Rekordstrafe von 100 Millionen Euro: EU verschärft Druck auf Tech-Konzerne

V. verhängten Finnland, die Niederlande und Norwegen gemeinsam eine Rekordstrafe von 100 Millionen Euro. Der Vorwurf: unerlaubte Datenübermittlungen nach Russland. Zeitgleich einigten sich EU-Unterhändler auf eine Verschiebung wichtiger Fristen des AI Acts. Die Botschaft ist klar: Strengere Durchsetzung bestehender Datenschutzgesetze trifft auf pragmatische Anpassungen bei der künstlichen Intelligenz.

Harte Strafen für Datenschutzverstöße und unerlaubtes Marketing

Die Millionenstrafe gegen MLU B.V. gehört zu den schärfsten Maßnahmen der vergangenen Monate. Im Kern geht es um die Souveränität europäischer Nutzerdaten. Die Behörden sahen es als erwiesen an, dass das Unternehmen personenbezogene Daten unrechtmäßig nach Russland übermittelte – ein klarer Verstoß gegen die Grundsätze der DSGVO.

Angesichts der verschärften Kontrollen und drakonischen Strafen bei Datenschutzverstößen ist eine lückenlose Dokumentation für Unternehmen überlebenswichtig. Diese kostenlose Excel-Vorlage inklusive Schritt-für-Schritt-Anleitung hilft Ihnen, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. DSGVO-Dokumentationspflicht jetzt rechtssicher erfüllen

Doch nicht nur bei internationalen Datentransfers greifen die Aufsichtsbehörden durch. Die italienische Datenschutzbehörde GDPD verhängte am 12. März 2026 ein Bußgeld von 563.052 Euro gegen Enel Energia. Der Energieversorger hatte Telefonwerbung betrieben, obwohl Verbraucher dem ausdrücklich widersprochen hatten. Die Behörde stellte klar: Unternehmen haften für das Verhalten ihrer externen Callcenter. Besonders kritisiert wurde das Fehlen technischer Schutzmaßnahmen wie Double-Opt-in-Verfahren.

Auch die Justiz liefert Klarstellungen. Der österreichische Verwaltungsgerichtshof (VwGH) entschied am 14. April 2026: Eine Muttergesellschaft haftet nicht automatisch für Datenschutzverstöße ihrer Töchter. Konkret hob das Gericht eine 8-Millionen-Euro-Strafe auf. Strategische Steuerung und Finanzierung allein begründen keine gemeinsame Verantwortlichkeit – nur wer operativ in die Datenverarbeitung eingreift, kann belangt werden.

Ein weiterer Fall zeigt, wie schnell Strafen schrumpfen können. Das Oberlandesgericht Celle senkte eine Strafe gegen notebooksbilliger.de von 10,4 Millionen auf 900.000 Euro – ein deutliches Signal für die Justiz als Korrektiv.

EU AI Act: Fristen verschoben, aber Transparenz bleibt

Am 7. Mai 2026 einigten sich die EU-Unterhändler auf das sogenannte Digital Omnibus VII. Das Ziel: Die Umsetzung des seit August 2024 geltenden AI Acts erleichtern. Die wichtigste Änderung betrifft Hochrisiko-KI-Systeme. Für eigenständige Systeme nach Anhang III verschiebt sich die Frist vom 2. August 2026 auf den 2. Dezember 2027. Für KI, die als Sicherheitskomponente in regulierten Produkten wie Medizingeräten oder Spielzeug steckt, gilt nun der 2. August 2028.

Während die EU neue Fristen für den AI Act festlegt, müssen Unternehmen bereits jetzt komplexe Kennzeichnungs- und Risikopflichten im Blick behalten. Ein kostenloser Umsetzungsleitfaden verschafft Ihnen den notwendigen Überblick über Pflichten und Risikoklassen, damit Ihre IT-Abteilung rechtlich auf der sicheren Seite bleibt. EU AI Act in 5 Schritten verstehen

Doch die Aufsichtsbehörden lassen nicht locker. Die EU-Kommission startete am 8. Mai 2026 eine Konsultation zu Transparenzrichtlinien nach Artikel 50 des AI Acts. Unternehmen haben bis zum 3. Juni 2026 Zeit für Rückmeldungen.

Besonders im Fokus: Generative KI-Systeme. Neue Systeme müssen ab dem 2. August 2026 Transparenz- und Kennzeichnungspflichten erfüllen. Bestehende Systeme haben bis zum 2. Dezember 2026 Zeit. Die Kommission empfiehlt den C2PA-Standard für Wasserzeichen bei Bildern, Audio und Video, bei Texten statistische Verfahren.

Die Strafen bei Verstößen sind enorm: Bis zu 35 Millionen Euro oder sieben Prozent des globalen Jahresumsatzes drohen.

Cyberangriffe: Die Bedrohungslage eskaliert

Die regulatorischen Anforderungen kommen zu einer Zeit, in der die Cyberkriminalität rasant zunimmt. Eine Bitkom-Umfrage zeigt: 81 Prozent der deutschen Unternehmen waren im vergangenen Jahr von Datendiebstahl, Industriespionage oder Sabotage betroffen. Der Gesamtschaden allein in Deutschland übersteigt 200 Milliarden Euro.

Selbst die KI-Elite bleibt nicht verschont. Am 14. Mai 2026 bestätigte OpenAI einen Sicherheitsvorfall durch einen Supply-Chain-Angriff namens „Mini Shai-Hulud“. Die Gruppe TeamPCP nutzte das TanStack-Framework als Einfallstor. Betroffen waren auch SAP und UiPath. Zwar blieben Kundendaten und Produktionssysteme sicher, doch zwei Mitarbeitergeräte wurden kompromittiert – mit Zugriff auf interne Quellcode-Repositories.

Noch heikler: Im Mai 2026 entdeckten Sicherheitsforscher eine kritische Hintertür im weit verbreiteten Node.js-Paket node-ipc. Die schädlichen Versionen 9.1.6, 9.2.3 und 12.0.1 stahlen AWS-Zugangsdaten, SSH-Schlüssel und GitHub-Tokens. Besonders alarmierend: Die Malware lag 21 Monate unentdeckt, bevor ein mit dem Paket verbundener Account sie aktivierte.

Ein Ransomware-Angriff traf in der Nacht zum 30. April 2026 den E-Commerce-Dienstleister 4SELLERS. Das interne Verwaltungsnetz wurde lahmgelegt, Kundensysteme blieben verschont. Die Konsequenz: drastische Reduzierung der Administratorrechte für externe Berater.

Unternehmensführung: Cybersicherheit wird Chefsache

Die wachsende Bedrohungslage verändert die Unternehmensführung. Eine Analyse von Zscaler unter S&P-500-Unternehmen zeigt: 79 Prozent der Großkonzerne überwachen Cyberrisiken inzwischen in ihren Prüfungsausschüssen – ein Anstieg um fast acht Prozent seit 2024. Nur 3,8 Prozent behandeln das Thema auf Vorstandsebene.

Experten warnen: Die Konzentration auf Prüfungsausschüsse könnte zu einer zu engen Sicht auf Compliance führen. Operative Widerstandsfähigkeit brauche mehr als reine Regelbefolgung – besonders, wenn den Gremien tiefgehendes technisches Know-how fehlt.

Technische Innovation: KI wird effizienter

Während Regulierer und Sicherheitsteams die Risiken managen, treibt die technische Entwicklung die Effizienz voran. Am 8. Mai 2026 übernahm der Tech-Konzern Nebius das Startup Eigen AI. Dessen AWQ-Methode ermöglicht die 4-Bit-Quantisierung von KI-Modellen.

Durchbrüche vom MIT HAN Lab und NVIDIA optimieren den Speicherverbrauch weiter. Das neue COAT-Framework reduziert den Speicherbedarf um den Faktor 1,54. Das kürzlich vorgestellte HART-Modell mit 700 Millionen Parametern erreicht Bildqualität, die sonst Modelle mit zwei Milliarden Parametern liefern – und das neunmal schneller bei 31 Prozent weniger Energie.

Diese Fortschritte zielen darauf ab, Billionen-Parameter-Modelle auf lokaler Hardware laufen zu lassen. Das könnte die Datenübertragungsrisiken cloudbasierter KI deutlich reduzieren.

Ausblick: Das Ende der laxen Aufsicht

Die EU stellt die Weichen für eine neue Ära der Regulierung. Ab Februar 2025 müssen Arbeitgeber ihren Mitarbeitern KI-Kompetenztraining nach Artikel 4 des AI Acts anbieten. Bis August 2027 sollen alle Mitgliedstaaten nationale KI-Reallabore einrichten.

Doch die regulatorische Fragmentierung wächst. In den USA verabschiedete Colorado das Gesetz SB-26-189, das ab dem 12. August 2026 KI-Transparenz vorschreibt. OpenAI schlug jüngst die Schaffung einer globalen KI-Aufsichtsbehörde vor, um die Standards zu harmonisieren.

Für Unternehmen, die in der EU operieren, gilt: Die August-2026-Frist für Transparenz bei generativer KI kommt schneller als gedacht. Wasserzeichen und Offenlegungspflichten werden zur Pflicht – bei Strafen, die inzwischen in die Millionen gehen. Die Botschaft der europäischen Aufsichtsbehörden ist unmissverständlich: Die Ära der laschen Kontrolle für digitale Plattformen und KI-Anbieter ist endgültig vorbei.

de | wirtschaft | 69348889 |