EU AI Act ab 2. August: Hochrisiko-KI kostet bis zu 35 Millionen Euro Bußgeld
22.06.2026 - 20:50:08 | boerse-global.de
Mit Urteil vom 18. Juni (Az. C-484/24) stellen die Richter klar: Ein Datenschutzverstoß führt nicht automatisch zum Beweisverwertungsverbot. Allerdings müssen nationale Gerichte streng prüfen, ob die Nutzung solcher Daten verhältnismäßig ist.
Verhältnismäßigkeit statt Automatismus
Auslöser des Verfahrens war ein handfester Arbeitsrechtsstreit: Die NTH Haustechnik GmbH forderte von einer Ex-Mitarbeiterin rund 46.000 Euro Schadensersatz. Der Vorwurf: Sie soll während der Arbeitszeit privat auf eBay verkauft haben. Das Problem: Der Arbeitgeber hatte sich Zugriff auf ihr privates Konto verschafft – über den Sohn der Frau.
Anzeige: Ab August 2026 gelten strenge Regeln für Hochrisiko-KI-Systeme – bei Verstößen drohen Bußgelder bis zu 35 Mio. Euro. Mit unserer kostenlosen Checkliste prüfen Sie in 10 Minuten, ob Ihre KI betroffen ist und welche Schritte Sie jetzt einleiten müssen. Compliance-Checkliste per E-Mail anfordern
Der EuGH entschied nun: Eine rechtswidrige Datensammlung macht die spätere gerichtliche Verwertung nicht zwangsläufig unzulässig. Nationale Gerichte müssen im Einzelfall abwägen. Die entscheidende Frage: Überwiegt der Schutz der Privatsphäre oder das Interesse an der Rechtsdurchsetzung?
Ein automatisches Verwertungsverbot lasse sich aus der DSGVO nicht ableiten, so die Richter. Das entspricht einem Trend: Formale Datenschutzfehler sollen die Sachverhaltsaufklärung nicht komplett blockieren – solange die Grundrechte gewahrt bleiben.
Strenge Regeln für Messenger-Überwachung
Anders sieht es bei der Überwachung von Dienst-Messengern aus. Hier gelten klare Grenzen:
- Ist die Privatnutzung untersagt: Überwachung grundsätzlich erlaubt
- Ist die Privatnutzung erlaubt: Überwachung weitgehend tabu
Ausnahmen gibt es nur bei konkretem Verdacht auf Straftaten oder schwere Pflichtverletzungen. Dann muss die Kontrolle verhältnismäßig und offen erfolgen – und der betroffene Mitarbeiter sowie der Datenschutzbeauftragte müssen anwesend sein. Gibt es einen Betriebsrat, ist dieser zwingend hinzuzuziehen.
Die Bedeutung solcher Verfahrensgarantien zeigte Anfang des Jahres ein spanisches Gericht. Das TSJ País Vasco erklärte am 24. Februar eine Kündigung für nichtig: Der Arbeitgeber hatte ein Geständnis in einem internen Gespräch ohne rechtlichen Beistand erwirkt. Das verletze das Recht, sich nicht selbst belasten zu müssen.
Betriebsräte in der Pflicht
Nicht nur Arbeitgeber müssen aufpassen. Auch Arbeitnehmervertretungen geraten zunehmend in den datenschutzrechtlichen Fokus. Das Hessische Landesarbeitsgericht bestätigte im März 2025 den Ausschluss eines Betriebsratsvorsitzenden. Grund: Er hatte eine Personalliste mit sensiblen Daten an private E-Mail-Adressen weitergeleitet – und das trotz vorheriger Abmahnung.
Neue Herausforderungen durch den EU AI Act
Ab dem 2. August 2026 kommen zusätzliche Pflichten auf Unternehmen zu. Dann treten die Compliance-Regeln für Hochrisiko-KI-Systeme in Kraft. Betriebsräte müssen Risikoanalysen und Governance-Frameworks etablieren. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro.
Die Landesdatenschutzbeauftragten forderten bereits im Juni 2026 standardisierte Prüfverfahren – die sogenannten „Stuttgarter Impulse“. Ziel: Die Einführung solcher Systeme rechtssicher gestalten.
Auch bei Testdaten müssen Unternehmen umdenken. Wer etwa in SAP-Umgebungen mit echten Daten arbeitet, handelt rechtswidrig – das gilt als Zweckdurchbrechung. Gefragt sind stattdessen Tools zur Pseudonymisierung.
Anzeige: Betrifft Ihr Unternehmen Hochrisiko-KI? Die kostenlose Checkliste zeigt Ihnen, welche Systeme unter den EU AI Act fallen, wie Sie eine Risikoanalyse durchführen und welche Governance-Pflichten auf Sie zukommen. Checkliste jetzt anfordern
Haftungsgrenzen bei Datenlecks
Das Sozialgericht Nürnberg hat mit Urteil vom 10. Juni die Haftung bei Datenpannen präzisiert. Im Fall des MOVEit-Datenlecks wies das Gericht eine Klage ab. Der Grund: Der Verantwortliche konnte angemessene technische und organisatorische Maßnahmen (TOM) nachweisen.
Ein erfolgreicher Hackerangriff allein begründet keine Haftung – besonders wenn eine Sicherheitslücke im Code eines Softwareherstellers ausgenutzt wurde, die dem Unternehmen nicht zuzurechnen ist. Und: Ohne nachweisbaren Schaden gibt es auch keinen Anspruch auf Entschädigung nach Artikel 82 DSGVO.
