AI Act ab August: Bußgelder bis 35 Millionen Euro drohen
23.06.2026 - 22:14:03 | boerse-global.de
Ein personeller Wechsel an der Spitze der Bundesbehörde, ein massiver Anstieg der Beschwerdezahlen und neue EU-Vorgaben treiben die Entwicklung.
Hennemann soll Specht-Riemenschneider ablösen
Am 25. Juni 2026 wählt der Bundestag einen neuen Bundesdatenschutzbeauftragten. Der Freiburger Rechtsprofessor Moritz Hennemann soll die Nachfolge von Louisa Specht-Riemenschneider antreten. Sie legte ihr Amt aus gesundheitlichen Gründen nieder.
Anzeige: Ab August 2026 drohen bei Verstößen gegen den EU AI Act Bußgelder von bis zu 35 Millionen Euro. Dieser Report liefert die drei wichtigsten Werkzeuge: Checkliste für Hochrisiko-KI, DSGVO-konformen Schulungsplan und NIS-2/DORA-Protokollierungsleitfaden. Jetzt kostenlosen Compliance-Report anfordern
Hennemann gilt als moderater Experte. Er setzt sich für eine Vereinfachung der DSGVO ein und fordert differenzierte Regeln für Tech-Konzerne und Mittelständler.
Auch auf Landesebene gibt es Reformforderungen. Der niedersächsische Landesdatenschutzbeauftragte Denis Lehmkemper plädiert für eine Modernisierung der Aufsichtsstrukturen. Sein Vorschlag: Die Datenschutzkonferenz gesetzlich verankern und bindende Mehrheitsentscheidungen einführen.
Beschwerdezahlen explodieren – KI als Treiber
Der Handlungsdruck ist enorm. Die Berliner Datenschutzbeauftragte verzeichnete für 2025 insgesamt 9.224 Eingaben – ein Plus von 50 Prozent im Vergleich zum Vorjahr. Der Anstieg betrifft sowohl Beschwerden als auch Beratungsanfragen.
Besonders künstliche Intelligenz sorgt für Zulauf. Prüfungen zeigen häufig mangelnde Transparenz beim Training von KI-Systemen, etwa bei Online-Plattformen oder Inkassounternehmen.
Ein wichtiger Stichtag rückt näher: Ab dem 2. August 2026 gelten die Compliance-Anforderungen des EU AI Acts für Hochrisiko-KI-Systeme. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder ein erheblicher Anteil des weltweiten Jahresumsatzes.
Schulungspflicht: Unternehmen in der Pflicht
Die DSGVO gibt keine konkreten Intervalle für Mitarbeiterschulungen vor. Experten leiten aus Artikel 39 jedoch eine regelmäßige Sensibilisierungspflicht ab. Empfohlen wird eine jährliche Schulung für alle Mitarbeiter, die personenbezogene Daten verarbeiten. Bei neuen Systemen oder Datenpannen sind anlassbezogene Nachschulungen nötig.
Die Relevanz zeigt die aktuelle Rechtsprechung. Das Sozialgericht Nürnberg wies am 10. Juni 2026 die Klage einer Versicherten gegen ihre Krankenkasse ab – es ging um das MOVEit-Datenleck. Das Gericht stellte klar: Ein erfolgreicher Hackerangriff allein beweist noch keine unzureichenden technischen und organisatorischen Maßnahmen. Dennoch: Fehlende Schulungsnachweise können Bußgelder erhöhen und Haftungsrisiken für die Geschäftsführung verschärfen.
Eine Studie von Proton unter 3.000 europäischen Verbrauchern belegt die wachsende Sensibilität der Bürger. Vier von fünf Befragten achten bei der Wahl ihrer Dienstleister auf europäische Technologien. Rund 45 Prozent meiden Unternehmen, die Daten in den USA speichern.
NIS 2 und DORA: Neue Regeln, neue Herausforderungen
Anzeige: Die Beschwerdezahlen explodieren – allein Berlin verzeichnete 2025 ein Plus von 50 Prozent. Fehlende Schulungsnachweise können Bußgelder erhöhen und Haftungsrisiken für die Geschäftsführung verschärfen. Dieser Report zeigt, wie Sie Ihre Mitarbeiter DSGVO-konform schulen und Prüfungen sicher bestehen. Schulungsplan jetzt sichern
Die DSGVO ist nicht allein. Neue Richtlinien wie NIS 2 und die DORA-Anforderungen für den Finanzsektor erhöhen die Komplexität. NIS 2 verlangt unter anderem eine ausgebaute Protokollierung für Meldepflichten und die forensische Aufarbeitung von Vorfällen. Experten empfehlen ein zweistufiges Modell: Pseudonymisiertes Loggen im Normalbetrieb, De-Pseudonymisierung erst im Verdachtsfall nach dem Vier-Augen-Prinzip.
Finanzinstitute müssen ihre IKT-Risikosteuerung an die verschärften DORA-Vorgaben anpassen. Kritiker bemängeln oft unzureichende Risikoinventuren und isolierte Kontrollsysteme.
Hinzu kommt das Vergabebeschleunigungsgesetz, das am 1. Juli 2026 in Kraft tritt. Es sieht erhöhte Anforderungen an die Cybersicherheit im Vergaberecht vor.
