EU AI Act: Deutsche Unternehmen drohen Millionenstrafen

Die Zeit läuft: Ab August 2026 überwacht die Bundesnetzagentur die Einhaltung des EU AI Acts – doch 78 Prozent der mittelständischen Unternehmen sind nicht vorbereitet. Wer jetzt nicht handelt, riskiert Bußgelder von bis zu 35 Millionen Euro.

Die Governance-Lücke im Mittelstand

Eine aktuelle Marktanalyse offenbart ein erschreckendes Bild: Mehr als drei Viertel der deutschen KMU haben keine formale KI-Governance-Struktur. Dabei beginnt die Bundesnetzagentur (BNetzA) bereits am 2. August 2026 mit den ersten Kontrollen. Die finanziellen Risiken sind enorm: Unternehmen drohen Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Viele Firmen unterschätzen die neuen Anforderungen des AI Acts, dabei gelten erste EU-KI-Pflichten bereits seit August 2024. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen, den Ihre IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Besonders alarmierend: 83 Prozent der befragten Firmen führen kein KI-Register – eine grundlegende Voraussetzung für die Nachverfolgung algorithmischer Systeme. Zudem haben 74 Prozent der Unternehmen noch keine verantwortliche Person für KI-Compliance benannt.

Einige Beratungshäuser reagieren bereits mit speziellen Programmen. Sechs-Wochen-Compliance-Sprints sollen Unternehmen bis zur Frist auditfähig machen. Der Fokus liegt auf Überwachungsstrukturen, die der Markt derzeit großflächig vermissen lässt.

KI-Assistenten entlasten Datenschutzteams

Während die Governance noch in den Kinderschuhen steckt, treibt die Automatisierung die technische Umsetzung von Datenschutzaufgaben rasant voran. Dokumentation und Koordination verschlingen rund 75 Prozent der Arbeitszeit in Datenschutzteams. Abhilfe schaffen KI-Assistenten, wie sie etwa das Berliner Unternehmen caralegal entwickelt hat.

Die Helfer erstellen automatisiert Pflichtdokumente wie:
- Verzeichnisse von Verarbeitungstätigkeiten (VVT)
- Datenschutz-Folgenabschätzungen (DSFA)
- Technische und organisatorische Maßnahmen (TOM)

Erste Anwender berichten von Zeitersparnissen zwischen 60 und 75 Prozent. Die wahre Stärke der Tools: Sie strukturieren Informationen aus verschiedenen Fachabteilungen, die sonst ungeordnet blieben. Allerdings ersetzen sie keine juristische Bewertung – sie schaffen nur Raum für menschliche Experten, sich auf die wirklich kniffligen Risikobewertungen zu konzentrieren.

Drei Bundesländer gründen KI-Zukunftsbund

Eine wegweisende Initiative startete Anfang Mai im öffentlichen Sektor. Am 7. Mai 2026 schlossen Nordrhein-Westfalen, Hessen und Baden-Württemberg den „KI-Zukunftsbund". Die Kooperation läuft bis Ende 2028 und zielt auf eine gemeinsame Plattformarchitektur für die öffentliche Verwaltung.

Das Bündnis setzt auf offene Standards und strikten Datenschutz. Durch die Zusammenarbeit bei Projekten wie NRW.Genius, KIVA in Baden-Württemberg und AIGude in Hessen entsteht ein skalierbares Ökosystem ohne proprietäre Abhängigkeiten. Der „Privacy-by-Design"-Ansatz auf Infrastrukturebene soll sicherstellen, dass generative KI auch in Behörden europäischen Souveränitätsanforderungen genügt.

Gericht stärkt Rechtssicherheit bei Datenverarbeitung

Das Amtsgericht Nürnberg sorgte mit einem Urteil vom 9. Juli 2025 für Klarheit beim oft diskutierten „Kopplungsverbot". Die Richter bestätigten: Die Einwilligung zur Datenverarbeitung kann auch bei Vertragsabschluss freiwillig sein – solange der Anbieter keine Monopolstellung hat.

Weitere Kernaussagen des Urteils:
- Die Übermittlung positiver Daten an Auskunfteien ist als „berechtigtes Interesse" nach Artikel 6 DSGVO zulässig, insbesondere zur Betrugsprävention
- Für Schadensersatz nach Artikel 82 DSGVO muss ein konkreter, individueller Schaden nachgewiesen werden – ein bloßes „Unbehagen" reicht nicht

Wer als Datenschutzbeauftragter oder Verantwortlicher die Einhaltung aller Vorschriften im Unternehmen lückenlos belegen möchte, benötigt eine saubere Dokumentation. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und rechtssicher. Gratis Muster-Verarbeitungsverzeichnis herunterladen

Ransomware-Angriff erschüttert Gesundheitssektor

Die Sicherheitslage bleibt angespannt. Mitte Mai 2026 meldeten Behörden in Niedersachsen einen schweren Ransomware-Angriff auf Arwini e.V. , einen Verband für Gesundheitsaudits. Die Gruppe „Kairos" bekannte sich zu der Attacke, bei der rund 75.000 Datensätze mit sensiblen Gesundheits- und Abrechnungsinformationen gestohlen wurden.

Die Täter stellten am 11. Mai 2026 einen 2,87 Terabyte großen Datensatz zum Verkauf. Der Vorfall löste internationale Polizeiermittlungen aus und unterstreicht die Dringlichkeit robuster Sicherheitsprotokolle – besonders bei sensiblen Datenkategorien.

Ausblick: Der DPO wird zum Technikexperten

Die Rolle des Datenschutzbeauftragten (DSB) wandelt sich rasant. Die TÜV NORD Akademie bietet ab Mitte Juni 2026 spezielle Zertifizierungskurse in Hamburg an, die den EU AI Act mit bestehenden DSGVO-Rahmenwerken verknüpfen.

Mit der August-Frist der BNetzA vor Augen rechnet die Branche mit einer welle von „Audit-Readiness"-Initiativen. Die erfolgreiche integration von KI-Assistenten in den Compliance-Workflow wird entscheiden, welche Organisationen mit den regulatorischen Anforderungen Schritt halten können. Bis 2028 dürften die Plattformarchitekturen des KI-Zukunftsbunds zum Blaupause werden – für öffentliche wie private Einrichtungen, die Innovation und europäische Datensouveränität vereinen wollen.

de | wirtschaft | 69375655 |