EU AI Act: Compliance-Frist 2. August – Bußgelder bis 35 Millionen
24.06.2026 - 09:54:02 | boerse-global.de
Der Bundestag stimmt über neue Speicherpflichten ab, ein neuer Chef für die Aufsichtsbehörde steht bereit – und Unternehmen müssen ihre KI-Strategie überdenken. Der betriebliche Datenschutz erlebt derzeit einen beispiellosen Umbruch.
Neuer BfDI-Chef: Hennemann soll Specht-Riemenschneider ablösen
Am 25. Juni wählt der Bundestag voraussichtlich Moritz Hennemann zum neuen Bundesbeauftragten für den Datenschutz. Der Freiburger Rechtsprofessor tritt die Nachfolge von Louisa Specht-Riemenschneider an, die aus gesundheitlichen Gründen zurücktrat. Hennemann gilt als moderat und sprach sich bereits für Vereinfachungen der DSGVO aus. Er übernimmt eine Behörde mit rund 370 Mitarbeitern und einem Jahresetat von etwa 50 Millionen Euro.
Die politische Debatte um neue Speicherpflichten und Behördenstrukturen verdeutlicht, wie komplex die regulatorische Landschaft für Betriebe bleibt. Dieser kostenlose Leitfaden zeigt Ihnen in 5 Schritten, wie Sie die DSGVO-Vorgaben in Ihrem Unternehmen rechtssicher und ohne großen Aufwand umsetzen. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab
Parallel berät das Parlament am heutigen Mittwoch über einen Gesetzentwurf zur dreimonatigen IP-Adressspeicherung durch Internetanbieter. Auch neue Regelungen zur Sicherungsanordnung von Verkehrsdaten bei schweren Straftaten stehen auf der Agenda. Bereits Mitte Juni gab der Bundesrat grünes Licht für erweiterte Befugnisse von BKA und Bundespolizei – etwa zur automatisierten Datenanalyse und zum biometrischen Abgleich mit öffentlichen Internetdaten.
KI-Projekte boomen – doch die Kontrolle hinkt hinterher
Ein zentrales Spannungsfeld für Unternehmen bleibt der Einsatz Künstlicher Intelligenz. Eine Veeam-Studie unter 1.000 Entscheidern zeigt: 82 Prozent der Befragten in Deutschland geben der Beschleunigung von KI-Projekten Vorrang vor umfassenden Datenkontrollen. Gleichzeitig bezeichnen 40 Prozent KI-Daten als ihren größten „blinden Fleck“ bei der Datenhoheit.
Obwohl bereits 88 Prozent der Unternehmen KI-Agenten einsetzen, sehen sich nur 7 Prozent in der Lage, diese auch effektiv zu verwalten. Das könnte teuer werden: Bis zum 2. August müssen Unternehmen die Compliance-Anforderungen des EU AI Act für Hochrisiko-KI-Systeme erfüllen. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes.
Da viele Unternehmen den EU AI Act noch unterschätzen, riskieren sie bei Hochrisiko-Systemen empfindliche Strafen. Ein kostenloser Umsetzungsleitfaden bietet jetzt den notwendigen Überblick über alle Fristen, Risikoklassen und Dokumentationspflichten für Ihre IT-Abteilung. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Auch das BSI mahnt zur Eile: Ein Großteil der nach der NIS-2-Richtlinie verpflichteten Unternehmen ist noch nicht registriert. Die Frist endet am 31. Juli.
Beschwerden auf Rekordniveau – und ein Meta-Eklat
Die Dringlichkeit zeigt sich in den Zahlen: In Berlin erreichten die Datenschutzbeschwerden 2025 mit 9.224 Eingaben einen Höchststand – ein Plus von 52 Prozent. Besonders kritisch bewerteten die Kontrolleure den intransparenten Einsatz von KI bei der Verarbeitung von Schuldnerdaten sowie die unzulässige Nutzung von Patientendaten durch Klinikpersonal.
Ein aktuelles Beispiel für die Risiken lieferte Meta. Das Unternehmen setzte am Dienstag ein Programm zur Verfolgung von Mitarbeiteraktivitäten aus. Grund: Ein Softwarefehler hatte internen Zugriff auf sensible Protokolle und Interaktionsgewohnheiten ermöglicht.
Was Unternehmen jetzt beachten müssen
Aus aktuellen Leitfäden und Urteilen ergeben sich konkrete Anforderungen für den Geschäftsalltag:
KI in der Verwaltung: Ein Leitfaden aus Nordrhein-Westfalen mahnt zur Datensparsamkeit. Das Zusammenfassen von Richtlinien ist zulässig – bei der Erstellung von Korrespondenz sollten jedoch keine personenbezogenen Daten eingegeben werden.
Übersetzungstools: Bei Diensten wie DeepL müssen Unternehmen unterscheiden: Die kostenlose Version nutzt Texte für das KI-Training, die Pro-Version speichert sie nicht dauerhaft.
Softwaretests: Das Testen mit Echtdaten ist ohne ausdrückliche Einwilligung rechtswidrig. Abhilfe schafft die Pseudonymisierung gemäß Art. 6 Abs. 6 DSGVO.
Beweisverwertung: Der Europäische Gerichtshof stellte Mitte Juni klar: Rechtswidrig erlangte Mitarbeiterdaten unterliegen nicht automatisch einem Beweisverwertungsverbot. Dennoch bleibt die Einhaltung von Datenminimierung und Speicherbegrenzung essenziell.
Die Datenschutzkonferenz veröffentlichte zudem die sogenannten „Stuttgarter Impulse“ – Vorschläge zur Modernisierung der Aufsicht, um Verfahren für Unternehmen zu straffen.
