KI-Verordnung, Pflichten

KI-Verordnung: Neue Pflichten für Unternehmen ab August 2026

06.07.2026 - 20:26:04 | boerse-global.de

EuGH definiert Personenbezug neu: Daten können je nach Empfänger unterschiedlich eingestuft werden. Ab August gelten zudem neue KI-Regeln.

EuGH-Urteil: Neuer Personenbezug von Daten und KI-Pflichten
KI-Verordnung - Abstrakte Darstellung von Datenströmen und rechtlichen Symbolen, die Anonymität und Personenbezug von Daten symbolisieren. 06.07.2026 - Bild: über boerse-global.de

Anonymität ist demnach kein absoluter Zustand mehr.

Bislang galt: Entweder sind Daten personenbezogen oder anonym. Der EuGH macht jetzt eine wichtige Unterscheidung. Im SRB-Urteil vom September 2025 stärkte er die sogenannte relative Theorie des Personenbezugs.

Danach können pseudonymisierte Daten für einen Empfänger als anonym gelten – wenn dieser keine rechtlich zulässigen Mittel hat, um mit verhältnismäßigem Aufwand einen Bezug zu einer Person herzustellen. Entscheidend ist das Wissen des jeweiligen Verarbeiters.

Personenbezug als Wissensbeziehung

Diese Entwicklung zeichnete sich bereits in früheren Verfahren ab. Der EuGH hatte sie in den Fällen Breyer (2016), Scania (2023) sowie in Entscheidungen zu OLAF und IAB Europe (2024) thematisiert.

Für Unternehmen bedeutet das: Ein und derselbe Datensatz kann für verschiedene Empfänger unterschiedlich eingestuft werden. Die Compliance-Strategie muss daher für jeden Empfänger und dessen Zugriffsmöglichkeiten individuell bewertet werden.

Anzeige

Die neue Rechtsprechung zeigt, wie komplex die Dokumentation der Datenverarbeitung geworden ist – Lücken im Verzeichnis können Unternehmen heute teuer zu stehen kommen. Mit dieser kostenlosen Excel-Vorlage erfüllen Sie Ihre Dokumentationspflichten gemäß Art. 30 DSGVO rechtssicher und zeitsparend. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Rechtswidrig erlangte Daten: Verwertbar unter Auflagen

Ein weiteres Urteil vom 18. Juni 2026 (Az. C-484/24) sorgt für Klarheit bei Beweismitteln. Die DSGVO verbietet die Nutzung rechtswidrig erlangter personenbezogener Daten nicht absolut. Nationale Gerichte können sie zulassen, sofern ein faires Verfahren gewahrt bleibt.

Allerdings müssen die Gerichte die Offenlegung auf das Nötigste beschränken und gegebenenfalls Anonymisierungen vornehmen.

Parallel dazu präzisierte der EuGH in der Rechtssache C-526/24 die Grenzen von Auskunftsansprüchen. Exzessive Anträge in missbräuchlicher Absicht können abgewiesen werden. Das dient der Vorbeugung von Rechtsmissbrauch bei Auskunftsbegehren nach Art. 15 DSGVO.

KI-Verordnung: Neue Pflichten ab August 2026

Ab dem 2. August treten zentrale Vorgaben der europäischen KI-Verordnung (EU) 2024/1689 in Kraft. Unternehmen müssen ihre KI-Nutzung prüfen. Besonders bei Hochrisiko-Systemen – etwa in der Personalauswahl – werden Transparenz- und Dokumentationspflichten zur Pflicht.

Branchenexperten warnen zudem vor den Risiken von Dark Data. Schätzungen zufolge bestehen bis zu 80 Prozent der Unternehmensdaten aus unstrukturierten Informationen ohne klare Klassifizierung. Das birgt Sicherheitsrisiken.

Bei KI-Assistenten, die auf interne Repositorien wie SharePoint zugreifen, droht Oversharing, wenn Freigaben zu weit gefasst sind. Eine systematische Dateninventur und -klassifizierung gilt als notwendige Vorbereitung.

Anzeige

Die neue EU-KI-Verordnung stellt Unternehmen vor komplexe Herausforderungen bei der Kennzeichnung und Dokumentation ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act verschafft Ihrer Rechts- und IT-Abteilung jetzt den nötigen Überblick über alle relevanten Fristen und Pflichten. EU AI Act in 5 Schritten verstehen: Jetzt kostenlosen Report sichern

Strengere Regeln für Datentransfers

Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte fordern in einer gemeinsamen Stellungnahme strengere Sorgfaltspflichten bei internationalen Datentransfers. Unternehmen müssen ihre Transfers in Drittstaaten anhand revidierter Standardvertragsklauseln einer Einzelfallprüfung unterziehen.

WhatsApp führt Benutzernamen ein

Auch Kommunikationsplattformen passen ihre Identitätskonzepte an. WhatsApp führt schrittweise Benutzernamen ein. Ziel: Die Sichtbarkeit von Mobilfunknummern einschränken und die Privatsphäre schützen.

Doch Sicherheitsexperten warnen vor neuen Risiken. Identitätsdiebstahl und Betrugsszenarien könnten zunehmen. Plattformbetreiber reservieren bereits bekannte Namen, um Missbrauch vorzubeugen.

de | wirtschaft | 69707847 |