Datenschutz-Roundup Mai 2026: Uniklinik-Datenleck, 100-Mio-Bußgeld und der KRITIS-Countdown

Inhalt in Kürze

• 120.000+ Patienten betroffen: Ein Angriff auf den Abrechnungs-Dienstleister Unimed traf gleich mehrere Unikliniken — die Lehre für jedes KMU: Sie haften für Datenpannen Ihrer Dienstleister mit.
• 100 Mio. € Bußgeld gegen die Yandex-Tochter MLU B.V. (Yango) wegen Datentransfers nach Russland — Drittlandtransfers bleiben das teuerste DSGVO-Risiko.
• KRITIS-Countdown: Neben der BSI-Registrierung läuft jetzt die Frist zur BBK-Registrierung bis 17. Juli 2026 — NIS2 betrifft inzwischen rund 30.000 statt 4.500 Einrichtungen.
• AI Act wird konkret: Mit dem KI-MIG wird die Bundesnetzagentur zur zentralen KI-Aufsicht; die Bußgeld-Durchsetzung für General-Purpose-KI startet im August 2026.

Der Mai 2026 hatte es in sich: ein Datenleck mit sechsstelliger Betroffenenzahl, ein dreistelliges Millionen-Bußgeld und gleich zwei Regulierungs-Fristen, die näher rücken. Wir sortieren die vier Entwicklungen, die für den Mittelstand wirklich zählen — und sagen Ihnen jeweils, was konkret zu tun ist.

1. Uniklinik-Datenleck: Wenn der Dienstleister zur Schwachstelle wird

Mitte April verschafften sich Angreifer Zugang zur IT der Unimed Abrechnungsservice GmbH, einer privatärztlichen Verrechnungsstelle. Bekannt wurde der Vorfall Ende Mai. Betroffen: Stammdaten, Abrechnungsinformationen und teils Diagnosen von mehr als 120.000 Privatpatienten — über mehrere Universitätskliniken hinweg, darunter Freiburg (rund 54.000 Datensätze) und Köln (rund 30.000).

Das Brisante: Nicht eine Klinik wurde gehackt, sondern ein Dienstleister, der für viele arbeitet. Genau diese Konstellation ist der Alltag fast jedes Unternehmens, das Lohnbuchhaltung, Cloud oder Abrechnung auslagert.

Was KMU jetzt tun sollten: Dienstleister-Verzeichnis führen, jeden Auftragsverarbeitungsvertrag auf Meldepflichten und Sicherheitsmaßnahmen prüfen und kritische Dienstleister regelmäßig neu bewerten. Die Details haben wir im Beitrag Dienstleister gehackt — wer haftet? aufgeschrieben.

2. 100 Mio. € Bußgeld: Drittlandtransfers bleiben das teuerste Risiko

Die niederländische Datenschutzbehörde verhängte — koordiniert mit Finnland und Norwegen — ein Bußgeld von 100 Millionen Euro gegen die Yandex-Tochter MLU B.V., Betreiberin des Fahrdienstes Yango. Vorwurf: unrechtmäßige Übermittlung personenbezogener Daten nach Russland, ohne tragfähige Rechtsgrundlage.

Der Fall ist ein Lehrstück für ein Thema, das viele KMU unterschätzen: Sobald Sie Tools einsetzen, die Daten außerhalb der EU verarbeiten — von US-Cloud-Diensten bis zu außereuropäischen Dienstleistern — brauchen Sie eine saubere Grundlage (EU-US Data Privacy Framework, Standardvertragsklauseln plus Transfer-Folgenabschätzung).

3. KRITIS-Countdown: Zwei Registrierungen, eine Frist rückt näher

Das NIS2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft, das KRITIS-Dachgesetz wurde Ende Januar 2026 verabschiedet. Zusammen weiten sie den Kreis der regulierten Unternehmen massiv aus — von rund 4.500 auf etwa 30.000 Einrichtungen.

Wichtig für Betroffene: Es gibt jetzt zwei Registrierungen. Die beim BSI (IT-Sicherheit) und — neu durch das Dachgesetz — die beim BBK für den physischen Schutz, mit Frist bis 17. Juli 2026. Während NIS2 auf Cybersecurity zielt, adressiert das Dachgesetz Naturgefahren, Sabotage und hybride Bedrohungen.

1. Betroffenheit klären: Fallen Sie unter NIS2 (ab 50 Mitarbeitenden / 10 Mio. € Umsatz in einem der 18 Sektoren) oder über die Lieferkette?
2. Registrierungen vormerken: BSI-Registrierung (IT) und BBK-Registrierung (physischer Schutz, bis 17. Juli 2026) sind getrennte Pflichten.
3. Lieferkette absichern: Auch wer nicht direkt betroffen ist, wird über NIS2-pflichtige Kunden in die Pflicht genommen — Stichwort Lieferketten-Compliance.

„Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber aufgrund der Lieferkette ein wichtiger Bestandteil sind. Die Fristen wirken weit weg, aber die Nachweise dafür baut man nicht in einer Woche auf."

Nils OehmichenDatenschutzberater bei frag.hugo

4. AI Act wird konkret: KI-MIG, Bundesnetzagentur und der Digital Omnibus

Auf EU-Ebene ringt der Rat um den Digital Omnibus on AI, der einzelne Umsetzungsfristen des AI Act anpassen soll. National hat Deutschland mit dem Kabinettsentwurf für das KI-MIG (KI-Marktüberwachungs- und Innovationsförderungsgesetz) die Weichen gestellt: Die Bundesnetzagentur wird zur zentralen KI-Aufsicht, die BaFin übernimmt KI im Finanzsektor.

Für Unternehmen relevant: Die Pflichten für General-Purpose-KI greifen schrittweise, die formale Durchsetzung mit Bußgeldern startet im August 2026. Wer KI im Betrieb einsetzt, sollte jetzt eine KI-Richtlinie, ein Verzeichnis der eingesetzten Systeme und die KI-Kompetenzpflicht nach Art. 4 AI Act auf dem Schirm haben.

Fazit: Aus den Schlagzeilen werden Hausaufgaben

Die Mai-Meldungen wirken wie Einzelfälle, haben aber denselben Kern: Verantwortung lässt sich nicht auslagern, und Fristen kommen schneller als gedacht. Die gute Nachricht — die nötigen Schritte sind machbar, wenn man sie nicht aufschiebt.

Häufige Fragen (FAQ)

Wer haftet, wenn ein Abrechnungs-Dienstleister gehackt wird?

Gegenüber den betroffenen Personen haftet der Verantwortliche — also das Unternehmen, das die Daten erhoben hat — auch bei einer Panne beim Auftragsverarbeiter. Nach Art. 82 DSGVO haften beide gesamtschuldnerisch; der Verantwortliche kann den Dienstleister anschließend in Regress nehmen. Ein geprüfter Auftragsverarbeitungsvertrag (AVV) ist dabei die Grundlage der Verteidigung.

Bis wann müssen sich KRITIS-Betreiber 2026 registrieren?

Es gibt zwei Fristen: die Registrierung beim BSI (IT-Sicherheit, NIS2-Umsetzungsgesetz) und — neu durch das KRITIS-Dachgesetz — die Registrierung beim BBK für den physischen Schutz bis spätestens 17. Juli 2026. Betroffene Einrichtungen brauchen beide.

Wie hoch war das DSGVO-Bußgeld gegen Yango im Mai 2026?

Die niederländische Datenschutzbehörde verhängte — koordiniert mit Finnland und Norwegen — 100 Millionen Euro gegen die Yandex-Tochter MLU B.V. (Betreiberin von Yango) wegen unrechtmäßiger Übermittlung personenbezogener Daten nach Russland. Der Fall zeigt: Drittlandtransfers ohne tragfähige Rechtsgrundlage sind ein Top-Bußgeldrisiko.

Was ist das KI-MIG und wer wird KI-Aufsichtsbehörde in Deutschland?

Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) setzt den EU AI Act national um. Nach dem Regierungsentwurf wird die Bundesnetzagentur die zentrale KI-Aufsichtsbehörde; die BaFin übernimmt KI-Systeme im Finanzsektor. Die Bußgeld-Durchsetzung für General-Purpose-KI startet im August 2026.

Was sollten KMU nach den Mai-Entwicklungen konkret tun?

Drei Dinge: (1) Dienstleister-Verzeichnis und AVV prüfen — Sie haften für Pannen Ihrer Auftragsverarbeiter mit. (2) Drittlandtransfers (US-/Nicht-EU-Tools) auf Rechtsgrundlage und Standardvertragsklauseln kontrollieren. (3) NIS2-Betroffenheit klären und die Registrierungsfristen im Blick behalten.