EU-Regulierungswelle: Unternehmen zwischen KI-Gesetz und Datenschutz

Mit der schrittweisen Umsetzung des EU-KI-Gesetzes (EU-KI-VO) verschmelzen Datenschutz-, IT-Sicherheits- und KI-Vorgaben zu einem dichten Regelwerk. Besonders die Überschneidungen zwischen der DSGVO, der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA) setzen Rechts- und Fachabteilungen massiv unter Druck. Die entscheidende Frage: Sind die Unternehmen bereit?

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Welche KI-Systeme gelten als Hochrisiko? Jetzt Gratis-Report lesen

Datenschutz als Fundament für KI-Compliance

Längst reicht es nicht mehr, Datenschutz, IT-Sicherheit und KI-Regulierung getrennt zu betrachten. Branchenexperten fordern einen ganzheitlichen Ansatz. Die bestehenden DSGVO-Strukturen – insbesondere Zugriffskontrollen und Verschlüsselung – bilden demnach die notwendige Basis für die neuen Anforderungen aus NIS2, DORA und dem KI-Gesetz. Wer diese Funktionen integriert, vermeidet doppelte Verwaltungsstrukturen und kann schneller auf Bedrohungen reagieren.

Die Dringlichkeit zeigt sich in den aktuellen Bedrohungszahlen: Allein im ersten Quartal 2026 griffen 119 verschiedene Ransomware-Gruppen rund 3.300 Industrieunternehmen an – ein Anstieg um 49 Prozent im Vergleich zum Vorjahr. Besonders perfide: Die Täter setzen zunehmend auf „Double Extortion". Statt Daten nur zu verschlüsseln, stehlen sie diese gleich mit. Ein Beispiel aus dem April 2026: Der Angriff auf die Indigo-Gruppe traf rund 27.000 Organisationen und offenbarte die Verwundbarkeit moderner Lieferketten.

Gerichte ziehen rote Linien bei DSGVO-Bußgeldern

Während Unternehmen auf die vollständige Umsetzung des KI-Gesetzes hinarbeiten, schaffen aktuelle Gerichtsurteile dringend benötigte Klarheit. Das Oberlandesgericht Celle senkte Ende 2025 ein Bußgeld gegen notebooksbilliger.de drastisch: von ursprünglich 10,4 Millionen Euro auf 900.000 Euro. Der Fall offenbarte ein strukturelles Problem: Sobald ein Einspruch eingelegt wird, verlieren Datenschutzbehörden oft die Kontrolle über das Verfahren, weil die Staatsanwaltschaft übernimmt. Reformvorschläge sehen nun vor, dass die Behörden künftig als förmliche Antragsteller vor Gericht auftreten können.

Weitere Klarheit brachte der Europäische Gerichtshof (EuGH) am 19. März 2026. In seinem Urteil (C-526/24) stellte er klar: Auskunftsersuchen können als missbräuchlich gelten, wenn sie ausschließlich dazu dienen, Schadensersatzansprüche zu begründen – und nicht, um die Rechtmäßigkeit der Datenverarbeitung zu prüfen. Unternehmen dürfen nun öffentliche Warnlisten nutzen, um potenziell missbräuchliche Anträge zu identifizieren. Die Beweislast für DSGVO-Konformität bleibt jedoch bei ihnen.

Schon im Juli 2025 hatte das Amtsgericht Nürnberg entschieden: Die Kopplung eines Mobilfunkvertrags mit der Einwilligung zur Datenweitergabe an Auskunfteien ist zulässig – wenn sie der Betrugsprävention dient. Bloßes Unbehagen über die Datenverarbeitung reicht nicht für Schadensersatz.

KI made in Germany: Souveränität als Geschäftsmodell

Die praktische Umsetzung von KI-Tools schreitet voran – mit starkem Fokus auf europäische Datensouveränität. GMX verzeichnete im Mai 2026 einen Nutzerzuwachs, ausgelöst durch wachsende Bedenken hinsichtlich des US-Datenschutzniveaus. Der Anbieter setzt auf Open-Source-KI-Modelle, die vollständig in Deutschland gehostet werden. Auch das Berliner Start-up explicare bietet KI-gestützte Transkription für Mediziner an – DSGVO-konform durch Serverstandorte in Deutschland und Frankreich, Datenlöschung nach sieben Tagen inklusive.

Selbst große Institutionen tüfteln an komplexen technischen Lösungen. Die Schweizer Post versichert, dass ihr digitaler Briefdienst trotz Nutzung der Google-Cloud datenschutzkonform bleibt. Die Verschlüsselung erfolgt lokal in der Schweiz, das Schlüsselmanagement ist strikt getrennt. Eine Ende-zu-Ende-Verschlüsselung gibt es nicht – der Druckprozess erfordert eine temporäre Entschlüsselung. Trotz dieser Hürden wuchs der Dienst 2025 um 60 Prozent auf 5,1 Millionen Sendungen.

Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden verschafft Ihnen den Überblick, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht, um alle Fristen und Pflichten zu erfüllen. EU AI Act in 5 Schritten verstehen – Gratis-Download sichern

NIS2: Nur 38 Prozent der Unternehmen haben registriert

Die Zahlen sind alarmierend: Die Registrierungsfrist beim BSI nach dem NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) endete am 6. März 2026. Gerade einmal 38 Prozent der rund 29.000 betroffenen Unternehmen in Deutschland haben sich fristgerecht registriert. Dabei drohen empfindliche Strafen – bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes. Hinzu kommt die persönliche Haftung für Geschäftsführer.

Der regulatorische Rahmen weitet sich weiter aus. Ein EU-Entwurf aus diesem Jahr (Ares(2026)3247482) führt verpflichtende Energieeffizienzlabel für Rechenzentren ab einer Leistungsaufnahme von 500 Kilowatt ein. Ab dem 15. August 2027 müssen diese Einrichtungen jährlich über Kennzahlen wie Power Usage Effectiveness (PUE), Water Usage Effectiveness (WUE), Nutzung erneuerbarer Energien und Abwärmenutzung berichten. Die Labels gelten jeweils bis zum 15. August des Folgejahres – ein neuer Compliance-Zyklus, der digitale Leistung mit Nachhaltigkeitszielen verknüpft.

Ausblick: Vertrauen als Wettbewerbsvorteil

Die zweite Jahreshälfte 2026 wird von der Verfeinerung der Einwilligungsmechanismen und der Ablösung veralteter Sicherheitsprotokolle geprägt sein. Die Bundesregierung verabschiedete die Einwilligungsverordnung (EinwV), die die Cookie-Banner-Flut eindämmen soll. Ob die Nutzung freiwillig bleibt, ist umstritten – erste Kritiker bezweifeln eine breite Akzeptanz.

Parallel setzen Technologiekonzerne auf phishing-resistente Authentifizierung. Microsoft hat begonnen, die SMS-basierte Verifizierung für Privatkonten schrittweise abzuschaffen – zu anfällig für SIM-Swap-Angriffe. Der Umstieg auf Passkeys und hardwarebasierte Standards gilt als entscheidender Schritt gegen Social Engineering.

Für Unternehmen heißt das: Sie müssen ihre KI-gestützten Prozesse einem strengen Audit unterziehen und eng an den neuen Standards des EU-KI-Gesetzes ausrichten. Die Behörden melden steigende Fallzahlen KI-generierter Phishing-Angriffe und raffinierter Banking-Malware wie DevilNFC und NFCMultiPay. Der Fokus verschiebt sich von reiner Rechtskonformität hin zu aktiver digitaler Resilienz. Wer transparente und sichere KI-Prozesse nachweisen kann, wird sich einen entscheidenden Wettbewerbsvorteil sichern – in einem Markt, in dem Verbrauchervertrauen untrennbar mit Datensouveränität und regulatorischer Compliance verbunden ist.

de | wirtschaft | 69394218 |