KI-Regulierung: Bußgelder bis 15 Millionen ab August 2026

Seit dem 7. Juni 2026 droht ein Vertragsverletzungsverfahren. Für Unternehmen bedeutet das ab sofort ein erhöhtes Risiko bei Equal-Pay-Klagen.

Die erweiterten Auskunftspflichten sind nun zu beachten. Auch das Verbot, Bewerber nach ihrem bisherigen Gehalt zu fragen, gilt. Wer dagegen verstößt, muss mit rechtlichen Konsequenzen rechnen.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act hilft Ihnen, alle relevanten Übergangsfristen und Pflichten rechtssicher im Blick zu behalten. Jetzt kostenlosen KI-Leitfaden herunterladen

Bafin-Prüfungen offenbaren große Lücken

Die Finanzaufsicht Bafin hat 2025 die Governance deutscher Versicherer durchleuchtet. Das Ergebnis ist ernüchternd: Bei 60,7 Prozent der geprüften Unternehmen gab es Beanstandungen in der internen Revision. 17 von 28 Instituten fielen durch.

Noch schlechter schnitt das Risikocontrolling ab. Hier monierte die Bafin bei 55 Prozent der Prüfungen Mängel. Die Compliance-Funktion fiel bei 31,6 Prozent der Kontrollen negativ auf. Die Behörde stuft die meisten Verstöße als geringfügig bis mittelschwer ein.

DORA verschärft Mitarbeiterprüfungen

Seit Januar 2025 gilt der Digital Operational Resilience Act (DORA). Finanzunternehmen müssen seither alle Personen mit Zugang zu kritischen Systemen einer Zuverlässigkeitsprüfung unterziehen. Das „Know Your Employee“-Prinzip wird Pflicht.

Die Regelung ergänzt bestehende Anforderungen aus dem Geldwäschegesetz, dem KRITIS-Dachgesetz und der NIS2-Verordnung. Dienstleister wie Dreyfield Deutschland entwickeln dafür rechtssichere Prozesse. Die Prüftiefe richtet sich nach der Risikoklasse der Position.

Anbieter Validato automatisiert derweil die Überprüfung von Aufenthalts- und Wohnsitzhistorien in Hochrisikoländern. Die Daten werden gegen offizielle Sanktionslisten abgeglichen. Auch länderspezifische Anforderungen wie die Schweizer PSP-Regelung fließen ein.

KI-Regulierung: Fristen im Blick behalten

Der EU AI Act stellt neue Anforderungen an Unternehmen. Die KI-Kompetenzpflicht für Mitarbeitende gilt bereits seit Februar 2025. Doch andere Fristen verschieben sich durch den sogenannten AI Omnibus.

Hochrisiko-KI-Systeme in der Personalauswahl müssen erst ab Dezember 2027 die vollen Pflichten erfüllen. Das gilt allerdings nur für Standalone-Lösungen. Ab August 2026 drohen empfindliche Bußgelder: bis zu 15 Millionen Euro oder drei Prozent des Jahresumsatzes.

Strukturierte OSINT-Recherchen gewinnen bei Personal- und Partnerprüfungen an Bedeutung. Durch die Analyse von Suchmaschinen, Handelsregistern und Leak-Papers lassen sich DSGVO-konforme Risikoprofile erstellen. Firmen wie Comma Soft und Deep-In entwickeln spezielle Konzepte für autonome KI in regulierten Branchen.

Welche KI-Systeme gelten eigentlich als Hochrisiko und welche konkreten Schritte müssen Unternehmen jetzt einleiten? Dieser kostenlose Report klärt über die neuen Regeln der EU-KI-Verordnung auf und verschafft Ihrer IT-Abteilung die nötige Klarheit. EU AI Act in 5 Schritten verstehen

Cloud-Outsourcing: Haftung bleibt beim Kunden

Das Beispiel SAP RISE zeigt eine gefährliche Tendenz: Die Haftung für Datenschutz, Anwendungssicherheit und Compliance verbleibt vollständig beim Kunden. Der Anbieter stellt lediglich die Infrastruktur.

Regulierungsbehörden make bei Sicherheitsvorfällen ausschließlich das anwendende Unternehmen verantwortlich. Wer KI-Governance und Sicherheitsaudits nicht vertraglich festschreibt, geht ein hohes Risiko ein. Das Third-Party-Risk-Management wird damit zum entscheidenden Erfolgsfaktor.

de | wirtschaft | 69505411 |