EU AI Act: Bußgelder bis 35 Millionen Euro ab August für KMU

Europäische Aufsichtsbehörden kündigen härtere Prüfungen an – besonders für kleine und mittlere Unternehmen.

Frankreich macht den Anfang

Die französische Datenschutzbehörde CNIL will die Kontrollen bei KMU deutlich verschärfen. Das gab sie am 4. Juni bekannt. Im Fokus stehen künftig Verarbeitungsverzeichnisse, Sicherheitsaudits, Cookie-Implementierungen und die Benennung von Datenschutzbeauftragten.

Anzeige: Die neuen Bußgelder des EU AI Act treffen KMU ab August mit bis zu 35 Millionen Euro. Wer jetzt keine KI-Governance aufbaut, riskiert persönliche Haftung. Dieser Report liefert Ihnen die entscheidende Checkliste und Muster-Vorlagen. Jetzt kostenlosen Report anfordern

Die Strafen sind happig: Bei Verstößen drohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

EU AI Act: Noch höhere Strafen ab August

Doch das ist erst der Anfang. Ab dem 2. August tritt der EU AI Act in Kraft. Er verlangt umfassende Governance-Pflichten für den Einsatz Künstlicher Intelligenz. Unternehmen müssen die Einhaltung nachweisen können.

Die Bußgelder für KMU können bis zu 35 Millionen Euro erreichen. Eine Umfrage des Ifo-Instituts vom Mai zeigt die Brisanz: Bereits 54,5 Prozent der deutschen Unternehmen nutzen KI. Die Kennzeichnungspflicht für KI-Inhalte wird zur Chefsache – bei Versäumnissen haftet die Geschäftsführung persönlich.

NIS-2: Persönliche Haftung für Chefs

Das NIS-2-Umsetzungsgesetz ist seit Anfang 2026 in Kraft. Betroffen sind Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über 10 Millionen Euro. Sie müssen sich beim BSI identifizieren, ein Risikomanagement aufbauen und Sicherheitsvorfälle melden.

Besonders brisant: Die Geschäftsleitung kann ihre Verantwortung für Cybersicherheit nicht delegieren. Bei Verstößen drohen Bußgelder von bis zu 500.000 Euro für Führungskräfte.

In Österreich kommt ein weiterer Punkt hinzu. Unternehmen müssen aktive Geheimhaltungsmaßnahmen dokumentieren, um Geschäftsgeheimnisse zu schützen. Ohne Nachweise entfällt der Anspruch auf Schadenersatz bei Datenabflüssen.

Digitale Helfer für den Datenschutz

Die neue Komplexität verlangt nach digitalen Lösungen. Anfang Juni wurde die „Data Protection Cockpit App“ vorgestellt. Sie hilft bei der Aufgabenverwaltung und der Bearbeitung von Betroffenenanfragen.

Branchenanalysten empfehlen zudem, Cloud-Prüfberichte wie ISO 27001 in konkrete Aufgaben zu übersetzen. Nachweiskarten pro Service sollen Verantwortlichkeiten und anstehende Reviews transparent machen.

Die Kosten der Nachlässigkeit

Die wirtschaftlichen Risiken sind enorm. Laut Marktdaten stiegen die durchschnittlichen Kosten pro Datenleck bis Frühjahr 2026 auf 4,5 Millionen Euro – ein Plus von 25 Prozent gegenüber 2020. Etwa 62 Prozent der Sicherheitsverletzungen haben eine menschliche Komponente.

Anzeige: Persönliche Haftung der Geschäftsführung bei KI-Verstößen – das NIS-2-Gesetz macht es zur Chefsache. Mit unserer Schritt-für-Schritt-Anleitung und Tool-Übersicht bleiben Sie auf der sicheren Seite. Compliance-Fahrplan jetzt sichern

Europas Weg in die digitale Unabhängigkeit

Parallel zu den Verschärfungen treibt die EU-Kommission die technologische Souveränität voran. Am 3. Juni wurde ein entsprechendes Paket vorgestellt. Ziel: Die Abhängigkeit von US-Anbietern verringern, die derzeit über 70 Prozent des Cloud-Marktes kontrollieren.

Der „Cloud and AI Development Act“ sieht vor, europäische Anbieter bei öffentlichen Aufträgen zu bevorzugen. Die jährlichen Kosten der Abhängigkeit werden auf 264 Milliarden Euro geschätzt – eine Summe, die Europa langfristig senken will.

de | wirtschaft | 69496553 |