Mitte April 2026 veröffentlichte der Europäische Datenschutzausschuss (EDPB) eine umfassende neue Vorlage für Datenschutz-Folgenabschätzungen (DPIA). Ziel ist eine einheitliche Risikobewertung für alle EU-Mitgliedsstaaten – und das ausgerechnet vor dem Hintergrund der nahenden Durchsetzung des EU AI Acts.
Anzeige
Eine fehlende oder lückenhafte Datenschutz-Folgenabschätzung kann Unternehmen teuer zu stehen kommen, da Behörden Bußgelder von bis zu 2 % des Jahresumsatzes verhängen können. Dieser kostenlose Leitfaden bietet Ihnen eine rechtssichere Muster-Vorlage und Checklisten, um Ihre Dokumentationspflichten sofort und individuell anpassbar zu erfüllen. Rechtssichere Muster-DSFA jetzt kostenlos herunterladen
Standardisierte Risikoanalyse für Unternehmen
Die neue EDPB-Vorlage, die bis zum 9. Juni 2026 zur öffentlichen Konsultation steht, schafft einen verbindlichen Rahmen für Governance, Risikoanalyse und Bewertung von Restrisiken. Für Unternehmen bedeutet das: Schluss mit dem Flickenteppich unterschiedlicher nationaler Anforderungen. Die Vorlage ist zwar nicht streng verpflichtend, doch Branchenexperten rechnen damit, dass sie sich als De-facto-Standard durchsetzen wird.
Besonders brisant: Die deutsche Rechtsprechung verschärft parallel die Anforderungen. Das Kammergericht Berlin wies am 30. April 2026 eine Sammelklage gegen die Plattform X ab – mit der Begründung, dass Schadensersatzansprüche nach der DSGVO eine Einzelfallprüfung erfordern. Die Botschaft an Unternehmen: Wer nicht lückenlos dokumentiert, riskiert im Streitfall das Nachsehen.
Der Bundesgerichtshof hatte bereits am 24. Februar 2026 klargestellt, dass das Auskunftsrecht nach Artikel 15 DSGVO nicht automatisch mit der Abtretung von Forderungen übergeht. Compliance-Verantwortliche müssen ihre internen Prozesse für Betroffenenanfragen entsprechend nachschärfen.
Der August-Termin rückt näher
Der Druck kommt von einer ganz anderen Seite: Am 2. August 2026 treten die meisten Bestimmungen des EU AI Acts in Kraft. Hochrisiko-KI-Systeme – etwa in Personalabteilungen, Banken oder Versicherungen – unterliegen dann strengen Transparenz- und Dokumentationspflichten.
Die gescheiterten „Digital Omnibus“-Verhandlungen im April 2026 haben die Lage verschärft. Die EU-Kommission hatte im November 2025 ein Reformpaket vorgeschlagen, das unter anderem KI-Training auf Basis „berechtigter Interessen“ erlauben sollte. Nach dem Scheitern dieser Verhandlungen bleibt der harte Stichtag bestehen – Aufweichungen sind nicht in Sicht.
Anzeige
Da die strengen Anforderungen des EU AI Acts bereits in naher Zukunft voll greifen, stehen viele IT- und Rechtsabteilungen unter erheblichem Zeitdruck. Sichern Sie sich diesen kostenlosen Umsetzungsleitfaden, um Risikoklassen, Fristen und die neuen Dokumentationspflichten der KI-Verordnung rechtzeitig zu verstehen. Kostenloses E-Book zum EU AI Act sichern
Deutschland ha bereits reagiert: Mit dem KI-Management- und Implementierungsgesetz (KI-MIG) vom 11. Februar 2026 wurde die Bundesnetzagentur zur zentralen KI-Aufsichtsbehörde ernannt. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes.
Internationale Entwicklungen im Überblick
Während die EU auf Standardisierung setzt, gehen andere Staaten eigene Wege:
Großbritannien: Die Datenschutzbehörde ICO veröffentlichte im März 2026 Leitlinien zu „Anerkannten berechtigten Interessen“ – fünf klar definierte Ausnahmen, bei denen Unternehmen ohne aufwendige Einzelfallprüfung Daten verarbeiten dürfen.
USA: Zum 1. Januar 2026 traten in Indiana, Kentucky und Rhode Island neue Datenschutzgesetze in Kraft – insgesamt haben nun 20 Bundesstaaten entsprechende Regelungen. Connecticut führt ab Juli 2026 eine Offenlegungspflicht für KI-Trainingsdaten ein.
Kalifornien: Die Datenschutzbehörde CPPA prüft derzeit, wie die Regeln auf Mitarbeiterdaten ausgeweitet werden können – die Kommentierungsfrist endet am 20. Mai 2026.
Sicherheitsrisiken im Blick behalten
Die DPIA ist kein bloßes Formalitätsdokument. Aktuelle Sicherheitsvorfälle zeigen, welche Risiken Unternehmen ernst nehmen müssen:
Am 23. Februar 2026 wurde eine kritische Sicherheitslücke in der Verwaltungsplattform cPanel/WHM entdeckt (CVE-2026-41940), die über eine Million Websites betraf. Erst am 28. April 2026 wurde ein Patch veröffentlicht. Solche Vorfälle müssen in modernen Risikoanalysen berücksichtigt werden.
In Deutschland verschärft das KRITIS-Dachgesetz (seit März 2026 in Kraft) die Anforderungen: Unternehmen, die mehr als 500.000 Menschen versorgen, müssen bis zum 17. Juli 2026 ihre Risikoanalysen vorlegen – zusätzlich zu den bereits seit Dezember 2025 geltenden NIS2-Pflichten.
Die Governance-Lücke
Eine aktuelle Studie von Compliance Week und konaAI unter 193 Führungskräften zeigt ein alarmierendes Bild: 83 Prozent der Compliance-Verantwortlichen nutzen bereits KI, aber nur 25 Prozent haben eine robuste Governance-Struktur implementiert. 74 Prozent der IT-Entscheider sehen „Shadow AI“ – die unerlaubte Nutzung von KI-Tools durch Mitarbeiter – als größte Bedrohung für die Datenintegrität.
Die gescheiterte Digital-Omnibus-Reform hat eine Lücke hinterlassen, die nun nationale Behörden füllen. Die britische Wettbewerbsbehörde CMA stellte am 9. März 2026 klar: Unternehmen haften für die Handlungen ihrer autonomen KI-Agenten. Künftige DPIAs müssen daher auch autonome Entscheidungsschleifen abdecken.
Ausblick: Der Countdown läuft
Die kommenden Monate werden von einem Wettlauf gegen die Zeit bestimmt. Unternehmen sollten die aktuelle EDPB-Konsultation nutzen, um ihre internen DPIA-Vorlagen anzupassen. Experten empfehlen, DSGVO-Prüfungen mit KI-Risikomanagement und ISO-Standards (wie ISO/IEC 42001) zu kombinieren, um Doppelarbeit zu vermeiden.
Bis Ende 2026 müssen EU-Mitgliedsstaaten zudem eine Digitale Identitäts-Wallet für Bürger bereitstellen – neue Datenverarbeitungskategorien inklusive. Und während der Cyber Resilience Act erst am 11. Dezember 2027 vollständig greift, zeichnet sich bereits ab: Die Dokumentation von Softwarekomponenten (SBOMs) wird bald verpflichtend sein.
Fürs Erste aber gilt: Die Qualität der Folgenabschätzungen entscheidet darüber, ob Unternehmen die nächste Welle von Durchsetzungsmaßnahmen unbeschadet überstehen.