Europäische Gerichte und Aufsichtsbehörden definieren die Spielregeln für Kredit-Scoring, KI-Rekrutierung und Cloud-Infrastruktur neu.
Schufa-Streit: Wann gibt es Schadensersatz?
Der Bundesgerichtshof hat im Januar 2025 klargestellt, dass Unternehmen für unerlaubte Datenweitergaben haften. Im Fall VI ZR 183/22 hatte ein Telekommunikationsanbieter Daten unrechtmäßig an die SCHUFA gemeldet. Die Folge: Die Hausbank des Betroffenen verweigerte einen Kredit. Der BGH sprach dem Kläger 500 Euro Schadensersatz nach Artikel 82 der DSGVO zu. Allerdings betonten die Karlsruher Richter: Die Zahlung dient dem Ausgleich, nicht der Abschreckung.
Doch nicht jede Datenübermittlung führt automatisch zu einer Entschädigung. Das Amtsgericht Nürnberg entschied im Juli 2025 (22 C 1423/25), dass die Einwilligung in Datenverarbeitung auch bei Handyverträgen freiwillig bleiben kann – solange der Anbieter keine Monopolstellung hat. Die Übermittlung von „Positivdaten“ an Auskunfteien sei durch ein berechtigtes Interesse an Betrugsprävention gedeckt. Entscheidend: „Bloßes Unbehagen“ über die Datenverarbeitung reicht nicht für Schadensersatz. Der Kläger muss einen konkreten, individuellen Schaden nachweisen.
KI im Bewerbungsprozess: Wenn Algorithmen diskriminieren
Künstliche Intelligenz revolutioniert die Personalauswahl – und bringt neue Risiken für Persönlichkeitsrechte. Experten warnen: KI-Tools bestrafen Bewerber oft für Postleitzahlen oder Lücken im Lebenslauf und verstärken so Diskriminierung. Der EU AI Act stuft solche Anwendungen als hochriskant ein. Die DSGVO verbietet zudem vollautomatisierte Entscheidungen mit erheblicher Wirkung auf Betroffene – ohne menschliche Kontrolle.
Da der EU AI Act weitreichende Pflichten für Unternehmen mit sich bringt, ist eine frühzeitige Vorbereitung entscheidend. Dieser kompakte Leitfaden erklärt die wichtigsten Fristen und Risikoklassen verständlich für Ihre IT- und Rechtsabteilung. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen
Bremen geht hier als Vorreiter voran. Seit Juli 2025 nutzt die Verwaltung den Textassistenten LLMoin, der bewusst auf diskriminierende Trainingsdaten verzichtet. Im Mai 2026 folgte eine formelle KI-Dienstvereinbarung. Sie schreibt vor: Der Mensch trifft die letzte Entscheidung, und Bewerber haben ein Recht auf Auskunft über die Datenverarbeitung.
Auch die Justiz beschäftigt sich mit KI-generierten Inhalten. Das Oberlandesgericht Düsseldorf entschied im April 2026 (I-20 W 2/26): Die Umwandlung eines Fotos in eine Comic-Illustration durch eine KI verletzt kein Urheberrecht. Die KI übernehme zwar das Motiv, nicht aber die spezifische ästhetische Komposition des Originals.
Milliardenstrafen und neue Regulierungswelle
Die Kosten der Datenschutz-Compliance belasten die europäische Wirtschaft massiv. Seit Einführung der DSGVO im Mai 2016 summierten sich die Bußgelder auf 6,11 Milliarden Euro (Stand März 2026). Zwar hatten 71 Prozent der Unternehmen die DSGVO-Anforderungen bis 2024 vollständig umgesetzt. Doch 81 Prozent berichten, dass die Prozesse bis 2025 noch komplizierter wurden. Laut einer Bitkom-Studie bewerten 97 Prozent der befragten Firmen den Compliance-Aufwand als hoch. 69 Prozent sagen: Datenschutzregeln erschweren das Training von KI-Modellen.
Die nächste Regulierungswelle rollt bereits. Die NIS2-Richtlinie zur Cybersicherheit – Meldefrist war der 6. März 2026 – haben bislang nur 11.000 von rund 29.500 betroffenen Unternehmen in Deutschland erfüllt. Der Digital Operational Resilience Act (DORA) für Finanz- und ICT-Unternehmen ist seit dem 17. Januar 2025 in Kraft. Für Banken und Versicherer bedeutet das: IT-Sicherheit wird zum Kerngeschäft, mit verpflichtenden Mitarbeiter-Screenings und 24-Stunden-Meldepflicht bei Vorfällen.
Der nächste Meilenstein: Am 2. August 2026 treten die Kennzeichnungspflichten des EU AI Act in Kraft. Dann müssen alle KI-generierten Inhalte – Texte, Bilder, Deepfakes – explizit markiert werden. Ausnahme: redaktionelle Inhalte unter namentlicher Verantwortung.
Cloud-Infrastruktur: Der Kampf um digitale Souveränität
Europas Unternehmen migrieren massiv in die Cloud. Die EU-Kommission prognostiziert, dass bis 2028 91 Prozent der Unternehmens-Workloads in der Cloud liegen werden. Parallel wächst der Druck auf technologische Unabhängigkeit. 180 Millionen Euro fließen in den Aufbau souveräner Cloud-Infrastruktur als Alternative zu US-Anbietern.
Auf der GITEX AI Europe in Berlin (geplant für Mitte 2026) wollen Anbieter wie IONOS und Trend Micro Lösungen präsentieren, die die Kontrolle über den gesamten Cloud-Stack garantieren. Dr. Nauerz, CPO von IONOS, betont: Echte Souveränität brauche mehr als DSGVO-Konformität – sie erfordere technologische Kontrolle.
Auch Apple reagiert. Das für Herbst 2026 erwartete iOS 27 soll verbesserte Privatsphäre-Modi und automatische Chat-Löschung bringen. Auf der Entwicklerkonferenz Anfang Juni 2026 standen diese Funktionen im Fokus. Allerdings bleiben Fragen offen: Wie lässt sich „Private Cloud Compute“ bei der Integration von Drittanbieter-KI wie Google Gemini aufrechterhalten?
Parallel zu neuen System-Releases wie dem kommenden iOS 27 sollten iPhone-Nutzer ihre Privatsphäre-Einstellungen genau im Blick behalten. Ein Apple-Experte zeigt in diesem Ratgeber, wie Sie Ihre Daten mit wenigen Klicks wirksam schützen. Gratis-Ratgeber für sichere iOS-Einstellungen sichern
Ausblick: Vom reaktiven zum proaktiven Datenschutz
Die digitale Profilbildung 2026 steht unter strenger Kontrolle. Gerichte harmonisieren die Anforderungen an Datenschäden, während Unternehmen unter Druck stehen: hohe Compliance-Kosten bei gleichzeitiger technischer Komplexität souveräner Cloud-Umgebungen. Für Verbraucher bleibt entscheidend, dass automatisierte Systeme – ob bei Kredit-Scoring oder Job-Bewerbungen – transparent bleiben und der Mensch das letzte Wort hat. Die EU zieht ihre digitalen Grenzen immer enger. Unternehmen müssen umdenken: Weg von reaktiver Compliance, hin zu „Privacy by Design“ als Geschäftsmodell.
