Datenschutz und KI: EU verschärft Regeln und verschiebt Fristen

Mitte Mai 2026 haben die EU-Behörden sowohl ihre Gangart bei grenzüberschreitenden Datentransfers verschärft als auch die Umsetzungsfristen für das KI-Gesetz angepasst. Treiber dieser Entwicklung sind das Digital-Omnibus-Paket, das Anfang Mai 2026 verabschiedet wurde, sowie die Ergebnisse der 5. Digitalministerkonferenz (DMK) in Hamburg. Das Ziel: einheitliche Standards bei gleichzeitigem Bürokratieabbau – und das in einem Umfeld, in dem Rekordstrafen und wechselnde Unternehmensrichtlinien die Compliance-Abteilungen auf Trab halten.

Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der rechtssicheren Dokumentation ihrer Datenverarbeitung. Dieser kostenlose Ratgeber bietet eine praxiserprobte Excel-Vorlage und Schritt-für-Schritt-Anleitung, um die gesetzliche Dokumentationspflicht effizient zu erfüllen. Muster-Verarbeitungsverzeichnis jetzt gratis herunterladen

Neue Fristen für Hochrisiko-KI-Systeme

Das am 7. Mai 2026 finalisierte Digital-Omnibus-Paket bringt vor allem eines: Zeit für die Wirtschaft. Die Anforderungen an Transparenz und Sicherheit für Hochrisiko-KI-Systeme müssen nun erst bis zum 2. Dezember 2027 erfüllt werden. Für bestimmte regulierte Produkte verlängert sich diese Frist sogar bis zum 2. August 2028. Unternehmen erhalten damit mehr Spielraum, um die notwendigen Governance-Strukturen aufzubauen.

Angesichts der neuen Fristen und Pflichten des EU AI Acts benötigen IT- und Rechtsabteilungen jetzt einen klaren Fahrplan für die Compliance. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Risikoklassen und Übergangsfristen der KI-Verordnung. Kostenloses E-Book zum EU AI Act sichern

Doch nicht alle Vorgaben wurden verschoben. Ein klares Signal setzen die EU-Staaten beim Kinderschutz: Ab dem 2. Dezember 2026 sind KI-Systeme verboten, die zur Erstellung von Missbrauchsmaterial eingesetzt werden. Ebenfalls ab Dezember 2026 greifen die Transparenzpflichten für KI-generierte Inhalte. Synthetische Medien müssen dann klar gekennzeichnet werden – ein wichtiger Schritt im Kampf gegen Desinformation.

Für kleine und mittlere Unternehmen gibt es zudem eine Ausweitung der Ausnahmeregelungen. Auch sogenannte „Small Mid-Caps" profitieren künftig von Erleichterungen – ein Balanceakt zwischen Sicherheit und Innovationsförderung.

Parallel zu diesen gesetzlichen Anpassungen rüsten die Tech-Giganten auf. OpenAI startete am 13. Mai 2026 die initiative „Trusted Access for Cyber" für sichere Interaktionen in digitalen Ökosystemen. Google präsentierte auf seiner I/O-Konferenz am 12. Mai 2026 neue Schutzfunktionen, darunter eine Live-Bedrohungserkennung für Android 17 und Anrufverifizierungsfunktionen gegen Betrug.

Rekordstrafe von 100 Millionen Euro

Die Aufsichtsbehörden zeigen ihre Zähne. Finnland, die Niederlande und Norwegen verhängten gemeinsam eine Rekordstrafe von 100 Millionen Euro gegen die Betreibergesellschaft des Yango-Dienstes, MLU B.V. Der Grund: unerlaubte Datentransfers nach Russland. Die Botschaft ist klar: Verstöße gegen die DSGVO bei internationalen Datenübertragungen werden gnadenlos geahndet.

Die Zahlen sprechen eine deutliche Sprache. Seit Inkrafttreten der DSGVO im Jahr 2018 wurden nach Angaben von Branchenforschern über 6.680 Einzelstrafen verhängt. Die Gesamtsumme der verhängten Bußgelder überstieg bereits im Juli 2024 die Marke von 4,2 Milliarden Euro.

Doch nicht nur in Europa steigt der Druck. Allein 2025 verabschiedeten acht US-Bundesstaaten neue Datenschutzgesetze, darunter Delaware, Iowa und New Jersey. Besonders streng: Maryland, dessen Regelungen seit Oktober 2025 Werbung an Minderjährige und Geofencing rund um Gesundheitseinrichtungen verbieten.

Ein umstrittener Schritt kommt von Meta. Am 8. Mai 2026 deaktivierte der Konzern die optionale Ende-zu-Ende-Verschlüsselung für Instagram-Direktnachrichten und kehrte zur einfacheren TLS-Verschlüsselung zurück. Begründung: zu geringe Nutzerakzeptanz. Kritiker sehen dahinter jedoch den Druck von Strafverfolgungsbehörden und Kinderschutzorganisationen, die in mehreren Bundesstaaten wie New Mexico juristisch gegen die Verschlüsselung vorgehen.

Deutschland setzt auf Bürokratieabbau

Die 5. Digitalministerkonferenz am 12. und 13. Mai 2026 in Hamburg brachte neue Leitlinien für die nationale Digitalisierung. Bundesdigitalminister Dr. Karsten Wildberger betonte den strategischen Kurswechsel: Weniger Bürokratie durch einheitliche Standards und offene Schnittstellen. Ziel ist ein nahtloser digitaler Verwaltungsprozess über alle Bundes- und Landesebenen hinweg.

Erste Erfolge zeigen sich auf Länderebene. Hessen meldete am 15. Mai 2026, dass seine neu eingerichtete Beratungsstelle gegen Hasskriminalität im Netz in den ersten drei Monaten über 450 Anfragen erhalten hat. Innenminister Roman Poseck betonte, der Fokus liege auf dem Opferschutz und der spezifischen Beratung für Betroffene.

Klarstellungen aus der Justiz

Die Gerichte liefern wichtige Entscheidungen zur Datenverarbeitung. Das Verwaltungsgericht Düsseldorf entschied am 2. April 2026, dass die Standard-TLS-Verschlüsselung für die Übermittlung nicht-sensibler Daten wie Namen per E-Mail ausreicht. Ein genereller Rechtsanspruch auf Ende-zu-Ende-Verschlüsselung besteht für solche Basisinformationen nicht.

Gleichzeitig stellte das Gericht klar: Eine sechsmonatige Verzögerung bei der Auskunftserteilung nach Artikel 15 DSGVO stellt zwar einen Verstoß dar, berechtigt den Betroffenen aber nicht automatisch zu einem Bußgeld gegen den Verantwortlichen. Die Aufsichtsbehörde muss den Fall neu bewerten.

Das Landgericht Köln befasste sich am 13. November 2025 mit der Schnittstelle von Arbeits- und Datenschutzrecht. Es entschied, dass ein Arbeitgeber Gehaltsdaten eines vermittelten Arbeitnehmers an eine Personalvermittlungsfirma herausgeben muss – selbst wenn der Arbeitnehmer widerspricht. Grundlage ist das „berechtigte Interesse" nach der DSGVO, da die Vermittlungsfirma vertraglich zur Verschwiegenheit verpflichtet war und die Daten für die Provisionsberechnung benötigte.

Sicherheit versus Privatsphäre

Die aktuelle Regulierungswelle spiegelt einen grundlegenden Konflikt wider: Sicherheit versus Privatsphäre. Die Rekordstrafe gegen Yango zeigt, dass Behörden keine Scheu mehr haben, Unternehmen für Datentransfers in Hochrisikoländer zu bestrafen. Gleichzeitig treibt die massive Zunahme von Cyberkriminalität die Debatte an. Bundesberichte aus dem Jahr 2025 beziffern die Schäden durch Cyberangriffe in Deutschland auf über 200 Milliarden Euro.

Ein Beispiel für diese Spannung: Googles Cloud Fraud Defense, vorgestellt am 22. April 2026. Das System verlangt Signaturen von der Google Play Integrity API und blockiert damit faktisch Nutzer datenschutzfreundlicher Betriebssysteme wie GrapheneOS. Kritiker sehen darin eine zunehmende Kriminalisierung von Privatsphäre.

Die Zahlen aus Österreich unterstreichen die Dringlichkeit: Die Meldestelle Stopline verzeichnete 2025 einen neuen Höchststand an illegalen Inhalten. Von über 75.000 Meldungen wurden 50,9 Prozent als illegal eingestuft. Die überwältigende Mehrheit betraf sexuellen Missbrauch von Minderjährigen – ein Fakt, der die Debatte um Verschlüsselung und Plattformzugang weiter anheizt.

Ausblick: Was Unternehmen jetzt wissen müssen

Für Unternehmen im europäischen Markt wird der Rest des Jahres 2026 und das Jahr 2027 von der Umsetzung des Digital-Omnibus-Pakets und des KI-Gesetzes geprägt sein. Ab dem 2. August 2026 haben Bürger das Recht, Erklärungen zu Entscheidungen von Hochrisiko-KI-Systemen zu verlangen. Die Pflicht zur Kennzeichnung KI-generierter Inhalte folgt im Dezember 2026.

Auch interne Governance-Strukturen sind gefragt. Immer mehr Einrichtungen wie das Klinikum Saarbrücken richten Meldesysteme nach dem Hinweisgeberschutzgesetz ein. Sie ermöglichen anonyme Meldungen von Rechtsverstößen mit garantierter Rückmeldung innerhalb von sieben Tagen.

Die Botschaft der Behörden ist eindeutig: Wer die Regeln ignoriert, riskiert nicht nur Millionenstrafen, sondern auch massiven Reputationsverlust. Systematische Prüfungen durch Dritte und das Prinzip „Privacy by Design" werden zum entscheidenden Wettbewerbsfaktor.

de | wirtschaft | 69338756 |