Doppel-Bußgeld 2026: Wenn DSGVO und EU AI Act gleichzeitig zuschlagen – KI-Compliance für Unternehmen

Die DSGVO regelt den Schutz personenbezogener Daten. Sie greift immer dann, wenn Daten lebender Menschen verarbeitet werden. Der EU AI Act hingegen ist produktsicherheitsorientiert und regelt den Einsatz von Systemen mit Künstlicher Intelligenz, basierend auf deren Risikopotenzial.

Was passiert, wenn eine KI personenbezogene Daten verarbeitet? Die Antwort ist juristisch eindeutig: Beide Regelwerke gelten kumulativ. Der AI Act ersetzt die DSGVO nicht, sondern ergänzt sie explizit.

Da beide Gesetze unterschiedliche Schutzgüter verfolgen – die DSGVO schützt die informationelle Selbstbestimmung, der AI Act die Sicherheit und die Grundrechte im Umgang mit KI –, liegt rechtlich keine Doppelbestrafung im klassischen Sinne vor. Eine einzige Datenpanne im KI-System öffnet somit die Tür für zwei separate Aufsichtsbehörden und zwei unabhängige Bußgeldverfahren.

Um das eigene Risiko im Jahr 2026 richtig einzuschätzen, müssen Unternehmen ihre Rolle im Sinne des AI Acts definieren. Hier wird strikt unterschieden:

• Anbieter (Provider): Du entwickelst ein KI-System selbst oder lässt es unter deinem Namen marktreif machen, um es zu vertreiben oder selbst zu nutzen. Auf Anbietern liegt das umfangreichste Pflichtenheft des AI Acts.
• Betreiber (Deployer): Du nutzt ein KI-System im beruflichen oder gewerblichen Kontext unter deiner eigenen Verantwortung – zum Beispiel eine eingekaufte HR-Software, einen Kundenservice-Chatbot oder ein KI-gestütztes Analysetool eines Drittanbieters.

Die meisten kleinen und mittelständischen Unternehmen (KMUs) agieren rein als Betreiber. Viele wiegen sich daher in Sicherheit und denken, die Compliance-Last liege allein beim Softwarehersteller. Das ist ein fataler Irrtum. Auch als Betreiber treffen dich im Jahr 2026 strenge Pflichten: Du musst die Einhaltung der Nutzungsvorschriften des Herstellers überwachen, die menschliche Aufsicht (Human Oversight) sicherstellen, relevante Systemprotokolle aufbewahren und im Zweifel die Datenverarbeitung stoppen.

In der Praxis kristallisieren sich drei Kernbereiche heraus, in denen das Risiko eines Doppelverstoßes für Betreiber am höchsten ist.

Recruiting und Personalmanagement (HR)

KI-Systeme, die im Personalbereich für die Filterung von Bewerbungen, die Leistungsbeurteilung oder Beförderungen eingesetzt werden, stuft der AI Act pauschal als Hochrisiko-KI ein.

• Das DSGVO-Risiko: Automatisierte Einzelentscheidungen, die rechtliche Wirkung entfalten, wie etwa eine automatische Absage, sind nach Art. 22 DSGVO grundsätzlich verboten, sofern keine Ausnahme vorliegt. Zudem mangelt es oft an einer transparenten Aufklärung der Betroffenen.
• Das AI-Act-Risiko: Wer ein solches System als Betreiber nutzt, muss ab August 2026 nachweisen, dass die menschliche Aufsicht lückenlos funktioniert und die Eingabedaten für den Einsatzzweck relevant und repräsentativ sind.
• Der typische Fehler: Ein KMU verlässt sich blind auf die KI-Vorsortierung einer Recruiting-Software, ohne dass ein Mensch die finalen Absagen prüft oder freigibt.

Wie du KI im Personalwesen rechtssicher und praktisch umsetzt, erfährst du in unserem Artikel “KI im Personalwesen richtig umsetzen”

Kundenservice und Marketing-Automatisierung

Der Einsatz von intelligenten Chatbots oder Systemen zur Erstellung von Kundenprofilen (Profiling) ist im Jahr 2026 Standard.

• Das DSGVO-Risiko: Werden Kundendaten für personalisiertes Marketing oder Verhaltensvorhersagen analysiert, verlangt die DSGVO eine wasserdichte Rechtsgrundlage, meist eine explizite Einwilligung, sowie umfassende Transparenz.
• Das AI-Act-Risiko: Der AI Act fordert bei Chatbots klare Transparenzpflichten: Nutzer müssen sofort und unmissverständlich wissen, dass sie mit einer KI kommunizieren. Handelt es sich um Systeme zur biometrischen Kategorisierung oder Emotionserkennung am Arbeitsplatz, greifen sogar strikte Verbote.
• Der typische Fehler: Ein Chatbot im Kundenservice sammelt im Gesprächsverlauf sensible Kundendaten, zum Beispiel Gesundheitsbeschwerden bei einer Versicherung, ohne dass die Datenschutz-Folgenabschätzung angepasst wurde oder der Nutzer weiß, dass er mit einer Maschine spricht.

Finanzdienstleistungen und Kredit-Scoring

Systeme, die zur Bewertung der Kreditwürdigkeit oder zur Risikoeinschätzung von Privatpersonen eingesetzt werden, fallen ebenfalls unter die Hochrisiko-Klassifizierung.

• Das DSGVO-Risiko: Ungenaue oder intransparente Daten führen zu fehlerhaften Profilen. Betroffene haben das Recht auf Erklärung und das Recht, nicht einer rein automatisierten Entscheidung unterworfen zu werden.
• Das AI-Act-Risiko: Hochrisiko-Systeme erfordern eine detaillierte Protokollierung (Logging) aller Systemzustände, um Fehler im Nachgang nachvollziehen zu können. Zudem muss die Cybersicherheit des Systems gegen Manipulationen, zum Beispiel Adversarial Attacks, geschützt sein.
• Der typische Fehler: Ein Finanzdienstleister nutzt ein KI-Modell zur Kreditprüfung, kann dem Kunden aber im Nachhinein nicht erklären, welche Datenpunkte zur Ablehnung geführt haben. Das kann sowohl gegen die DSGVO-Transparenzpflichten als auch gegen die Erklärbarkeitsanforderungen des AI Acts verstoßen.

Die finanziellen Daumenschrauben beider Regelwerke sind massiv und können theoretisch addiert werden:

• Nach der DSGVO: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.
• Nach dem EU AI Act: Bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes bei der Nutzung verbotener KI-Praktiken. Bei Verstößen gegen die Pflichten von Hochrisiko-Systemen drohen bis zu 15 Millionen Euro oder 3 % des Umsatzes.

Zwar zwingt das allgemeine europäische Verhältnismäßigkeitsprinzip die Aufsichtsbehörden dazu, bei der Strafzumessung zu berücksichtigen, ob bereits eine Sanktion nach dem jeweils anderen Gesetz verhängt wurde. Dennoch bleibt die finanzielle Belastung durch koordinierte Verfahren der Datenschutz- und KI-Aufsichtsbehörden für viele Unternehmen existenzbedrohend.

Um im Jahr 2026 nicht ins Visier der Behörden zu geraten, müssen Unternehmen das Silo-Denken beenden. IT, Datenschutz und Geschäftsführung dürfen KI-Compliance nicht mehr getrennt voneinander betrachten.

• Schritt 1 - KI-Inventar anlegen: Erfasse jedes im Unternehmen genutzte KI-Tool. Dokumentiere den Zweck, den Hersteller, die verarbeiteten Daten und ob das System automatisierte Entscheidungen trifft.
• Schritt 2 - Kombinierte Risikobewertung durchführen: Führe für kritische Systeme eine Datenschutz-Folgenabschätzung (DSFA nach Art. 35 DSGVO) und eine KI-Risikoklassifizierung nach dem AI Act in einem gemeinsamen Prozess durch.
• Schritt 3 - Verträge nachschärfen: Überprüfe die Verträge (AVVs) mit deinen Software-Anbietern. Stelle sicher, dass der Anbieter dir alle technischen Informationen zur Verfügung stellt, die du als Betreiber zur Erfüllung deiner AI-Act-Pflichten benötigst, zum Beispiel für die menschliche Aufsicht. Wer haftet, wenn die KI des Herstellers halluziniert oder diskriminiert? Das muss vertraglich geregelt sein.
• Schritt 4 - Zentrale Governance nutzen: Die doppelte Compliance lässt sich im Mittelstand manuell kaum noch abbilden. Eine digitale, zentrale Compliance-Plattform wie die von heyData hilft dabei, das KI-Inventar direkt mit den bestehenden datenschutzrechtlichen Verarbeitungsverzeichnissen und DSFAs zu verknüpfen. Das verhindert doppelte Arbeit und schließt gefährliche Lücken zwischen IT-Sicherheit und Rechtsschutz.

Das Doppel-Bußgeld im Jahr 2026 ist kein theoretisches Schreckgespenst der Juristen, sondern die logische Konsequenz einer digitalisierten Rechtswelt. Wer die Effizienzvorteile von KI nutzen will, muss die Spielregeln beider Welten – Datenschutz und KI-Sicherheit – gleichzeitig beherrschen.

Da der Countdown für die Hochrisiko-Vorschriften im August 2026 läuft, ist jetzt der richtige Zeitpunkt zum Handeln. Unternehmen, die ihre KI-Systeme strukturiert inventarisieren, klare Prozesse für die menschliche Überwachung etablieren und auf eine integrierte Compliance-Strategie setzen, schützen sich effektiv vor dem doppelten Zugriff der Aufsichtsbehörden.

Kann mein Unternehmen wirklich für denselben KI-Fehler zweimal bezahlen?

Ja. Da die Schutzzwecke der DSGVO (Schutz der Grundrechte bei der Datenverarbeitung) und des AI Acts (Sicherheit von KI-Produkten) unterschiedlich sind, können zwei separate Bußgelder verhängt werden. Die Behörden müssen die Strafen zwar verhältnismäßig abstimmen, eine Addition ist aber rechtlich zulässig.

Gilt der EU AI Act auch für Schweizer Unternehmen?

Ja, über die sogenannte extraterritoriale Wirkung. Wenn ein Schweizer Unternehmen eine KI auf dem EU-Markt anbietet oder wenn die Ergebnisse eines KI-Systems in der EU genutzt werden (z. B. bei der Analyse von EU-Bürgerdaten), muss der AI Act zwingend eingehalten werden. Zudem arbeitet die Schweiz an eigenen, harmonisierten KI-Regeln.

Reicht unser interner Datenschutzbeauftragter für die KI-Compliance aus?

In der Regel nicht allein. Der Datenschutzbeauftragte ist Experte für die DSGVO. Der AI Act erfordert jedoch tiefgehendes technisches Verständnis über Algorithmen, Datenqualität, technische Dokumentationen und KI-Risikomanagement. Sinnvoll ist ein interdisziplinäres Team aus IT-Leitung, Legal und dem DSB.

Was passiert, wenn Mitarbeiter heimlich „Shadow AI“ (z. B. private ChatGPT-Accounts) nutzen?

Das ist eines der größten Risiken im Jahr 2026. Werden dabei Kunden- oder Unternehmensdaten in eine externe, nicht freigegebene KI eingegeben, liegt sofort ein schwerer DSGVO-Verstoß vor. Als Betreiber haftest du auch für das Organisationsverschulden. Eine klare KI-Richtlinie und die Sperrung unautorisierter Tools sind Pflicht.