KI-Kennzeichnung ab August: Neue EU-Pflichten für Unternehmen

Die Datenschutz-Grundverordnung ist in der deutschen Wirtschaft angekommen – doch die Kosten und der bürokratische Aufwand explodieren. Das zeigt eine aktuelle Studie des Digitalverbands Bitkom.

Hohe Umsetzung, wachsende Klagen

71 Prozent der Unternehmen hatten die DSGVO-Anforderungen bis 2024 vollständig umgesetzt – ein gewaltiger Sprung von nur sieben Prozent im Jahr 2018. Doch der Preis dafür ist hoch: 81 Prozent der befragten Firmen gaben 2025 an, dass die Verordnung Geschäftsprozesse erschwert. Zum Vergleich: 2016 waren es erst 25 Prozent.

Angesichts steigender bürokratischer Hürden und strenger Prüfungen der Aufsichtsbehörden ist eine lückenlose Dokumentation für Unternehmen unverzichtbar. Dieser kostenlose Leitfaden führt Sie in 5 Schritten zur rechtssicheren Umsetzung und bietet praktische Unterstützung für Verantwortliche. Jetzt kostenlosen DSGVO-Leitfaden inkl. Checkliste sichern

Besonders alarmierend: 84 Prozent der Unternehmen berichten von einem stetig steigenden Verwaltungsaufwand seit Einführung der DSGVO. 97 Prozent bewerteten den Aufwand 2025 als hoch, 44 Prozent sogar als sehr hoch. Kein Wunder also, dass die Kritik lauter wird: 72 Prozent der Befragten sehen Deutschland in der Tendenz zur Überregulierung beim Datenschutz – 2020 waren es noch 40 Prozent.

Der Fachkräftemangel verschärft die Lage zusätzlich. 38 Prozent der Unternehmen klagen über fehlende Datenschutz-Experten. Zwar suchten 86 Prozent Hilfe bei den Aufsichtsbehörden, doch nur 36 Prozent zeigten sich mit der Unterstützung zufrieden. Hinzu kommt: 86 Prozent der Firmen betrachten die DSGVO-Umsetzung als nie endenden Prozess, und 82 Prozent sehen die rechtliche Unsicherheit als größte Hürde.

Datenschutz als Innovationsbremse für KI

Der Konflikt zwischen Datenschutz und neuen Technologien spitzt sich zu. 69 Prozent der Unternehmen sind überzeugt, dass Datenschutz das Training von KI-Modellen behindert – ein drastischer Anstieg von 42 Prozent im Jahr 2023. Die Folgen sind messbar: 59 Prozent der Firmen haben KI-Projekte wegen Datenschutzbedenken aufgegeben, 2020 waren es noch 41 Prozent.

Die Stimmung in der Branche ist gereizt. 63 Prozent der Befragten glauben, dass strenge Datenschutzregeln KI-Entwickler aus der EU vertreiben. Dabei bleiben internationale Datenströme ein Dauerbrenner: 61 Prozent der Unternehmen übermitteln weiterhin Daten in die USA. 71 Prozent fordern daher politische Lösungen für internationale Datentransfers.

Die technischen Dokumentationen müssen ebenfalls angepasst werden. Viele zwischen 2018 und 2022 erstellte technische und organisatorische Maßnahmen (TOMs) sind für autonome KI-Agenten nicht mehr ausreichend. Experten empfehlen den umstieg von rollenbasierten auf attributbasierte Zugriffsregeln (ABAC) sowie manipulationssichere Prüfpfade auf Datenebene. Die Realität sieht anders aus: 63 Prozent der Organisationen können derzeit keine Zweckbindung für KI-Agenten durchsetzen, nur 43 Prozent haben eine zentrale KI-Governance etabliert.

Ob neue KI-Projekte oder klassische Datenverarbeitung – die Dokumentationspflicht nach Art. 30 DSGVO bleibt eine zentrale Hürde für die Compliance. Mit dieser professionellen Excel-Vorlage und der zugehörigen Anleitung erstellen Sie Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen

Gerichte ziehen Grenzen bei Schadensersatz

Aktuelle Urteile schaffen Klarheit – in beide Richtungen. Der Bundesgerichtshof sprach einem Verbraucher im Januar 2025 500 Euro immateriellen Schadensersatz zu, nachdem ein Telekommunikationsanbieter falsche Daten an eine Auskunftei gemeldet hatte, was zur Ablehnung eines Kredits führte. Das Gericht betonte: Solche Zahlungen dienen dem Ausgleich für den Einzelnen, nicht der Abschreckung des Unternehmens.

Andere Gerichte zogen dagegen rote Linien. Das Amtsgericht Nürnberg entschied im Juli 2025, dass „bloßes Unbehagen" für einen Schadensersatzanspruch nach Artikel 82 DSGVO nicht ausreicht. Der Kläger muss einen konkreten, individuellen Schaden nachweisen. Zugleich stellte das Gericht klar: Eine Datenschutzeinwilligung kann auch bei Vertragskopplung freiwillig sein – solange kein Monopol oder fehlende Alternativen bestehen.

Das Oberlandesgericht Zweibrücken urteilte im März 2026, dass Arbeitgeber-Bewertungsplattformen Nutzerdaten herausgeben müssen, wenn ein Bewerter falsche Tatsachenbehauptungen aufstellt – etwa den Vorwurf von Mindestlohnverstößen. Damit werden Tatsachenbehauptungen von Meinungsäußerungen unterschieden.

Milliarden-Strafen und neue Regulierungen

Die Bußgelder summierten sich bis März 2026 auf rund 6,11 Milliarden Euro in über 2.800 Fällen. Doch die DSGVO ist längst nicht mehr das einzige Regelwerk: Die NIS2-Richtlinie und der Digital Operational Resilience Act (DORA) erhöhen den Druck. Während die DSGVO bei Datenpannen 72 Stunden Meldefrist gewährt, verlangen NIS2 und DORA bei schwerwiegenden Vorfällen eine Erstmeldung innerhalb von 24 Stunden.

Die Umsetzung hakt gewaltig: Anfang März 2026 hatten sich nur 11.000 von geschätzt 29.500 betroffenen Unternehmen unter NIS2 registriert. Dabei steigen die Sicherheitsrisiken rasant. Spezialisierte KI-Modelle können inzwischen selbstständig Sicherheitslücken identifizieren und verketten. Sicherheitsexperten warnen: 9 von 10 Angriffen basieren auf kompromittierten Identitäten. Unternehmen ohne ausreichende Vorbereitung benötigen im Schnitt 24 Tage, um nach einem größeren Angriff den Betrieb wiederherzustellen.

Ausblick: Strengere Regeln ab Sommer 2026

Der regulatorische Druck wird weiter zunehmen. Am 2. August 2026 treten neue Kennzeichnungspflichten für KI-generierte Inhalte aus dem EU AI Act in Kraft. Unternehmen müssen dann klare Markierungssysteme für synthetische Medien und automatisierte Kommunikation einführen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte im April 2026 zudem den aktualisierten Cloud Computing Compliance Criteria Catalogue (C5:2026). Mit 168 Anforderungen in 17 Themenbereichen – darunter Post-Quanten-Kryptografie und vertrauliches Rechnen – wird der Standard ab dem 1. Juni 2027 verpflichtend. Er soll als Grundlage für die Compliance mit NIS2 und DORA dienen. Die Zeit zum Handeln wird knapp.

de | wirtschaft | 69424298 |