene. Eine schriftliche Vorstands-Resolution, die die DSGVO-Verantwortung klar einem Vorstandsmitglied zuweist (häufig CFO oder COO), die jährliche DSGVO-Bewertung mit Aufsichtsrat-Bericht koppelt und die Investitions-Linien für Datenschutz-Architektur definiert, ist 2026 Standard. Wer eine solche Vorstands-Resolution nicht hat, hat im Verfahren keine klare Position. Wer sie hat, kann im Bußgeld-Verfahren die organisatorische Sorgfalt als mildernden Faktor in die Argumentation einbringen.
Welche Branchen 2026 besonders im Fokus der Aufsichten liegen
Aus Praxis-Sicht und aus den Tätigkeitsberichten der Aufsichtsbehörden lässt sich ein klares Branchen-Bild für 2026 ableiten. Im Fokus stehen Gesundheitseinrichtungen (Kliniken, Praxen, Pflegeeinrichtungen) wegen der besonders sensiblen Datenkategorien, Energie- und Versorgungsunternehmen wegen der NIS2-Pflichten, Online-Handel wegen der Tracking-Themen, Finanz-Dienstleister wegen der DORA-Verschmelzung, Personaldienstleister wegen der Bewerber-Daten-Themen und Industrie-Unternehmen wegen der Mitarbeiter-Monitoring-Themen. Wer in einer dieser Branchen unterwegs ist, sollte die DSGVO-Architektur im zweiten Halbjahr 2026 systematisch überprüfen und dokumentieren.
Ein wichtiger Zusatzaspekt sind branchenspezifische Aufsichten. Während die allgemeine Datenschutzaufsicht im Land sitzt, gibt es für bestimmte Branchen weitere Aufsichten (BaFin für Banken, Versicherungen und Finanzdienstleister; Bundesnetzagentur für Telco; Sozialdatenschutzbeauftragte für Krankenkassen). Wer in regulierten Branchen unterwegs ist, hat parallele Aufsichten, die bei Vorfällen koordiniert auftreten können. Die operative Konsequenz: Eine integrierte Vorfalls-Strategie, die alle relevanten Aufsichten einschließt, ist 2026 Pflicht.
Wie Cyber-Versicherer das Bußgeld-Risiko 2026 betrachten
Aus Versicherungs-Markt-Beobachtungen 2026 zeigt sich, dass Cyber-Versicherer DSGVO-Bußgelder zunehmend als eigenständiges Risiko-Modul behandeln. Während frühere Policen DSGVO-Bußgelder häufig pauschal eingeschlossen haben, differenzieren die Versicherer 2026 stärker: Bußgelder aus Cyber-Vorfällen sind häufig versichert, Bußgelder aus klassischen Compliance-Verstößen (fehlende AVV, schlechte Löschkonzepte) sind häufig ausgeschlossen oder mit eigener Selbstbeteiligung belegt. Mittelständler sollten 2026 ihre Cyber-Police explizit auf DSGVO-Bußgeld-Klauseln prüfen und die Selbstbeteiligungs-Höhe verhandeln. Bei drei DACH-Mandaten der vergangenen sechs Monate konnten durch eine sauber dokumentierte DSGVO-Architektur die Versicherungsprämien um sieben bis zwölf Prozent gesenkt werden, was den Investitions-Aufwand in DSGVO-Compliance teilweise refinanziert.
Wie sich der Datenschutzbeauftragte 2026 weiterentwickelt
Eine wichtige strukturelle Veränderung 2026 betrifft die Rolle des Datenschutzbeauftragten. Die klassische DSB-Funktion wird zunehmend durch eine integrierte Compliance-Funktion ergänzt, die DSGVO, NIS2, DORA und KI-Compliance zusammen abdeckt. In mittelständischen Unternehmen werden 2026 immer häufiger gemeinsame Stellen für IT-Sicherheit, Datenschutz und Compliance besetzt, weil die Themen-Verzahnung operativ kaum trennbar ist. Externe DSBs profitieren von dieser Verschmelzung, wenn sie die zusätzlichen Kompetenz-Felder strukturiert anbieten können. Reine Datenschutz-Generalisten ohne Cyber- und KI-Verständnis verlieren 2026 zunehmend Mandate. Wer als Mittelständler einen externen DSB beauftragt, sollte prüfen, wie tief die NIS2- und KI-Kompetenz im Mandat verankert ist.
Aus Vorstands-Sicht ist die wichtigste Entscheidung 2026, ob die Compliance-Funktion intern oder extern aufgestellt wird. Beide Modelle sind valide, aber sie brauchen klare Verantwortlichkeits-Linien zum Vorstand. Eine reine externe Beauftragung ohne interne Schnittstelle ist 2026 risikoreich, weil die Aufsichten in Verfahren häufig die interne Gewährsperson sehen wollen. Eine reine interne Aufstellung ohne externe Expertise ist meist mit Skill-Lücken verbunden, die im Verfahren sichtbar werden.
Häufige Fragen
Wie hoch sind typische Bußgelder im DACH-Mittelstand 2026?
Für mittelständische Unternehmen liegen die typischen Bußgelder 2026 zwischen 15.000 und 850.000 Euro. Die Spitzen werden bei Cyber-Vorfällen mit unzureichender Sicherheitsarchitektur erreicht, weil hier die Aufsicht häufig den Schadens- und Risiko-Aspekt heranzieht. Bagatell-Verstöße werden meist mit Auflagen ohne Bußgeld erledigt, sofern Korrektur-Maßnahmen schnell umgesetzt werden.
Welche Anbieter-Klassen brauchen 2026 zwingend einen aktualisierten AVV?
Cloud-Anbieter (Microsoft 365, Google Workspace, AWS, Azure, GCP), CRM-Anbieter (Salesforce, HubSpot, Pipedrive), Marketing-Tools (Mailchimp, HubSpot Marketing, Klaviyo), HR- und Bewerber-Tools (Personio, SAP SuccessFactors, Workday), externe IT-Dienstleister, Backup- und Storage-Anbieter, KI-Anbieter (OpenAI, Anthropic, Mistral). Die AVV muss aktuell, vollständig und an die Datenkategorien angepasst sein.
Wie lange darf ich Bewerber-Daten speichern?
Nach Standard-Praxis sechs Monate nach Abschluss des Bewerbungs-Verfahrens, sofern keine Einwilligung für eine längere Speicherung (Talent Pool) vorliegt. Wer Bewerber-Daten länger speichert ohne dokumentierte Einwilligung, hat eines der häufigsten DSGVO-Findings. Die Aufsichten prüfen das in den letzten 18 Monaten verstärkt.
Reicht ein Standard-Datenschutz-Hinweis auf der Website?
Nein. 2026 fordern die Aufsichten eine konkrete, verständliche und auf das tatsächliche Verarbeitungs-Setup bezogene Datenschutzerklärung. Generische Templates ohne Anpassung an die eigenen Tools, Dienstleister und Prozesse führen 2026 regelmäßig zu Beanstandungen. Eine fachliche Aktualisierung pro Quartal ist Standard.
Was tun bei einem Auskunftsverlangen einer Aufsichtsbehörde?
Erstens: Innerhalb von 48 Stunden eine fachlich qualifizierte Antwort vorbereiten und einen Datenschutz-Anwalt einschalten. Zweitens: Vollständig und akkurat antworten, keine Lücken oder Verzögerungen. Drittens: Sichtbare Korrekturen einleiten und in der Antwort dokumentieren. Wer auf die ersten Wochen mit Schweigen oder Verzögerung reagiert, beschädigt die eigene Position erheblich.
Wie integrieren wir DSGVO und NIS2 in eine konsistente Compliance-Architektur?
Drei Bausteine: Ein gemeinsames Compliance-Komitee mit IT-Sicherheit, Datenschutz, Recht und Risiko-Management; ein integriertes Incident-Response-Playbook mit 24/72-Stunden-Meldeprozessen für beide Regelwerke; ein gemeinsames Audit-Trail-System für Sicherheits- und Datenschutz-Logs. Wer diese drei Bausteine implementiert, hat sowohl die DSGVO- als auch die NIS2-Architektur in einem Aufwasch.
Netzwerk: Weiterlesen auf Security Today
- Praxisbericht aus dem Healthcare-Incident-Report April 2026
- NIS2-Compliance-Detail aus den Messenger-Pflichten 2026
- MFA-Architektur in der Adaptive-MFA-Compliance-Sicht
Quelle Titelbild: KI-generiert mit Google Imagen 4 Fast, SynthID-verifiziert
