Technologie10 Min. Lesezeit24. Mai 2026

6 Milliarden Euro DSGVO-Bußgelder und der AI Act: Was KMU jetzt wissen müssen

Sieben Jahre DSGVO, sechs Milliarden Euro Bußgelder und ein neuer AI Act: Was deutsche KMU aus der Bilanz lernen müssen und wie sie KI rechtssicher einsetzen.

#DSGVO#AI Act#KI-Compliance#Bußgelder#KMU#Datenschutz

Sieben Jahre nach Inkrafttreten der Datenschutz-Grundverordnung steht ein eindrucksvoller Zähler auf der Anzeigetafel der europäischen Aufsichtsbehörden: rund sechs Milliarden Euro an Bußgeldern wurden seit Mai 2018 verhängt. Die Liste der bestraften Unternehmen liest sich wie das Who-is-Who der Digitalwirtschaft – Meta, Amazon, Google, TikTok. Doch wer nun glaubt, das Thema sei eines für Konzern-Justiziare in Brüsseler Bürotürmen, übersieht zwei entscheidende Entwicklungen.

Erstens treffen die Behörden zunehmend auch den Mittelstand. Zweitens kommt mit dem AI Act eine zweite Compliance-Schicht hinzu, die spätestens ab 2026 in voller Tiefe greift – und die anders als die DSGVO nicht nur den Umgang mit personenbezogenen Daten regelt, sondern den Einsatz von KI-Systemen als solchen. Für Arztpraxen, Steuerkanzleien, Anwaltsbüros und Handwerksbetriebe entsteht damit ein neues Pflichtenheft, das viele Entscheider noch gar nicht auf dem Radar haben.

Dieser Artikel ordnet die DSGVO-Bilanz nüchtern ein, erklärt die wichtigsten neuen KI-Regeln und übersetzt sie in konkrete Handlungsempfehlungen für kleine und mittlere Unternehmen. Sie erfahren, welche Konstellationen typischerweise zu Strafen führen, welche KI-Anwendungen welcher Risikoklasse unterliegen und wie Sie Ihren Betrieb so aufstellen, dass Sie die Chancen der Automatisierung nutzen können, ohne in eine Bußgeldfalle zu laufen.

Die DSGVO-Bilanz: Sechs Milliarden Euro – und was sie wirklich aussagt#

Die kumulierte Bußgeldsumme klingt astronomisch, verteilt sich aber sehr ungleich. Allein die irische Datenschutzbehörde DPC hat einen erheblichen Anteil verhängt, weil viele US-Konzerne dort ihren europäischen Sitz haben. Spitzenreiter sind Meta mit einer Einzelstrafe von 1,2 Milliarden Euro wegen unrechtmäßiger Datentransfers in die USA, Amazon mit 746 Millionen Euro und TikTok mit 345 Millionen Euro wegen Verstößen beim Schutz von Minderjährigen.

Doch unter den großen Schlagzeilen verbirgt sich eine zweite Realität: Tausende kleinerer Verfahren gegen Mittelständler, Vereine, Arztpraxen und Handwerksbetriebe. Der bayerische Landesdatenschutzbeauftragte hat allein 2023 mehrere hundert Bußgelder verhängt, häufig im vier- bis fünfstelligen Bereich. In Baden-Württemberg traf es eine Zahnarztpraxis mit 12.000 Euro, weil Patientendaten ungeschützt auf einem Praxiscomputer lagen. Eine Steuerkanzlei in Hessen zahlte 18.000 Euro, weil Mandantenakten in einem allgemein zugänglichen Flur lagerten.

Wo KMU am häufigsten stolpern#

Die Auswertung der veröffentlichten Bußgeldbescheide zeigt klare Muster. Folgende Verstöße tauchen immer wieder auf:

  • Fehlende oder unvollständige Verarbeitungsverzeichnisse nach Art. 30 DSGVO
  • Mangelhafte technische und organisatorische Maßnahmen (TOMs), etwa unverschlüsselte Festplatten oder fehlende Zugriffskontrollen
  • Unzulässige Weitergabe an Auftragsverarbeiter ohne entsprechenden Vertrag (AVV)
  • Verspätete Meldung von Datenpannen – die 72-Stunden-Frist nach Art. 33 DSGVO wird häufig gerissen
  • Unrechtmäßiges Tracking auf Websites ohne wirksame Einwilligung (Cookies, Google Analytics, Meta-Pixel)
  • Unangemessen lange Speicherfristen für Bewerber- oder Kundendaten

Gerade der letzte Punkt wird mit dem Einsatz von KI-Systemen brisanter: Wer Bewerbungen automatisiert vorsortieren lässt, muss nicht nur die DSGVO-Löschfristen einhalten, sondern auch dokumentieren, wie das System entscheidet.

Vom Datenschutz zum KI-Recht: Was sich mit dem AI Act ändert#

Der AI Act der EU ist seit August 2024 in Kraft und entfaltet seine Wirkung gestaffelt. Verbotene Praktiken sind seit Februar 2025 untersagt, die Regeln für Allzweck-KI-Modelle gelten seit August 2025, und der Großteil der Pflichten für Hochrisiko-Systeme wird ab August 2026 verbindlich. Die Bußgelder können drakonisch ausfallen: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – also höher als unter der DSGVO.

Der AI Act folgt einem Risiko-basierten Ansatz und teilt KI-Systeme in vier Kategorien ein:

RisikoklasseBeispieleKonsequenz
UnzulässigSocial Scoring, manipulative Systeme, biometrische MassenüberwachungVerboten
HochrisikoKI in HR, Kreditvergabe, Medizinprodukten, kritischer InfrastrukturStrenge Pflichten, CE-Kennzeichnung
Begrenztes RisikoChatbots, generative KI, DeepfakesTransparenz- und Kennzeichnungspflicht
Minimales RisikoSpam-Filter, KI in VideospielenKeine besonderen Pflichten

Für den Mittelstand sind vor allem zwei Kategorien relevant: Hochrisiko-Systeme im Personalbereich und begrenztes Risiko bei Chatbots oder Sprachassistenten.

Wann ein KI-System „Hochrisiko" ist#

Viele KMU-Entscheider unterschätzen, dass auch ein scheinbar harmloses Tool schnell in die Hochrisiko-Kategorie rutschen kann. Wer eine KI nutzt, um Bewerbungen zu bewerten, Mitarbeiter zu überwachen, Schichten zuzuteilen oder Kündigungsentscheidungen vorzubereiten, betreibt ein Hochrisiko-System im Sinne des Anhangs III des AI Act. Die Folgen: Sie müssen ein Risikomanagementsystem etablieren, Trainingsdaten dokumentieren, menschliche Aufsicht sicherstellen, technische Dokumentation vorhalten und das System bei einer Marktüberwachungsbehörde registrieren.

Für den Großteil der KMU-Anwendungsfälle – Terminvereinbarung, E-Mail-Sortierung, automatische Antworten auf Kundenanfragen – greift hingegen die mildere Kategorie „begrenztes Risiko". Hier reicht es in der Regel, den Nutzer klar darüber zu informieren, dass er mit einer KI interagiert.

Die häufigsten KI-Anwendungsfälle im KMU – und ihre rechtliche Einordnung#

In der Beratungspraxis tauchen immer wieder dieselben Anwendungsfälle auf. Hier eine Einordnung der gängigsten Szenarien:

KI-Telefonassistent in der Arztpraxis: Nimmt Anrufe entgegen, vereinbart Termine, beantwortet Standardfragen. Datenschutzrechtlich relevant, weil Gesundheitsdaten betroffen sind (Art. 9 DSGVO – besondere Kategorien). Erforderlich: Auftragsverarbeitungsvertrag mit dem Anbieter, ausdrücklicher Hinweis auf KI-Einsatz beim Anrufbeginn, klare Löschfristen, EU-Server. Risikoklasse nach AI Act: begrenztes Risiko (Transparenzpflicht).

Automatische E-Mail-Sortierung in der Anwaltskanzlei: KI sortiert eingehende Mails, leitet sie an die richtige Sachbearbeiterin und schlägt Antworten vor. Berufsrechtlich heikel wegen anwaltlicher Schweigepflicht (§ 43a BRAO). Erforderlich: Verarbeitung ausschließlich auf EU-Servern, keine Trainingsnutzung der Mandatsdaten, dokumentierte Verschlüsselung, Einwilligung des Mandanten oder Stützung auf Vertragserfüllung.

Lead-Qualifizierung in der Agentur: Chatbot auf der Website fragt Bedarfe ab und priorisiert Interessenten. Datenschutzrechtlich überschaubar, aber Transparenzpflicht und ggf. Einwilligung für Cookies bzw. Tracking erforderlich. Bei automatisierten Einzelentscheidungen (z. B. „Lead wird verworfen") greift Art. 22 DSGVO – betroffene Person hat Recht auf menschliches Eingreifen.

Buchhaltungs-KI in der Steuerkanzlei: OCR-Erkennung, automatische Kontierung, Plausibilitätsprüfung. Mandantendaten unterliegen § 203 StGB (Berufsgeheimnis). Erforderlich: AVV, EU-Hosting, dokumentierte Schnittstellen, klare Trennung zwischen Trainings- und Produktivdaten.

Angebotsschreiben im Handwerk: KI generiert auf Basis von Vorlagen individuelle Angebote. Geringes Risiko, solange keine Kundendaten in fremde Sprachmodelle abfließen. Achten Sie auf den Unterschied zwischen einem in der EU gehosteten Modell und der Browser-Version eines US-Anbieters.

Praxis-Szenario: Eine Steuerkanzlei in Köln rüstet auf#

Nehmen wir den Fall der Steuerkanzlei Müller & Partner in Köln, 14 Mitarbeitende, gut 400 laufende Mandate. Der Kanzleiinhaber möchte zwei Probleme lösen: Erstens binden eingehende Mandantenanfragen am Telefon zu viel Zeit der Sekretärinnen, zweitens dauert die Vorsortierung der täglich rund 250 eingehenden E-Mails knapp zwei Stunden. Beides klingt nach klassischen KI-Anwendungsfällen – aber wie geht der Inhaber rechtssicher vor?

Schritt 1: Bestandsaufnahme. Welche Daten würden durch das KI-System verarbeitet? Im Telefonbeispiel sind das Namen, Steueridentifikationsnummern, Hinweise auf finanzielle Situationen – also durchaus sensible Informationen. Im E-Mail-Beispiel kommen Mandatsdetails hinzu, die unter die Verschwiegenheitspflicht des § 57 StBerG fallen.

Schritt 2: Anbieterauswahl. Der Inhaber prüft drei Anbieter. Anbieter A hostet in den USA – fällt wegen § 203 StGB und der DSGVO-Risiken raus. Anbieter B sitzt zwar in Deutschland, nutzt aber Mandantendaten zum Modelltraining – ebenfalls raus. Anbieter C hostet auf einem deutschen Server, schließt einen sauberen AVV ab, garantiert vertraglich, dass keine Daten zum Training verwendet werden, und stellt eine technische Dokumentation für den AI Act bereit.

Schritt 3: Datenschutz-Folgenabschätzung. Wegen der Sensibilität der Daten führt die Kanzlei eine DSFA nach Art. 35 DSGVO durch und dokumentiert Risiken, Schutzmaßnahmen und Restrisiken.

Schritt 4: Information der Mandanten. Im Mandatsvertrag wird ein Passus ergänzt, der den Einsatz KI-gestützter Systeme erwähnt. Anrufer bekommen am Telefon den Hinweis, dass sie mit einem KI-Assistenten sprechen und jederzeit zu einem menschlichen Mitarbeiter durchgestellt werden können.

Schritt 5: Schulung. Die Mitarbeiter werden eingewiesen, wann sie Eskalationen vornehmen müssen und wie sie das System überwachen. Die geforderte „menschliche Aufsicht" ist damit dokumentiert.

Das Ergebnis nach drei Monaten: Die Sekretariatsleistung erhöht sich messbar, weil Routineanrufe automatisiert sind. Die E-Mail-Sichtungszeit sinkt von zwei Stunden auf rund 25 Minuten täglich. Wichtiger noch: Die Kanzlei ist auf eine Prüfung durch die Aufsichtsbehörde vorbereitet und kann jederzeit nachweisen, dass sie ihre Pflichten erfüllt.

So lösen Sie das technisch und organisatorisch#

Der Schlüssel zu rechtssicherer KI-Automatisierung liegt nicht in einer einzelnen Maßnahme, sondern in einem ganzheitlichen Setup. Folgende Bausteine sollten Sie mit Ihrem Anbieter klären, bevor Sie ein KI-System einführen:

  1. Serverstandort EU/Deutschland – idealerweise mit nachweisbarer Zertifizierung (ISO 27001, C5)
  2. Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der alle Subdienstleister benennt
  3. Vertragliche Zusicherung, dass Kundendaten nicht zum Modelltraining verwendet werden
  4. Verschlüsselung in Transit und at Rest
  5. Rollen- und Rechtekonzept mit dokumentierter Vergabe
  6. Logging und Audit-Trails, um Eingriffe nachvollziehbar zu machen
  7. Menschliche Kontrollinstanz für kritische Entscheidungen
  8. Transparente Nutzerinformation über den KI-Einsatz
  9. Klare Löschkonzepte und Retention Policies
  10. Notfallplan für Datenpannen mit definierten Meldewegen

Genau an diesem Punkt setzt OPTIMAZED an: KI-Rezeptionist, E-Mail-Automatisierung und Lead-Qualifizierung laufen auf EU-Servern, Kundendaten werden vertraglich vom Modelltraining ausgeschlossen, und die nötige Dokumentation für DSGVO und AI Act wird mitgeliefert. So bleibt der Implementierungsaufwand für KMU überschaubar, ohne dass Sie auf Rechtssicherheit verzichten müssen.

Was Aufsichtsbehörden konkret prüfen#

Wer wissen will, worauf eine Prüfung hinausläuft, sollte sich die Prüfkataloge der Landesdatenschutzbehörden ansehen. Die bayerische Aufsicht hat etwa einen ausführlichen Fragenkatalog zum Einsatz von ChatGPT und vergleichbaren Systemen in Unternehmen veröffentlicht. Im Kern werden vier Themenfelder abgeklopft:

Rechtsgrundlage: Auf welche Rechtsgrundlage (Art. 6 DSGVO) stützen Sie die Verarbeitung? Bei besonderen Kategorien (Gesundheitsdaten, Religionszugehörigkeit etc.) zusätzlich Art. 9 DSGVO?

Transparenz: Wie werden betroffene Personen über den KI-Einsatz informiert? Sind die Datenschutzhinweise aktualisiert? Ist die Information vor der ersten Interaktion sichtbar?

Betroffenenrechte: Können Sie Auskunfts-, Berichtigungs- und Löschanträge auch bei KI-Systemen umsetzen? Wie gehen Sie mit dem Recht auf Nicht-Unterwerfung unter automatisierte Entscheidungen (Art. 22 DSGVO) um?

Sicherheit: Welche TOMs sind dokumentiert? Wer hat Zugriff? Wo liegen die Daten? Was passiert bei einem Vorfall?

Wer auf diese Fragen keine schriftlichen Antworten parat hat, riskiert nicht nur ein Bußgeld, sondern auch Anordnungen, die den Betrieb des KI-Systems vorübergehend untersagen.

Der Mittelstand und der Mythos „zu klein für Strafen"#

Es hält sich hartnäckig der Glaube, kleine Unternehmen seien für die Behörden uninteressant. Die Datenlage zeigt das Gegenteil. Die Aufsichtsbehörden haben in den letzten Jahren ihre Schwerpunkt-Prüfungen oft branchenweise organisiert: 2022 standen Arztpraxen im Fokus von Nordrhein-Westfalen, 2023 die Online-Shops in Baden-Württemberg, 2024 die kleinen und mittleren Steuerkanzleien. Jede dieser Aktionen hat dreistellige Bußgeldzahlen produziert.

Die typische Strafhöhe bei KMU bewegt sich zwischen 2.000 und 50.000 Euro – Beträge, die existenzbedrohend wirken können, gerade wenn parallel zivilrechtliche Schadensersatzforderungen folgen. Denn die DSGVO sieht in Art. 82 ein eigenes Schadensersatzrecht vor, das auch immaterielle Schäden umfasst. Der EuGH hat in mehreren Urteilen die Hürde für solche Ansprüche niedrig angesetzt: Ein „bloßes Unbehagen" reicht nicht, aber ein nachvollziehbarer Kontrollverlust über die eigenen Daten kann ausreichen.

Mit dem AI Act kommt eine weitere Sanktionsschiene hinzu. Anders als bei der DSGVO sind die Behörden für die Marktüberwachung von KI-Systemen noch in der Aufbauphase, doch ab 2026 ist mit einer ähnlich konsequenten Durchsetzung zu rechnen. Wer schon heute saubere Strukturen schafft, hat einen erheblichen Wettbewerbsvorteil.

Sieben Sofortmaßnahmen für die nächsten 90 Tage#

Wenn Sie Ihre Compliance jetzt auf den neuesten Stand bringen wollen, empfehlen sich folgende Schritte – realistisch in einem Quartal umsetzbar:

  1. Inventar aller eingesetzten KI-Tools erstellen. Das umfasst auch „Schatten-KI" wie ChatGPT-Accounts, die Mitarbeiter privat nutzen.
  2. Verarbeitungsverzeichnis aktualisieren und KI-Verarbeitungen ergänzen.
  3. Datenschutzhinweise überarbeiten mit klaren Passagen zu KI-Einsatz und automatisierter Entscheidungsfindung.
  4. Auftragsverarbeitungsverträge prüfen und ggf. nachverhandeln, vor allem bei US-Anbietern.
  5. Mitarbeiterrichtlinie KI-Nutzung verabschieden, die festlegt, welche Tools für welche Zwecke erlaubt sind.
  6. Schulung für alle Mitarbeiter, die mit personenbezogenen Daten arbeiten – verpflichtend, dokumentiert, jährlich wiederholt.
  7. Notfallplan für Datenpannen etablieren mit klaren Verantwortlichkeiten und der 72-Stunden-Frist im Blick.

Diese Liste ist nicht abschließend, aber sie deckt die Bereiche ab, in denen Bußgelder am häufigsten verhängt werden.

Fazit#

Die Bilanz von sechs Milliarden Euro Bußgeldern unter der DSGVO ist mehr als eine Statistik – sie ist ein Indikator dafür, wie ernst die europäischen Aufsichtsbehörden ihren Auftrag nehmen. Und mit dem AI Act tritt eine zweite Regulierungsschicht hinzu, die den Mittelstand nicht ausspart. Drei Take-aways sollten Sie aus dieser Bestandsaufnahme mitnehmen:

Erstens: Compliance ist kein Selbstzweck und kein Hindernis für Digitalisierung, sondern Voraussetzung für nachhaltige Automatisierung. Wer heute saubere Strukturen schafft, kann KI selbstbewusst einsetzen, ohne nachts an die nächste Datenpanne denken zu müssen.

Zweitens: Die richtige Anbieterauswahl entscheidet über 80 Prozent Ihres Risikos. EU-Hosting, keine Trainingsnutzung Ihrer Daten, sauberer AVV und mitgelieferte Dokumentation sind keine netten Extras, sondern Pflichtkriterien. Verhandeln Sie diese Punkte vertraglich – mündliche Zusagen sind im Zweifel nichts wert.

Drittens: Fangen Sie klein an, aber fangen Sie an. Ein KI-Telefonassistent oder eine E-Mail-Automatisierung lässt sich in wenigen Wochen ausrollen und liefert messbaren ROI. Wer wartet, bis der AI Act 2026 in voller Härte greift, wird gezwungen sein, im Krisenmodus nachzurüsten – mit deutlich höherem Aufwand und unter dem Druck einer dann aktiven Marktüberwachung. Wer jetzt handelt, hat in zwölf Monaten nicht nur effizientere Prozesse, sondern auch ein belastbares Compliance-Fundament für die nächste Welle der KI-Regulierung.

Verwandte Artikel

Technologie12 Min.

DSGVO und KI: Bremst Europas Datenschutz wirklich Ihren KMU-Erfolg aus?

Zehn Jahre DSGVO: Bremst Europas Datenschutz die KI-Entwicklung wirklich aus? Was deutsche KMU jetzt wissen müssen, um KI rechtssicher und produktiv einzusetzen.

Technologie11 Min.

KI-Compliance 2025: Warum kein großes Sprachmodell DSGVO und EU AI Act vollständig erfüllt – und was das für KMU bedeutet

Eine aktuelle Analyse zeigt: Kein großes KI-Modell erfüllt vollständig DSGVO und EU AI Act. Was das konkret für deutsche KMU bedeutet, welche Risiken bestehen und wie Sie rechtssicher mit KI arbeiten.

Technologie11 Min.

OLG Hamm: Unternehmen haften für Chatbot-Halluzinationen – was KMU jetzt wissen müssen

Das OLG Hamm hat entschieden: Unternehmen haften für falsche Aussagen ihrer Chatbots. Was das Urteil für Arztpraxen, Kanzleien und KMU bedeutet – und wie Sie sich rechtssicher absichern.