EU AI Act wird verbindlich: Bußgelder bis 35 Millionen Euro ab August
Veröffentlicht: 08.07.2026 um 22:39 Uhr, Redaktion boerse-global.de
Sie präzisieren den rechtlichen Rahmen für Künstliche Intelligenz und den Umgang mit personenbezogenen Daten.
Strengere Regeln für Anonymisierung
Die erste Richtlinie definiert klare Kriterien für die wirksame Anonymisierung von Daten. Damit Informationen rechtlich nicht mehr als personenbezogen gelten, müssen drei Bedingungen erfüllt sein: Die Identifikation von Einzelpersonen muss ausgeschlossen sein, die Verknüpfung verschiedener Datensätze darf keine Rückschlüsse zulassen, und indirekte Rückschlüsse müssen unmöglich sein.
Die Datenschützer unterscheiden zwischen einem kontextuellen und einem vereinfachten Ansatz. Unternehmen müssen im Einzelfall nachweisen, dass ihre Verfahren eine Re-Identifizierung dauerhaft verhindern. Die neuen Leitlinien stehen bis zum 30. Oktober 2026 zur öffentlichen Konsultation offen.
Web-Scraping für KI-Training unter Beobachtung
Die zweite Richtlinie befasst sich mit dem automatisierten Auslesen von Internetdaten. Der EDSA stellt klar: Die DSGVO greift uneingeschränkt, sobald personenbezogene Daten betroffen sind. Zwar können Entwickler ein „berechtigtes Interesse“ als Rechtsgrundlage anführen – das unterliegt jedoch strengen Abwägungen.
Besondere Kategorien wie Gesundheitsdaten, Religion oder politische Orientierung sind beim Web-Scraping grundsätzlich tabu. Parallel dazu hat der Madras High Court in Indien eine einstweilige Verfügung gegen das Scraping urheberrechtlich geschützter Reiseinhalte erlassen. Es ist eine der ersten gerichtlichen Entscheidungen in Indien zum Schutz von Inhalten gegen KI-Scraper.
EU AI Act wird verbindlich
Die neuen Richtlinien flankieren den EU AI Act. Dessen Transparenzpflichten für Hochrisiko-KI-Systeme werden ab dem 2. August 2026 verbindlich. Unternehmen müssen dann strengere Anforderungen an Genauigkeit, Robustheit und Cybersicherheit erfüllen. Ein besonderer Fokus liegt auf dem Schutz vor „Data Poisoning“ – der gezielten Manipulation von Trainingsdaten.
Angesichts der neuen EU-KI-Verordnung müssen Unternehmen ihre IT- und Rechtsabteilungen jetzt zügig auf die kommenden Anforderungen vorbereiten. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihnen den nötigen Überblick über Fristen, Pflichten und Risikoklassen. EU AI Act in 5 Schritten verstehen
Verstöße können teuer werden: Bußgelder von bis zu 35 Millionen Euro sind möglich. Der Bundestag hat bereits am 11. Juni 2026 das KI-Durchführungsgesetz verabschiedet. Die Bundesnetzagentur wird zur zentralen Marktüberwachungsbehörde ernannt, sofern keine anderen Fachbehörden zuständig sind. Sie richtet zudem ein Koordinierungszentrum und eine Beschwerdestelle für Bürger ein. Eine erste Evaluierung ist nach 18 Monaten vorgesehen.
Entlastungen für kleine Unternehmen
Während die Anforderungen an KI-Systeme steigen, plant die Politik Entlastungen. Der Koalitionsausschuss aus CDU, CSU und SPD beschloss Anfang Juli ein Reformpaket. Es sieht unter anderem die Abschaffung der Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen mit mindestens 20 Beschäftigten vor.
Damit soll eine Angleichung an das EU-Niveau erreicht werden. Die Bestellpflicht bleibt jedoch bestehen, wenn Unternehmen systematische Überwachungen oder umfangreiches Profiling durchführen. Eine Umsetzung wird frühestens für 2028 erwartet.
Die neuen Regeln verschärfen die Anforderungen an die Dokumentation, während gleichzeitig Bußgelder bei Fehlern drohen. Ein kostenloser Report klärt auf, welche rechtlichen Pflichten und Cyberrisiken Unternehmer jetzt kennen müssen, um sich proaktiv abzusichern. Kostenlosen Cyber-Security Report herunterladen
Neuer Rechtsstreit um Datenabkommen
Gleichzeitig wächst der rechtliche Druck auf internationale Datenübermittlungen. Der Aktivist Max Schrems von der Organisation Noyb kündigte eine neue Klage gegen das EU-US-Datenabkommen an. Hintergrund ist eine Entscheidung des US-Supreme-Court, die die Unabhängigkeit der Aufsichtsbehörde FTC geschwächt hat. Der Präsident kann deren Spitze künftig leichter abberufen.
Schrems argumentiert: Das EU-Recht schreibt eine unabhängige Aufsicht zwingend vor – das aktuelle Konstrukt sei damit hinfällig. Auch gegen europäische Behörden formiert sich Widerstand: Gestern reichten Menschenrechtsanwälte Beschwerde beim Europäischen Datenschutzbeauftragten gegen Europol ein. Der Behörde wird vorgeworfen, über eine „Schatten-IT“ unreguliert sensible Finanz-, Standort- und Telefonverbindungsdaten verarbeitet zu haben.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
