Datenschutz: NIS2-Frist 31. Juli, AI Act ab 2. August 2026
18.06.2026 - 01:17:59 | boerse-global.de
000 Euro gegen die Deutsche Wohnen SE bestätigt. Der Immobilienkonzern hatte Mieterdaten ohne systematischen Löschmechanismus archiviert.
Ursprünglich forderte die Berliner Datenschutzbehörde 14,5 Millionen Euro. Das Gericht reduzierte die Summe deutlich – unter anderem, weil das Unternehmen externe Berater eingebunden hatte und die DSGVO in der Anfangsphase noch Interpretationsspielraum ließ.
Doch der Fall macht klar: Sobald der Zweck der Datenerhebung entfällt, müssen die Daten gelöscht werden. Die Beweislast für ordnungsgemäße Löschkonzepte liegt beim Unternehmen.
Anzeige: Wer die NIS2-Frist bis 31. Juli 2026 noch nicht erledigt hat, riskiert Bußgelder bis 500.000 Euro. Parallel dazu kommen ab August 2026 die AI-Act-Auflagen – mit Strafen bis 35 Millionen Euro. Dieser Report liefert Checkliste, Muster-VVT und KI-Inventur-Vorlage. Jetzt kostenlosen Compliance-Report anfordern
Ransomware-Angriff auf Telemedizin-Verbund
Ein schwerwiegender Sicherheitsvorfall in der DACH-Region zeigt die operativen Risiken. Mitte Juni 2026 gelangten bei einem Ransomware-Angriff hochsensible Gesundheitsdaten, Ausweiskopien und Laborbefunde in Leak-Foren.
Für betroffene Unternehmen wird es jetzt eng: Nach Artikel 33 DSGVO müssen sie die Aufsichtsbehörden innerhalb von 72 Stunden informieren. Da es sich um Gesundheitsdaten handelt, drohen bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.
Zusätzlich müssen betroffene Personen unverzüglich informiert werden – sofern ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Systematisches Datenschutzmanagement wird Pflicht
Experten raten Unternehmen zur Einführung eines Datenschutzmanagement-Systems (DSMS). Damit lassen sich die Nachweispflichten strukturiert erfüllen. Die Kernbestandteile:
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Die Pflicht nach Artikel 30 gilt für fast jedes Unternehmen. Die Ausnahme für Betriebe mit unter 250 Beschäftigten greift in der Praxis selten.
- Technische und organisatorische Maßnahmen (TOM): Die Dokumentation der IT-Sicherheit nach Artikel 32 ist essenziell.
- Datenschutz-Folgenabschätzung (DSFA): Pflicht bei risikoreichen Verarbeitungen oder neuen Technologien.
Ein DSMS bietet zudem Synergien mit NIS2 und dem EU AI Act.
NIS2-Frist läuft – AI Act rückt näher
Das Bundesamt für Sicherheit in der Informationstechnik mahnt zur Registrierung nach der NIS2-Richtlinie. Nachdem die ursprüngliche Frist im März verstrichen war, gilt nun der 31. Juli 2026. Unternehmen, die sich nicht registrieren, riskieren Bußgelder von bis zu 500.000 Euro.
Parallel dazu kommt der EU AI Act: Ab dem 2. August 2026 gelten strenge Governance-Auflagen für Hochrisiko-KI-Systeme. Gefordert sind detaillierte Inventuren, Risikoanalysen und klare Verantwortlichkeiten. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Anzeige: Das Landgericht Berlin bestätigte ein Bußgeld von 900.000 Euro gegen einen Immobilienkonzern – wegen fehlender Löschkonzepte. Der Fall zeigt: Ohne systematisches Datenschutzmanagement wird es teuer. Dieser Report hilft Ihnen, DSGVO-Nachweise, NIS2-Registrierung und AI-Act-Vorbereitung in einem Schritt zu erledigen. DSGVO-NIS2-AI-Act-Report jetzt sichern
Gerichte konkretisieren Informationspflichten
Der Oberste Gerichtshof in Österreich entschied am 20. Mai 2026: Buchungsplattformen müssen Kunden nach Vertragsabschluss die ladungsfähige Anschrift privater Vermieter mitteilen. Datenschutzrechtliche Einwände zur Datenminimierung wies das Gericht zurück – der Kunde brauche die Information für Gewährleistungsansprüche.
Der Europäische Gerichtshof stellte in der Rechtssache C-394/23 klar: Berechtigte Interessen als Rechtsgrundlage müssen konkret benannt werden. Eine pauschale Berufung reicht nicht aus.
