Compliance-Hürden, TDDDG

Compliance-Hürden: TDDDG, KI-Verordnung und Widerrufsbutton ab August

Veröffentlicht: 08.07.2026 um 00:06 Uhr, Redaktion boerse-global.de

Unternehmen stehen vor wachsenden Compliance-Herausforderungen durch DSGVO, TDDDG und EU-KI-Verordnung. Hohe Bußgelder drohen bei Verstößen.

Neue Compliance-Regeln: DSGVO, TDDDG und EU AI Act im Überblick
Compliance-Hürden - Ein stilisiertes, leuchtendes Vorhängeschloss-Symbol über einem abstrakten Netzwerk digitaler Datenpunkte, das Datenschutz und Compliance darstellt. 08.07.2026 - Bild: über boerse-global.de

Neben der DSGVO verschärfen neue Regeln wie das TDDDG, die Widerrufspflicht und der EU AI Act den Druck auf Unternehmen.

Die finanziellen Risiken sind enorm. 2024 verhängten europäische Datenschutzbehörden Bußgelder von 1,2 Milliarden Euro. Seit Inkrafttreten der DSGVO 2018 summiert sich die Gesamtsumme auf 5,88 Milliarden Euro. Allein in Deutschland meldeten Behörden 27.829 Verstöße – mit Strafen von 89,1 Millionen Euro.

Cookies nur mit Einwilligung

Das seit Mai 2024 geltende TDDDG macht ernst: Technisch nicht notwendige Cookies brauchen eine aktive Einwilligung der Nutzer. Verstöße kosten bis zu 300.000 Euro. Zudem müssen Consent-Logs mindestens drei Jahre auf Servern innerhalb der EU gespeichert werden.

Auch externe Dienstleister sind ein Risikofaktor. Für jeden eingebundenen Anbieter ist ein Auftragsverarbeitungsvertrag (AVV) Pflicht. Fehlt dieser, drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Experten warnen zudem vor „Dark Data": Schätzungen zufolge bestehen bis zu 80 Prozent der Unternehmensdaten aus unstrukturierten Informationen – eine tickende Zeitbombe für den Datenschutz.

Widerrufsbutton und KI-Verordnung

Seit dem 19. Juni 2026 müssen Online-Händler einen leicht auffindbaren Widerrufsbutton bereitstellen. Nach Paragraf 356a BGB braucht dieser eine eindeutige Beschriftung und einen zweistufigen Ablauf mit Bestätigungsseite. Fehlt die Funktion, drohen Abmahnungen, Schadensersatzforderungen und eine verlängerte Widerrufsfrist.

Die EU-KI-Verordnung verschärft die Lage zusätzlich. Ab dem 2. August 2026 greifen Transparenzpflichten für KI-Systeme. Unternehmen, die KI-Anwendungen wie Chatbots oder Bewerber-Tools nutzen, müssen deren Risikoklasse prüfen. Hochrisiko-KI erfordert strenge Dokumentation. Verstöße kosten bis zu 35 Millionen Euro oder 7 Prozent des Umsatzes.

Anzeige

Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf. EU AI Act Umsetzungsleitfaden jetzt kostenlos herunterladen

Haftung bei Hackerangriffen

Die Rechtsprechung präzisiert die Haftung bei Sicherheitsvorfällen. Das Sozialgericht Nürnberg entschied am 10. Juni 2026 (Az. S 5 SF 65/24 DS): Ein Unternehmen haftet nicht für Schäden nach einem Hackerangriff, wenn dieser über einen Zero-Day-Exploit erfolgte und das Unternehmen nachweislich angemessene Sicherheitsvorkehrungen getroffen hatte. Im konkreten Fall nutzte die Firma marktführende Software und hatte Updates unverzüglich eingespielt.

Kommt es dennoch zu einem Datenabfluss, gilt eine strikte Meldefrist: 72 Stunden nach DSGVO, sofern ein Risiko für Betroffene besteht. Bei Unterlassen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Für Einrichtungen von besonderem öffentlichem Interesse gelten nach dem BSI-Gesetz noch kürzere Fristen – etwa eine Erstmeldung innerhalb von 24 Stunden bei erheblichen Vorfällen.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und gesetzliche Anforderungen erfüllen, bevor es zu spät ist. Gratis-Ratgeber für IT-Sicherheit anfordern

Drittstaaten-Transfer und Android-Backups

Auch Hintergrundänderungen beeinflussen die Compliance. Ab heute werden Android-Backups auf das allgemeine Speicherkontingent von Google-Konten angerechnet. Da SMS- oder Anrufprotokolle auf Servern in den USA landen können, müssen Unternehmen die datenschutzrechtlichen Auswirkungen für Mitarbeiter-Geräte prüfen.

Bei Anbietern aus Drittstaaten wie chinesischen KI-Dienstleistern raten Juristen zu sorgfältigen vertraglichen Regelungen. Technologien wie Retrieval-Augmented Generation (RAG) gelten als risikoärmer als Fine-Tuning von Modellen. Zur Überprüfung der eigenen Website-Compliance stehen mittlerweile automatisierte Tools bereit, die Barrierefreiheit, Sicherheit und Datenschutz in kurzen Intervallen prüfen.

de | wirtschaft | 69717910 |