100 Millionen Euro Strafe: EU verschärft Datenschutz für HR-Software
15.05.2026 - 17:33:00 | boerse-global.de
Europäische Behörden verhängen Rekordbußgeld und verschieben KI-Regeln – Personalabteilungen stehen vor gewaltigen Herausforderungen.
Die digitale Compliance-Landschaft für Personalabteilungen hat sich Mitte Mai 2026 grundlegend verändert. Mit einer Rekordstrafe von 100 Millionen Euro gegen einen großen Technologieanbieter und neuen gesetzlichen Anpassungen beim EU-KI-Gesetz stehen Unternehmen, die Bewerber- und Mitarbeiterdaten verarbeiten, vor einem komplexen Regelwerk. Der Schnittpunkt von DSGVO und EU AI Act ist zum zentralen Thema für Compliance-Abteilungen geworden.
Angesichts der neuen gesetzlichen Anforderungen beim EU AI Act müssen Unternehmen jetzt schnell handeln. Dieser kompakte Umsetzungsleitfaden verschafft Ihrer Rechts- und IT-Abteilung den nötigen Überblick über alle Fristen und Pflichten. EU AI Act in 5 Schritten verstehen
Rekordbußgeld für Datentransfers nach Russland
Die Datenschutzbehörden aus Finnland, den Niederlanden und Norwegen verhängten Mitte Mai gemeinsam ein Bußgeld von 100 Millionen Euro gegen MLU B.V., den Betreiber des Yango-Dienstes. Der Grund: unerlaubte Übermittlung personenbezogener Daten nach Russland. Für Personalabteilungen ist dies ein Weckruf – viele moderne Recruiting-Tools und Gehaltsabrechnungsplattformen nutzen Cloud-Infrastrukturen, die über mehrere Rechtsräume verteilt sind.
Seit Inkrafttreten der DSGVO am 25. Mai 2018 wurden bis Juli 2024 mehr als 6.680 Geldbußen in Höhe von insgesamt rund 4,2 Milliarden Euro verhängt. Die Höchststrafe liegt bei 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Botschaft ist klar: Datenschutzverstöße können Unternehmen finanziell gefährden.
Das Verwaltungsgericht Düsseldorf präzisierte zudem die technischen Anforderungen. Am 2. April 2026 entschieden die Richter: Für die Übermittlung nicht-sensibler Daten wie Namen per E-Mail reicht eine TLS-Verschlüsselung aus. Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung besteht nicht. Allerdings stellte das Gericht klar: Eine sechsmonatige Verzögerung bei der Beantwortung eines Auskunftsersuchens verstößt gegen Artikel 12 DSGVO.
Neue Fristen für KI im Recruiting
Am 7. Mai 2026 einigten sich die EU-Institutionen auf das „Digital Omnibus“-Paket. Es vereinfacht den AI Act und gibt Unternehmen mehr Zeit für die Umsetzung strenger Regeln für Hochrisiko-Systeme. Das betrifft besonders den Recruiting-Bereich, denn automatisierte Bewerberfilter und Tools zur Kandidatenbewertung gelten als Hochrisiko-Anwendungen.
Die neuen Fristen im Überblick:
- Standalone-KI-Systeme (etwa HR-Tools aus Anhang III): 2. Dezember 2027
- KI in bereits regulierten Produkten (Anhang I): 2. August 2028
Bereits seit Februar 2025 gilt die Pflicht zur „KI-Kompetenz“ der Mitarbeiter. Personalabteilungen müssen ihre Teams im sicheren Umgang mit KI-Tools schulen.
Die EU-Kommission treibt die Transparenzregeln voran. Am 8. Mai veröffentlichte sie einen Entwurf für Leitlinien zu Artikel 50 des AI Act. Ab dem 2. August 2026 müssen KI-Interaktionen – etwa Chatbots in der Bewerberphase – klar gekennzeichnet werden. KI-generierte Inhalte benötigen Metadaten oder Wasserzeichen. Für bestehende Systeme gilt eine Übergangsfrist bis zum 2. Dezember 2026.
Menschliches Versagen bleibt größte Gefahr
Laut IBM-Studien gehen rund 95 Prozent aller Sicherheitsvorfälle auf menschliches Versagen zurück. In Personalabteilungen, die täglich große Mengen sensibler Daten verarbeiten, ist das Risiko von Datenlecks oder Phishing-Angriffen besonders hoch.
Rechtsexperten betonen: Schulungen sind keine Kür, sondern Pflicht. Die DSGVO leitet die Schulungspflicht aus den Artikeln 5, 32 und 39 ab. Fehlende Nachweise regelmäßiger Fortbildungen können bei Bußgeldern als strafverschärfend wirken. Empfohlen werden jährliche Basisschulungen sowie anlassbezogene Trainings bei neuen Bedrohungen.
Lücken in der Dokumentation führen immer häufiger zu empfindlichen Bußgeldern durch die Datenschutzbehörden. Mit dieser kostenlosen Excel-Vorlage und Schritt-für-Schritt-Anleitung erfüllen Sie Ihre DSGVO-Pflichten zeitsparend und rechtssicher. Rechtssicheres Verarbeitungsverzeichnis jetzt erstellen
Ein aktueller Fall aus London zeigt die wachsende Herausforderung durch Wearables: Am 14. Mai filmte eine person heimlich eine Frau in einem Einkaufszentrum mit einer Smart-Brille. Das Video erreichte 40.000 Aufrufe, bevor der Account gesperrt wurde. Juristen warnen: Solche Aufnahmen verstoßen gegen die DSGVO und nationale Gesetze zum Schutz des eigenen Bildes.
Doppelte Belastung für HR-Verantwortliche
Personalchefs stehen vor einer doppelten Herausforderung: Sie müssen die hohen DSGVO-Standards einhalten und sich gleichzeitig auf die schrittweise Einführung des AI Act vorbereiten. Das „Digital Omnibus“-Paket zeigt: Die EU erkennt den enormen Aufwand bei der Zertifizierung von Hochrisiko-KI an. Die verlängerten Fristen bis Ende 2027 und 2028 geben Zeit für harmonisierte Standards wie die prEN 18286-Norm.
Doch die 100-Millionen-Strafe gegen Yango macht klar: Für grundlegende Datenschutzverstöße gibt es keine Schonfrist. Besonders Datentransfers in Drittländer bleiben im Fokus der Aufsichtsbehörden. Unternehmen müssen ihre Dienstleister genau prüfen, ob Daten durch Rechtsräume mit unzureichendem Schutzniveau fließen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Aufsichtsbehörde in Deutschland unterstreicht: Datenschutz und KI-Sicherheit werden zunehmend als nationale Sicherheitsfrage behandelt. Unternehmen sollten umfassende KI-Inventare erstellen und Risikoklassifizierungen vornehmen.
Nächster Meilenstein: August 2026
Der 2. August 2026 markiert den nächsten wichtigen Termin. Dann werden die Transparenzpflichten für KI-Systeme verbindlich. Unternehmen, die KI-gestützte Chatbots zur Bewerbervorauswahl oder automatisierte Texterstellung für Stellenanzeigen nutzen, müssen diese Systeme klar kennzeichnen. Die öffentliche Konsultation zu den Transparenzleitlinien läuft noch bis zum 3. Juni 2026.
Die auf der Google I/O am 12. Mai vorgestellten Android-Schutzfunktionen zeigen: Technologieanbieter integrieren zunehmend Betrugs- und Phishing-Schutz direkt in Betriebssysteme. Das könnte Remote-HR-Teams zusätzliche Sicherheit bieten.
Bis August 2027 sollen „regulatorische Sandkästen“ entstehen – kontrollierte Testumgebungen für innovative KI-Lösungen unter Aufsicht der Behörden. Bis dahin gilt: Strenge DSGVO-Durchsetzung und schrittweise AI-Act-Implementierung erfordern von Personalabteilungen einen proaktiven Ansatz bei digitaler Ethik, Mitarbeiterschulung und Lieferantenmanagement.
Wirtschaftsnachrichten lesen ist gut - trading-notes lesen ist besser!
Für. Immer. Kostenlos.
