EU verschärft Datenschutz-Regeln: Milliardenstrafen für Retail-Unternehmen drohen

Die Europäische Union zieht die Zügel an: Neue KI-Gesetze und eine Welle von Millionenstrafen setzen den Einzelhandel massiv unter Druck. Am 10. Mai einigten sich EU-Parlament und Rat auf das „Digital Omnibus on AI“-Paket, das die Transparenzpflichten des AI Acts präzisiert. Gleichzeitig verhängen Datenschutzbehörden Rekordstrafen – allein seit Januar 2023 summierten sich die Bußgelder auf über 7,1 Milliarden Euro.

Für Händler bedeutet das eine doppelte Herausforderung: Sie müssen ihre KI-Systeme wie Chatbots und Gesichtserkennung transparent machen und gleichzeitig die strengen GDPR-Vorgaben einhalten. Über 60 Prozent aller GDPR-Strafen seit 2018 wurden erst nach Januar 2023 verhängt – die Kosten für Verstöße sind für viele Unternehmen längst existenzbedrohend.

Die neuen Anforderungen des EU AI Acts bringen weitreichende Pflichten für Unternehmen mit sich, die KI-Systeme einsetzen. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle relevanten Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen

950.000 Euro Strafe: Spaniens Behörde greift bei Gesichtserkennung durch

Ein aktuelles Urteil zeigt, wie ernst die Lage ist. Die spanische Datenschutzbehörde AEPD verhängte Anfang Mai eine Strafe von 950.000 Euro gegen ein Unternehmen, das Gesichtserkennung zur Alters- und Identitätsprüfung einsetzte. Die Behörde stellte mehrere schwerwiegende Verstöße fest.

Besonders brisant: Das Unternehmen speicherte biometrische Daten dauerhaft und aktivierte zusätzliche Analysefunktionen ohne aktive Zustimmung der Nutzer. Zudem fehlte ein ausreichender Schutz für Minderjährige unter 14 Jahren. Die Behörde monierte einen klaren Verstoß gegen das Prinzip „Privacy by Default“.

Dieser Fall ist eine Warnung für alle Händler, die biometrische Systeme in Geschäften oder auf digitalen Plattformen einsetzen. Die EU-Kommission hat in ihren neuen Leitlinien zum AI Act klargestellt: Biometrie und Emotionserkennung unterliegen besonderen Transparenzpflichten. Systeme, die mit Menschen interagieren oder synthetische Inhalte erzeugen, müssen klar gekennzeichnet werden.

Neue Fristen: Wann Händler ihre KI-Systeme umstellen müssen

Der „AI Omnibus“ bringt konkrete Zeitpläne. Für die meisten Einzelhändler sind die Transparenzpflichten am dringendsten: Bereits am 2. Dezember 2026 müssen KI-generierte Inhalte wie Bilder, Videos und Texte gekennzeichnet sein. Das gilt für interaktive KI-Systeme, synthetische Inhalte, biometrische Systeme und Deepfakes.

Hochrisiko-KI-Systeme, etwa in der Personalauswahl oder Bonitätsprüfung, müssen bis zum 2. Dezember 2027 konform sein. Integrierte Systeme in Medizingeräten oder Industriemaschinen haben bis August 2028 Zeit.

Eine gute Nachricht gibt es für kleinere Unternehmen: Der Omnibus erweitert die Ausnahmen auf „Small Mid-Cap“-Firmen mit einem Umsatz von bis zu 200 Millionen Euro. Die Kosten für die Umstellung sind nämlich beträchtlich – Branchenberichte sprechen von bis zu 319.000 Euro initialen Kosten und jährlich rund 150.000 Euro für die Wartung.

100 Millionen Euro: Niederlande bestrafen Datentransfer nach Russland

Neben den KI-Regeln bleibt die GDPR der schärfste Hebel der Aufsichtsbehörden. Die niederländische Datenschutzbehörde verhängte am 10. Mai eine 100-Millionen-Euro-Strafe gegen MLU B.V., die Muttergesellschaft des Yango-Dienstes. Grund: Nutzerdaten aus Finnland und Norwegen – darunter Standortdaten und Bankinformationen – wurden ohne ausreichende Sicherheitsvorkehrungen auf Server in Russland übertragen.

Besonders gravierend: Die Verschlüsselungsschlüssel lagerten ebenfalls in Russland, sodass die Daten für lokale Sicherheitsbehörden zugänglich waren. Selbst wenn Daten nominell in Frankfurt gespeichert wurden, leitete das System sie routinemäßig nach Russland weiter.

Auch Sicherheitslücken am direkten Kundenkontaktpunkt werden teuer. Die irische Datenschutzkommission verhängte gegen Permanent TSB eine Strafe von 277.500 Euro nach mehreren Sicherheitsvorfällen im Kundenservice-Center. Unbefugte Übernahmen von Konten waren die Folge unzureichender Sicherheitsprotokolle.

Ausblick: Transparenz wird zum Wettbewerbsfaktor

Der Europäische Datenschutzausschuss (EDPB) plant für die zweite Jahreshälfte 2026 eine koordinierte Aktion zur Transparenz. Die Behörden werden nicht auf die finalen AI-Act-Fristen warten, sondern bereits jetzt prüfen, wie Unternehmen über Datennutzung informieren.

Die Herausforderungen sind enorm: Während Unternehmen durch KI-Agenten Produktivitätssteigerungen von mindestens 25 Prozent melden, steigen auch die Risiken. Rund 86 Prozent aller Phishing-Angriffe sind heute KI-gesteuert. Microsoft blockierte allein im ersten Quartal 2026 über 8,3 Millionen solcher E-Mails.

Angesichts steigender Bußgelder und neuer rechtlicher Pflichten durch den AI Act müssen Unternehmen ihre Compliance-Strategien proaktiv anpassen. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Anforderungen Unternehmer jetzt kennen müssen, um Sanktionen zu vermeiden. Kostenlosen KI-Leitfaden für Unternehmen anfordern

Ein Urteil des Bundesverwaltungsgerichts vom 6. März 2026 verschärft die Lage zusätzlich: Es verbot einer privaten Krankenversicherung, Kundendiagnosedaten für Präventionsprogramme ohne ausdrückliche Einwilligung zu nutzen. Dies hat direkte Auswirkungen auf Kundenbindungsprogramme und Health-Tech-Initiativen im Einzelhandel.

Mit Höchststrafen von bis zu 35 Millionen Euro oder sieben Prozent des globalen Umsatzes unter dem AI Act ist Datenschutz längst kein reines Rechtsthema mehr. Es ist zum Kern des unternehmerischen Risikomanagements geworden. Während China bis 2027 eine 70-prozentige Übernahme autonomer KI-Agenten anstrebt, muss der europäische Einzelhandel einen Weg finden, wettbewerbsfähig zu bleiben – bei gleichzeitiger Einhaltung der strengsten Transparenz- und Datenschutzstandards der Welt.

de | wirtschaft | 69309876 |