KI-Verordnung: Neue Pflichten für Unternehmen ab August 2026
06.07.2026 - 20:26:04 | boerse-global.de
Anonymität ist demnach kein absoluter Zustand mehr.
Bislang galt: Entweder sind Daten personenbezogen oder anonym. Der EuGH macht jetzt eine wichtige Unterscheidung. Im SRB-Urteil vom September 2025 stärkte er die sogenannte relative Theorie des Personenbezugs.
Danach können pseudonymisierte Daten für einen Empfänger als anonym gelten – wenn dieser keine rechtlich zulässigen Mittel hat, um mit verhältnismäßigem Aufwand einen Bezug zu einer Person herzustellen. Entscheidend ist das Wissen des jeweiligen Verarbeiters.
Personenbezug als Wissensbeziehung
Diese Entwicklung zeichnete sich bereits in früheren Verfahren ab. Der EuGH hatte sie in den Fällen Breyer (2016), Scania (2023) sowie in Entscheidungen zu OLAF und IAB Europe (2024) thematisiert.
Für Unternehmen bedeutet das: Ein und derselbe Datensatz kann für verschiedene Empfänger unterschiedlich eingestuft werden. Die Compliance-Strategie muss daher für jeden Empfänger und dessen Zugriffsmöglichkeiten individuell bewertet werden.
Die neue Rechtsprechung zeigt, wie komplex die Dokumentation der Datenverarbeitung geworden ist – Lücken im Verzeichnis können Unternehmen heute teuer zu stehen kommen. Mit dieser kostenlosen Excel-Vorlage erfüllen Sie Ihre Dokumentationspflichten gemäß Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Rechtswidrig erlangte Daten: Verwertbar unter Auflagen
Ein weiteres Urteil vom 18. Juni 2026 (Az. C-484/24) sorgt für Klarheit bei Beweismitteln. Die DSGVO verbietet die Nutzung rechtswidrig erlangter personenbezogener Daten nicht absolut. Nationale Gerichte können sie zulassen, sofern ein faires Verfahren gewahrt bleibt.
Allerdings müssen die Gerichte die Offenlegung auf das Nötigste beschränken und gegebenenfalls Anonymisierungen vornehmen.
Parallel dazu präzisierte der EuGH in der Rechtssache C-526/24 die Grenzen von Auskunftsansprüchen. Exzessive Anträge in missbräuchlicher Absicht können abgewiesen werden. Das dient der Vorbeugung von Rechtsmissbrauch bei Auskunftsbegehren nach Art. 15 DSGVO.
KI-Verordnung: Neue Pflichten ab August 2026
Ab dem 2. August treten zentrale Vorgaben der europäischen KI-Verordnung (EU) 2024/1689 in Kraft. Unternehmen müssen ihre KI-Nutzung prüfen. Besonders bei Hochrisiko-Systemen – etwa in der Personalauswahl – werden Transparenz- und Dokumentationspflichten zur Pflicht.
Branchenexperten warnen zudem vor den Risiken von Dark Data. Schätzungen zufolge bestehen bis zu 80 Prozent der Unternehmensdaten aus unstrukturierten Informationen ohne klare Klassifizierung. Das birgt Sicherheitsrisiken.
Bei KI-Assistenten, die auf interne Repositorien wie SharePoint zugreifen, droht Oversharing, wenn Freigaben zu weit gefasst sind. Eine systematische Dateninventur und -klassifizierung gilt als notwendige Vorbereitung.
Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Kennzeichnung und Dokumentation ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer Rechts- und IT-Abteilung jetzt den nötigen Überblick über alle relevanten Fristen und Pflichten. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Report sichern
Strengere Regeln für Datentransfers
Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte fordern in einer gemeinsamen Stellungnahme strengere Sorgfaltspflichten bei internationalen Datentransfers. Unternehmen müssen ihre Transfers in Drittstaaten anhand revidierter Standardvertragsklauseln einer Einzelfallprüfung unterziehen.
WhatsApp führt Benutzernamen ein
Auch Kommunikationsplattformen passen ihre Identitätskonzepte an. WhatsApp führt schrittweise Benutzernamen ein. Ziel: Die Sichtbarkeit von Mobilfunknummern einschränken und die Privatsphäre schützen.
Doch Sicherheitsexperten warnen vor neuen Risiken. Identitätsdiebstahl und Betrugsszenarien könnten zunehmen. Plattformbetreiber reservieren bereits bekannte Namen, um Missbrauch vorzubeugen.
