Auf den Punkt: Große Technologieunternehmen bestätigen europäische GDPR-Bußgelder systematisch vor Gericht an, was für die Umsetzung der AI-Regulation erhebliche Implikationen hat.
Etwa 40 Prozent der in acht Jahren verhängten GDPR-Bußgelder befinden sich in rechtlicher Anfechtung oder wurden bereits annulliert. Diese Entwicklung deutet auf kommende Herausforderungen bei der Durchsetzung des EU AI Act hin.
Seit Inkrafttreten der Datenschutz-Grundverordnung vor acht Jahren kündigten europäische Regulatoren geschätzte 7,1 Milliarden Euro an GDPR-Bußgeldern an. Nach einer Analyse der Versicherungsmakler Alliance Risk sind hiervon etwa 2,8 Milliarden Euro (knapp 40 Prozent) bereits annulliert oder unterliegen aktiven Rechtsverfahren. Zu den bereits aufgehobenen Strafen zählen ein Amazon-Bußgeld von 746 Millionen Euro (Luxemburg, März 2026) und eine Geldbuße gegen OpenAI in Höhe von 15 Millionen Euro (Italien, März 2026). Unter aktiver Berufung befinden sich drei Meta-Strafen (1,2 Milliarden, 265 Millionen und 91 Millionen Euro) sowie ein TikTok-Bußgeld von 530 Millionen Euro.
Nick Phillips, Rechtsanwalt für Immaterialgüterrecht bei Edwin Coe LLP, bewertet die Anfechtungsquote nicht als Zeichen eines fehlerhaften Systems. Nach acht Jahren sei es normal, dass die größeren Bußgelder vor Gericht landen, und die entstehenden Urteile gäben Compliance-Teams erstmals praktische Orientierung, welche regulatorischen Anforderungen tatsächlich durchsetzbar sind. Alliance Risk hingegen diagnostiziert strukturelle Schwächen: Das GDPR-Rahmenwerk weise Anfälligkeiten auf, die große Unternehmen vor Gericht systematisch ausnutzen.
Eine zentrale Errungenschaft des GDPR bleibt die weltweit etablierte 72-Stunden-Meldepflicht bei Datenschutzverletzungen. Diese Regel ist unmittelbares Recht in sechs Jurisdiktionen (EU, Vereinigtes Königreich, Thailand, Kenia, Nigeria, Südkorea) und beeinflusst andere Standards – etwa die ausstehende US-CIRCIA-Regel für kritische Infrastrukturen, die ebenfalls die 72-Stunden-Frist vorsieht. Im Vergleich gewährt die US-Datenschutzverordnung HIPAA dem Gesundheitswesen 60 Tage, die SEC gibt börsennotierten Unternehmen vier Werktage, jedoch erst nach interner Feststellung der Materialität einer Verletzung.
Die Meldepflicht setzte nachweislich Anreize für verbesserte Unternehmens-Sicherheit. Phillips konstatiert, dass gerade die Kombination aus 72-Stunden-Meldepflicht, Pflicht zur Dokumentation aller Vorfälle und Benachrichtigung der Betroffenen Organisationen dazu gezwungen habe, ordentliche Incident-Response-Prozesse, vertragliche Beziehungen zu Forensik-Anbietern und die Eskalation auf Vorstandsebene zu etablieren. Diese Praktiken hätten vor 2018 vielfach gefehlt. Der EU AI Act erreicht volle Anwendbarkeit im August 2024, während die Europäische Kommission parallel das GDPR durch den Digital Omnibus reformiert. Alliance Risk konstatiert: Das Regelwerk wird umgeschrieben, während es noch getestet wird.
Quelle: www.csoonline.com · Erschienen 29. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.2.8.