DSGVO wird zehn: Rekordstrafen und neue KI-Regeln setzen Unternehmen unter Druck

Seit ihrem Inkrafttreten am 24. Mai 2016 hat sich die DSGVO zum globalen Maßstab für Privatsphäre entwickelt. Doch der runde Geburtstag kommt zu einer Zeit, in der die Regulierungswelle neue Höhen erreicht: Die kumulierten Bußgelder haben erstmals die Sechs-Milliarden-Euro-Marke geknackt, während die EU mit dem AI Act die nächste große Regulierungswelle vorbereitet.

Die steigenden Bußgelder und die verschärfte Rechtsprechung machen eine lückenlose Dokumentation für Unternehmen zur Pflicht. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr rechtssicheres Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und professionell. Kostenlose Muster-Vorlage jetzt gratis herunterladen

Rekordstrafen und persönliche Haftung für Geschäftsführer

Die finanzielle Durchschlagskraft der DSGVO ist unübersehbar. Laut Branchenverbänden überstiegen die Gesamtstrafen im März 2026 die Schwelle von sechs Milliarden Euro. Parallel dazu schärfen Gerichte die Verantwortlichkeiten der Unternehmensführung.

Ein wegweisendes Urteil des OLG Dresden sorgt derzeit für Aufsehen: Demnach können Geschäftsführer einer GmbH persönlich für Datenschutzverstöße haftbar gemacht werden. Das Gericht begründete dies damit, dass der Geschäftsführer als „Verantwortlicher“ im Sinne der DSGVO gilt. Für Führungskräfte deutscher Unternehmen bedeutet das: Datenschutz ist nicht länger delegierbar, sondern Chefsache mit persönlichem Risiko.

Die Rechtsprechung präzisiert zudem die technischen Anforderungen. Das VG Düsseldorf entschied am 2. April 2026, dass eine Transportverschlüsselung (TLS) für E-Mails ausreichen kann – solange keine besonders sensiblen Daten übermittelt werden. Eine Ende-zu-Ende-Verschlüsselung sei nicht pauschal vorgeschrieben, sondern hänge von einer Risikobewertung ab. Allerdings mahnten die Richter zugleich: Formale Fehler wie die Überschreitung der Ein-Monats-Frist für Auskunftsersuchen bleiben weiterhin abmahnfähig.

Cyberangriff auf Unimed: 100.000 Patientendaten betroffen

Aktuelle Sicherheitsvorfälle zeigen, wie real die Bedrohungslage ist. Am vergangenen Freitag traf ein Cyberangriff den Abrechnungsdienstleister Unimed. Rund 100.000 Patientendatensätze aus ganz Deutschland gelangten in falsche Hände. Betroffen sind Namen, Adressen und Arztinformationen. Der Klinikbetrieb selbst blieb zwar unbeeinträchtigt, doch Rechtsanwälte betonen: Betroffene haben nun Anspruch auf Auskunft und möglicherweise Schadensersatz nach Artikel 82 DSGVO.

KI-Kennzeichnungspflicht ab August 2026

Der regulatorische Fokus verschiebt sich zunehmend von klassischem Datenschutz hin zur Künstlichen Intelligenz. Mit dem EU AI Act treten am 2. August 2026 neue Transparenzpflichten in Kraft. Dann müssen KI-generierte Texte, Bilder, Videos und Audiodateien gekennzeichnet werden. Ausnahmen gelten nur für Redaktionen, die namentlich die Verantwortung für ihre Inhalte übernehmen.

Bremen geht bereits voran: Im Mai 2026 verabschiedete das Bundesland die erste umfassende Dienstvereinbarung zum KI-Einsatz in der öffentlichen Verwaltung. Der dort seit Juli 2025 genutzte Textassistent „LLMoin“ darf nur unter menschlicher Kontrolle arbeiten. Endentscheidungen – etwa bei Einstellungsverfahren – müssen von Personal getroffen werden. Dies entspricht der Einstufung von Recruiting als Hochrisiko-Anwendung im EU AI Act.

Während die neue EU-KI-Verordnung bereits seit August 2024 gilt, stehen viele Unternehmen bei der Umsetzung der Risikoklassen und Dokumentationspflichten noch am Anfang. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer Rechts- und IT-Abteilung den dringend benötigten Überblick über alle Fristen und Pflichten. Kostenlosen KI-Verordnung-Leitfaden herunterladen

Urheberrecht: KI-Bild bleibt ohne Schutz

Das OLG Düsseldorf brachte am 2. April 2026 Klarheit in die Frage des Urheberrechtsschutzes von KI-Werken. Im konkreten Fall ging es um die Umwandlung eines Unterwasserfotos in eine Comic-Illustration. Das Gericht sah keine Urheberrechtsverletzung: Übernommen wurde nur das Motiv, nicht aber kreative Entscheidungen wie Kameraperspektive oder Lichtführung. Motive blieben gemeinfrei. KI-generierte Bilder seien nur unter extrem detaillierter menschlicher Steuerung und bei hoher Beweislast schützbar.

Geopolitische Spannungen: Trump stoppt KI-Erlass

Die europäische Regulierungswelle trifft auf eine zunehmend angespannte geopolitische Lage. Am vergangenen Freitag stoppte US-Präsident Trump eine geplante Executive Order zur KI-Regulierung. Hintergrund sollen Gespräche mit Tech-Größen wie Elon Musk und Mark Zuckerberg gewesen sein. Die Order hätte eine freiwillige 90-tägige Testphase für KI-Modelle vor der Veröffentlichung vorgesehen. Kritiker sprachen von einer „Innovationsbremse“, die internationalen Wettbewerbern nützen würde.

Am Samstag zog Kalifornien nach: Gouverneur Gavin Newsom erließ die erste US-Executive Order speziell zu KI-bedingten Arbeitsplatzverlusten. Vorgesehen sind Subventionen für Unternehmen, die Mitarbeiter halten, sowie der Ausbau von Umschulungsprogrammen. Branchengründer schätzen, dass bis zu 50 Prozent der Büroarbeitsplätze in den nächsten fünf Jahren von Automatisierung betroffen sein könnten.

NIS2 vs. CLOUD Act: Der Compliance-Konflikt

In Europa verschärft sich der Konflikt zwischen der NIS2-Richtlinie und dem US-amerikanischen CLOUD Act. Während NIS2 die persönliche Haftung von Vorständen für die Lieferkettensicherheit vorschreibt, erlaubt der CLOUD Act US-Behörden den Zugriff auf Daten bei amerikanischen Anbietern – unabhängig vom Serverstandort. Branchenanalysten warnen, dass Standardvertragsklauseln nicht mehr ausreichen, um ein gleichwertiges Schutzniveau zu gewährleisten. Unternehmen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes.

Compliance-Herausforderungen: Theorie und Praxis klaffen auseinander

Trotz klarer Rechtsrahmen tun sich viele Unternehmen mit der praktischen Umsetzung schwer. Eine Zoi-Studie unter 500 IT-Führungskräften großer Konzerne ergab: 76 Prozent testen KI-Agenten, aber nur 19 Prozent haben sie erfolgreich in Kernprozesse integriert. Haupthindernisse sind die Komplexität der bestehenden IT-Infrastruktur und fehlendes Spezialwissen.

Der bürokratische Aufwand bleibt ein Dauerbrenner. In Umfragen aus dem Jahr 2025 gaben 81 Prozent der Unternehmen an, dass die DSGVO Geschäftsprozesse verkompliziert habe. 97 Prozent beschrieben den laufenden Aufwand als hoch. Besonders brisant: 69 Prozent berichteten, dass Datenschutzanforderungen das Training von KI-Modellen behindert hätten. Rund 59 Prozent der KI-Projekte seien an Datenschutzbedenken gescheitert.

Ausblick: Digitale Souveränität als Ziel

Die kommenden Monate versprechen weitere Dynamik. Die GITEX AI Europe Ende Juni 2026 in Berlin wird sich voraussichtlich auf die Zukunft europäischer Cloud- und KI-Infrastruktur konzentrieren. Die EU-Kommission prognostiziert, dass bis 2028 rund 91 Prozent der Unternehmen in Cloud-Umgebungen migrieren werden.

Mit der nahenden KI-Kennzeichnungspflicht im August 2026 sind Unternehmen aufgefordert, ihre Software-Lieferketten zu inventarisieren. Der regulatorische Fokus verschiebt sich hin zur „digitalen Resilienz“, wie sie der Digital Operational Resilience Act (DORA) vorsieht – dessen Übergangsfrist bereits Anfang 2025 endete. Für die Wirtschaft wird die nächste Compliance-Phase wohl von der Integration der KI-Transparenz in bestehende DSGVO-Strukturen geprägt sein – bei gleichzeitiger Navigation zwischen europäischen Sicherheitsstandards und globalem Technologiewettbewerb.

de | wirtschaft | 69411710 |