GDPR kumuliert 7,1 Milliarden Euro in Bußgeldern, und das AI-Gesetz erhöht den regulatorischen Druck im August

Die Zahlen sprechen vor jeder Analyse: Seit der Einführung der GDPR im Jahr 2018 haben europäische Aufsichtsbehörden 7,1 Milliarden Euro an Bußgeldern kumuliert. Mehr als 60 % dieses Betrags – etwa 4,3 Milliarden Euro – wurden nach Januar 2023 verhängt. Die Intensität der Aufsicht hat nicht nachgelassen: 2025 erreichte das Volumen der Bußgelder 1,2 Milliarden Euro, was dem Rekord des Vorjahres entspricht und einen kurzen Trend des Rückgangs umkehrt.

Der August 2026 markiert den Inkrafttreten der ersten verbindlichen Verpflichtungen des EU AI-Gesetzes für Hochrisikosysteme. Das Ergebnis ist, dass Unternehmen, die KI zur Verarbeitung personenbezogener Daten verwenden, nun doppeltem regulatorischen Risiko ausgesetzt sind – einer zweiten Risikostufe, die die meisten Organisationen noch nicht angemessen erfasst haben.

Der Stand der Durchsetzung der GDPR

Irland führt weiterhin das absolute Volumen an Bußgeldern an, mit kumulierten 4,04 Milliarden Euro – das direkte Ergebnis der Tatsache, dass es der europäische Sitz der wichtigsten amerikanischen digitalen Plattformen ist. Die höchste Einzelfine in der Geschichte der GDPR bleibt die von 1,2 Milliarden Euro gegen Meta wegen illegaler Datenübertragung in die USA. TikTok erhielt aus demselben Grund 530 Millionen Euro.

Aber das Profil der Durchsetzung verändert sich. Aufsichtsbehörden konzentrieren sich nicht mehr ausschließlich auf Big Tech und erweitern die Überwachung auf Sektoren wie Finanzen, Gesundheit, Telekommunikation und den öffentlichen Sektor. Datenschutzbehörden gehen von reaktiver Aufsicht (basierend auf Beschwerden) zu proaktiven und systematischen Prüfungen über.

Die am häufigsten zitierten Artikel in den jüngsten Bußgeldern sind der 5(1)(a) – Rechtmäßigkeit, Fairness und Transparenz bei der Verarbeitung – und der 5(1)(f) – Integrität und Vertraulichkeit. Praktisch gesehen: Der Fokus hat sich von der Frage "Hatten Sie einen Verstoß?" zu "Ist Ihre Datenarchitektur strukturell konform?" verschoben.

Eine operative Zahl, die CIOs besorgt: Datenschutzbehörden erhalten seit Januar 2025 im Durchschnitt 443 Meldungen über Datenverletzungen pro Tag – ein Anstieg von 22 % pro Jahr. Dieses Volumen spiegelt wider, dass Verstöße jetzt praktisch unvermeidlich sind; der Wettbewerbsvorteil liegt in der Geschwindigkeit der Entdeckung und der Qualität der Reaktion.

Das AI-Gesetz tritt in Kraft

Im August 2026 legt das EU AI-Gesetz seine ersten Verpflichtungen für als "hochriskant" eingestufte KI-Systeme fest. Dazu gehören: Kreditsysteme, Rekrutierungsprozesse, Bildung, kritische Infrastruktur und Gesundheit.

Die Strafen des AI-Gesetzes sind erheblich höher als die der GDPR: bis zu 35 Millionen Euro oder 7 % des globalen Umsatzes bei schwerwiegenden Verstößen (im Vergleich zu 20 Millionen Euro oder 4 % bei der GDPR). Bei einem Unternehmen mit 10 Milliarden Euro globalem Umsatz sprechen wir von einer potenziellen Exposition von 700 Millionen Euro.

Die Schnittstelle der beiden Regime schafft reale Komplexität. Ein KI-System, das personenbezogene Daten zur Kreditentscheidung verwendet, unterliegt gleichzeitig: (1) der GDPR, weil es personenbezogene Daten verarbeitet, und (2) dem AI-Gesetz, weil es sich um ein Hochrisikosystem handelt. Ein einzelner Verstoß kann Bußgelder unter beiden Rahmenbedingungen hervorrufen – kumulativ.

Die italienische Aufsicht Garante behandelt bereits das Training von Sprachmodellen und die Personalisierung von Chatbots unter demselben rechtlichen Gesichtspunkt, den sie auch auf die Ad-Tech anwendet – rechtliche Grundlage, Zweck der Verarbeitung, Widerspruchsrecht. Andere europäische Aufsichtsbehörden werden folgen.

Was Organisationen noch nicht getan haben

Zwei Lücken treten in den Compliance-Berichten von 2025-2026 besonders hervor:

Datenvisibilität: Nur 33 % der Organisationen sind sich vollständig bewusst, wo ihre Daten gespeichert sind, laut dem Thales Data Threat Report. Aufsichtsbehörden betrachten die vollständige Sichtbarkeit der Daten als grundlegende Betriebsfähigkeit, nicht als Ziel. Ohne Datenmapping ist keine Compliance möglich – und es gibt keinen praktikablen regulatorischen Schutz.

Dritte und KI: 29 % der Organisationen identifizieren Transfers über KI-Anbieter als das Hauptgebiet der Datenschutzexposition. Die Mehrheit hat keine echte Sichtbarkeit darin, wie ihre KI-Partner Daten innerhalb ihrer Systeme verarbeiten. Das ist eine regulatorische Exposition, die mit jeder neuen Integration eines nicht verwalteten KI-Tools wächst.

Prioritäten für das C-Level

Für den CISO und den DPO hat die Agenda für August 2026 drei nicht verhandelbare Punkte:

1. Inventar von KI-Systemen nach Risikokategorie (gemäß der Taxonomie des EU AI-Gesetzes): Ohne diese Klassifizierung ist nicht klar, welche Systeme bis August Compliance erfordern.

2. Audit von Dritten: Ermitteln, welche KI-Anbieter personenbezogene Daten verarbeiten, mit dokumentierter rechtlicher Grundlage für jeden Transfer.

3. Vereinigtes Logging: Infrastruktur für Audits vorbereiten, die es ermöglicht, die Compliance mit den Anforderungen der technischen Dokumentation des AI-Gesetzes nachzuweisen.

Für den CFO: Das Szenario kumulativer Bußgelder (GDPR + AI-Gesetz) sollte bereits in den Risikomodellen berücksichtigt werden. Unternehmen, die die Regulierung der KI als einmaliges Compliance-Projekt behandeln – und nicht als dauerhafte organisatorische Fähigkeit – unterschätzen die finanzielle Exposition ab 2026.