EU AI Act ab 2. August: Bußgelder bis 35 Millionen Euro drohen

Sozialgericht Nürnberg begrenzt Schadensersatz bei unbekannten Sicherheitslücken. Unternehmen haften nicht bei angemessenen Schutzmaßnahmen.

Ein Datendiebstahl über eine unbekannte Sicherheitslücke begründet demnach nicht automatisch einen Schadensersatzanspruch nach der DSGVO.

Voraussetzung: Das Unternehmen muss nachweisen können, dass es angemessene Sicherheitsvorkehrungen getroffen hat. Im konkreten Fall (Az. S 5 SF 65/24 DS) hatten Angreifer eine Zero-Day-Lücke ausgenutzt – eine Schwachstelle, die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt war.

Die Richter sahen kein schuldhaftes Versäumnis. „Wenn die technischen Maßnahmen dem Stand der Technik entsprachen und die Lücke unbekannt war, liegt kein Verstoß gegen die Sorgfaltspflicht vor“, so die Begründung.

Gerichte ziehen unterschiedliche Grenzen

Die Nürnberger Entscheidung reiht sich in eine differenzierte Rechtsprechung ein. Während das Gericht im Juni die Haftung bei technischen Exploits begrenzte, verurteilte das Oberlandesgericht Stuttgart den US-Konzern Meta zu 500 Euro Schadensersatz (Az. 4 U 353/24). Dort ging es jedoch um unzureichende Auskunft über Daten aus Business-Tools – ein klarer Verstoß gegen Transparenzpflichten.

Das Landgericht Berlin II (Az. 6 S 1/25) stärkte parallel die Rechte von Unternehmen bei Auskunftsersuchen. Ein Anspruch nach Art. 15 DSGVO gilt demnach bereits als erfüllt, wenn der Verpflichtete erklärt, die Auskunft vollständig erteilt zu haben. Absolute Vollständigkeit ist nicht zwingend nötig, solange der Wille zur Offenlegung erkennbar ist.

Anzeige

Um bei Prüfungen oder Haftungsfragen nachzuweisen, dass Ihr Unternehmen die DSGVO-Pflichten ernst nimmt, ist eine lückenlose Dokumentation unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher nach Art. 30 DSGVO zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Das Verwaltungsgericht Düsseldorf bestätigte im Januar (Az. 29 K 9469/23): Unternehmen dürfen Datenkopien schwärzen – besonders bei personenbezogenen Daten Dritter. Der Anspruch bezieht sich ausschließlich auf die eigenen Daten der betroffenen Person.

Schadenssummen sinken – Risiko bleibt hoch

Die juristische Entwicklung fällt in eine Zeit sinkender Schadenssummen. Die HDI Cyberstudie 2026 zeigt: Der durchschnittliche Schaden bei erfolgreichen Angriffen liegt aktuell bei rund 25.000 Euro – in den Vorjahren waren es mindestens 68.000 Euro.

Trotzdem stufen 60 Prozent der befragten Unternehmen Cyberschäden als relevantes Risiko ein. Phishing bleibt mit 64 Prozent das häufigste Einfallstor. Die Studie belegt auch den Wert von Prävention: Bei hohem Schutzgrad dauern Betriebsunterbrechungen durchschnittlich 2,1 Tage, ohne Vorkehrungen steigen sie auf 5,7 Tage.

EU AI Act bringt neue Pflichten ab August

Ab dem 2. August 2026 verschärfen sich die Anforderungen weiter. Dann gelten neue Transparenz- und Compliance-Pflichten durch den EU AI Act. Besonders Hochrisiko-Anwendungen im KI-Bereich müssen strenge Kriterien an Genauigkeit, Robustheit und Cybersicherheit erfüllen. Bei Verstößen drohen Bußgelder bis zu 35 Millionen Euro.

Anzeige

Angesichts der neuen gesetzlichen Anforderungen durch den EU AI Act müssen Unternehmen jetzt schnell handeln, um hohe Bußgelder zu vermeiden. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer Rechts- und IT-Abteilung den nötigen Überblick über alle relevanten Fristen, Risikoklassen und Pflichten. EU AI Act in 5 Schritten verstehen und kostenlos herunterladen

Dass die Bedrohung real bleibt, zeigen aktuelle Vorfälle: Ein Kreiskrankenhaus in Baden-Württemberg meldete den Abfluss von 135.000 Patientenstammdaten – ausgelöst durch einen Tippfehler beim Mailversand. Gleichzeitig behauptet die neue Ransomware-Gruppe „UnSafe“, Daten einer deutschen Großbank erbeutet zu haben. In solchen Fällen gilt: Die DSGVO-Meldung an die Aufsichtsbehörden muss innerhalb von 72 Stunden erfolgen.