Act, Millionen

AI Act ab August: Bis zu 35 Millionen Euro Bußgeld für KI-Verstöße

Veröffentlicht: 12.07.2026 um 00:53 Uhr, Redaktion boerse-global.de

Fehlerhafte Rollenbestimmung als Auftragsverarbeiter führt zu DSGVO-Verstößen bei Isabel SA. Behörde verhängt 120.000 Euro Strafe.

Belgische Datenschutzbehörde belegt Fintech Isabel mit 120.000 Euro Bußgeld
Ein digitales Vorhängeschloss-Symbol über verschwommenen Datenströmen, das Datensicherheit und DSGVO-Compliance darstellt. Illustration mit AI erstellt übermittelt durch boerse-global.de

Juli 2026 ein Bußgeld von 120.000 Euro gegen das Fintech-Unternehmen Isabel SA verhängt. Grund war die fehlerhafte rechtliche Einordnung des Authentifizierungsdienstes „TruliUs“. Das Unternehmen hatte sich selbst als Auftragsverarbeiter eingestuft – die Behörde sah Isabel SA jedoch als den tatsächlich Verantwortlichen.

Die Aufseher begründeten ihre Entscheidung damit, dass das Unternehmen faktisch über Zwecke und wesentliche Mittel der Datenverarbeitung entschied. Diese falsche Rollenbestimmung führte zu strukturellen Verstößen gegen die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO. In der Folge wurden auch Informationspflichten missachtet, das Auskunftsrecht der Betroffenen eingeschränkt und Grundsätze der Datenminimierung verletzt.

Datenlecks bei Lidl und Ikea

Die Risiken bei der Verwaltung von Kundendaten zeigen sich auch bei aktuellen Sicherheitsvorfällen im Einzelhandel. Beim Onlineshop des Discounters Lidl wurde im Juli 2026 ein Datenschutzvorfall bei einem externen IT-Dienstleister bekannt. Unbekannte konnten Informationen wie Namen, Telefonnummern, E-Mail-Adressen und Geburtsdaten entwenden. Sensible Daten wie Passwörter oder Zahlungsinformationen seien nach Unternehmensangaben nicht betroffen gewesen.

Auch Ikea Norway meldete einen massiven Vorfall. Am 19. März 2026 flossen rund 45.000 Datensätze von Kunden und Mitarbeitern durch eine Sicherheitslücke bei einem Drittanbieter ab.

Anzeige

Der Fall Isabel SA zeigt drastisch, wie teuer eine falsche Einordnung der Rollenverteilung im Datenschutz werden kann. Mit diesem kostenlosen E-Book inklusive fertigen Vorlagen und Checklisten stellen Sie sicher, dass Ihre Verträge zur Auftragsverarbeitung rechtssicher sind. Gratis E-Book zur rechtssicheren Auftragsdatenverarbeitung herunterladen

Fünf Millionen Euro Strafe für Schein-Anonymisierung

Neben Sicherheitslücken rückt die Qualität der Datenverarbeitung in den Fokus der Behörden. Ein französisches Marktforschungsunternehmen wurde im Juli 2026 mit einem Bußgeld von fünf Millionen Euro belegt. Der Vorwurf: unzureichende Anonymisierung von Apothekendaten. Die Behörde sprach von einer bloßen „Schein-Anonymisierung“.

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte im Juli 2026 neue Leitlinien. Demnach gelten Daten nur dann als rechtssicher anonymisiert, wenn eine Re-Identifizierung dauerhaft ausgeschlossen werden kann.

Verbraucherschützer klagen gegen Sparkassen

Auch Verbraucherschützer erhöhen den Druck auf Unternehmen. Am 10. Juli 2026 wurde bekannt, dass Organisationen Klage gegen Sparkassen eingereicht haben. Kritisiert wird die Praxis der dauerhaften Abfrage von Kundendaten zu Zwecken der personalisierten Werbung. Die Kläger fordern eine stärkere Kontrolle der Kunden über ihre persönlichen Informationen.

Eine Grundsatzentscheidung zur Haftung für Online-Tracking steht ebenfalls bevor. Der Bundesgerichtshof (BGH) wird voraussichtlich am 8. Oktober 2026 darüber verhandeln, inwieweit Drittanbieter für Cookies haften, die ohne wirksame Einwilligung gesetzt wurden. Vorinstanzen hatten bereits entschieden, dass Drittanbieter technisch sicherstellen müssen, dass eine Einwilligung vorliegt, und sprachen Betroffenen immateriellen Schadensersatz zu.

EU AI Act verschärft Transparenzpflichten

Zusätzlich zur DSGVO kommen neue Compliance-Anforderungen durch den EU AI Act auf Unternehmen zu. Ab dem 2. August 2026 gelten verschärfte Transparenzpflichten. Bei Verstößen gegen die Bestimmungen für verbotene KI-Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.

Anzeige

Neben der DSGVO müssen Unternehmen nun auch die komplexen Anforderungen der neuen EU-KI-Verordnung meistern, um hohe Bußgelder zu vermeiden. Dieser kostenlose Umsetzungsleitfaden gibt Ihnen den nötigen Überblick über alle relevanten Fristen, Pflichten und Risikoklassen. Kostenlosen Leitfaden zum EU AI Act jetzt sichern

Das EU-Parlament hat die Fristen für bestimmte Hochrisiko-KI-Systeme teilweise bis in den Dezember 2027 verlängert. Dennoch bleibt der Druck zur Risikoklassifizierung hoch. Experten raten Unternehmen, bereits jetzt eine Bestandsaufnahme ihrer Systeme durchzuführen, um die strengen Transparenz- und Dokumentationspflichten fristgerecht zu erfüllen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69748377 |