Datenschutz-Schock: 3,5 Milliarden Euro Strafen gegen KI-Konzerne
Veröffentlicht: 10.07.2026 um 01:13 Uhr, Redaktion boerse-global.de
Gleich drei Kontinente haben in dieser Woche Maßnahmen ergriffen, die den Umgang mit persönlichen Daten in Künstlicher Intelligenz und Blockchain-Netzwerken grundlegend verändern werden.
EU verschärft Regeln für KI-Training
Der Europäische Datenschutzausschuss (EDPB) verabschiedete am 8. Juli 2026 gleich zwei wegweisende Leitlinien. Die Guidelines 03/2026 stellen klar: Unternehmen dürfen das Internet nicht pauschal für das Training generativer KI durchforsten. Ein angebliches „berechtigtes Interesse" reicht nicht aus. Stattdessen müssen Entwickler vor dem Scraping eine Einzelfallprüfung durchführen, Datenminimierungsfilter einsetzen und betroffene Nutzer transparent informieren.
Noch weiter gehen die Guidelines 02/2026 zur Datenanonymisierung. Der EDPB führt einen Drei-Kriterien-Test ein: Daten sind nur dann wirklich anonym, wenn sie sich einer Identifizierung, Verknüpfung und Rückschlussziehung widersetzen. Das Problem: KI-Modelle neigen dazu, Trainingsdaten zu reproduzieren. Viele bisher als anonym geltende Datensätze fallen damit weiterhin unter die Datenschutz-Grundverordnung (DSGVO).
Milliarden-Strafen für Silicon-Valley-Konzerne
Die Behörden machen ernst: Am 9. Juli verhängten die EU und die US-amerikanische Handelsbehörde FTC gemeinsam Strafen in Höhe von 3,5 Milliarden Euro gegen drei Unternehmen aus dem Silicon Valley. Der Vorwurf: Sie hatten persönliche Daten ohne Genehmigung zum Training großer Sprachmodelle genutzt. Die Regulierungsbehörden ordneten zudem „Machine Unlearning" an – die betroffenen Firmen müssen die Daten aus ihren Systemen entfernen.
Die neuen EU-Richtlinien zum KI-Training und die massiven Strafzahlungen zeigen, wie schnell Unternehmen beim Thema AI Act unter Druck geraten können. Dieser kostenlose Download verschafft Ihnen den Überblick über Fristen, Pflichten und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen
Europaparlament erlaubt Kommunikations-Scanning – mit Einschränkungen
Ebenfalls am 9. Juli stimmte das Europäische Parlament für die Verlängerung einer Ausnahmeregelung zur ePrivacy-Richtlinie. Sie gibt Technologieunternehmen Rechtssicherheit, automatisierte Tools zur Erkennung von Kindesmissbrauchsmaterial (CSAM) in privaten Nachrichten einzusetzen. Allerdings mit einem entscheidenden Zusatz: Ende-zu-Ende-verschlüsselte Kommunikation bleibt ausdrücklich ausgenommen. Die Regelung gilt voraussichtlich bis 2028 oder bis eine dauerhafte Verordnung verabschiedet ist.
Parallel dazu gab der EU-Ministerrat grünes Licht für einen Digital Omnibus zu KI. Das Gesetz aktualisiert bestehende KI-Regulierung und setzt den 2. Dezember 2026 als Stichtag für Kennzeichnungspflichten älterer KI-Systeme.
US-Bundesstaaten ziehen nach
Während auf Bundesebene Stillstand herrscht, treiben die Einzelstaaten den Datenschutz voran. New Jersey erließ am 9. Juli ein Gesetz, das den Verkauf präziser Standortdaten ohne ausdrückliche Zustimmung verbietet. Connecticut verschärfte sein Datenschutzgesetz zum 1. Juli: Die Schwelle für die Anwendbarkeit sank auf 35.000 betroffene Verbraucher, und Unternehmen müssen nun offenlegen, ob sie persönliche Daten für KI-Training nutzen.
Angesichts der weltweit verschärften Compliance-Regeln und neuer KI-Gesetze stehen viele Unternehmen vor wachsenden rechtlichen Bedrohungen. Dieser kostenlose Report klärt auf, welche Pflichten Unternehmer jetzt kennen müssen, um ihre IT-Sicherheit und den Datenschutz zukunftssicher zu gestalten. Kostenlosen Cyber-Security-Report jetzt herunterladen
Auch Alabama, Louisiana, Oklahoma und Vermont haben in den vergangenen Monaten umfassende Datenschutzgesetze verabschiedet. Sie treten zwischen 2027 und 2028 in Kraft und gewähren Verbrauchern Rechte auf Zugang, Berichtigung und Löschung ihrer Daten sowie ein Widerspruchsrecht gegen gezielte Werbung.
Auf lokaler Ebene verbietet der Erie County Biometrics Transparency and Privacy Act seit dem 5. Juni 2026 kommerziellen Einrichtungen die Erhebung biometrischer Daten – von Gesichtszügen über Fingerabdrücke bis hin zu Gangmustern – ohne 30-tägige Vorankündigung und klare Löschrichtlinien.
Blockchain: Das Recht auf Vergessenwerden wird zur Illusion
Die Regulierungsbehörden nehmen zudem die Blockchain-Technologie ins Visier. Der EDPB stellte am 8. Juli klar: Verschlüsselte oder gehashte Daten auf öffentlichen Blockchains bleiben personenbezogene Daten. Da öffentliche Blockchains ein „Recht auf Löschung" technisch oft unmöglich machen, empfiehlt der Ausschuss, persönliche Daten in Off-Chain-Datenbanken zu speichern und nur einen Hash in der Blockchain zu hinterlegen.
Südkoreas Datenschutzkommission PIPC zog am 9. Juli mit ähnlichen Blockchain-Richtlinien nach. Nach einem spektakulären Fall um eine Kryptowärungsbörse warnt die Behörde eindringlich davor, identifizierbare Informationen in der Blockchain zu speichern.
Kinder besser geschützt
Bereits im April traten verschärfte US-Regeln zum Children's Online Privacy Protection Act (COPPA) in Kraft. Seit dem 22. April 2026 benötigen Unternehmen eine separate elterliche Einwilligung, bevor sie Kinderdaten für Werbung oder KI-Training an Dritte weitergeben dürfen. Der Begriff der Online-Kontaktinformationen wurde erweitert – er umfasst nun auch Mobilfunknummern, die für Einwilligungen per SMS genutzt werden.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
