Direkt zum Artikeltext springen

Datenschutz-Roundup Juli 2026: Deutsche Wohnen, NIS2-Nachfrist, AI Act

Inhalt in Kürze

  • Deutsche Wohnen entschieden: Das LG Berlin hat am 9. Juni 2026 das Rekord-Bußgeld von 14,5 Mio. € auf 900.000 € reduziert — die materielle DSGVO-Aussage aber bestätigt.
  • NIS2-Nachfrist: Das BSI setzt eine letzte Registrierungsfrist bis 31. Juli 2026 — von rund 29.500 betroffenen Unternehmen waren Ende Mai erst ~18.500 registriert.
  • EuGH-Klarstellung: Mit Urteil vom 18. Juni 2026 (C-484/24) entschied der Gerichtshof: DSGVO-Verstoß bei der Datenerhebung führt nicht automatisch zum Beweisverwertungsverbot im Zivilprozess.
  • AI Act verschoben — aber nicht überall: Der Rat hat am 29. Juni 2026 den Digital Omnibus final beschlossen. Hochrisiko-KI-Fristen rücken auf 2. Dezember 2027 bzw. 2. August 2028. Art. 4, Art. 5 und die GPAI-Regeln bleiben unverändert.

Die letzten Wochen vor der Sommerpause haben es in sich: Ein Bundesland-Gericht setzt einen fast siebenjährigen DSGVO-Klassiker fort, die Cybersicherheitsbehörde macht Ernst mit der NIS2-Registrierung, der EuGH sortiert die Prozesspraxis neu — und Brüssel schiebt die AI-Act-Uhr an entscheidenden Stellen zurück. Wir sortieren die vier Entwicklungen, die deutsche KMU jetzt kennen müssen.

1. Deutsche Wohnen: LG Berlin reduziert das 14,5-Mio.-Bußgeld auf 900.000 €

Der wohl bekannteste DSGVO-Fall der Republik hat einen vorläufigen Schlusspunkt: Das Landgericht Berlin hat mit Urteil vom 9. Juni 2026 (Az. 526 OWiG LG 1/20) das ursprünglich von der Berliner Beauftragten für Datenschutz und Informationsfreiheit im Oktober 2019 verhängte Rekord-Bußgeld von 14,5 Millionen Euro auf 900.000 Euro reduziert. Der Fall hatte sich vom Landgericht Berlin über den EuGH und wieder zurück ins deutsche Ordnungswidrigkeitenverfahren geschleppt — sieben Jahre Verfahrensdauer.

Materiell hält das Gericht die Verstöße für erwiesen: gegen Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung), gegen Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und in Einzelfällen vorsätzlich gegen Art. 6 Abs. 1 DSGVO (Rechtmäßigkeit der Verarbeitung). Die Reduzierung stützt sich auf Zeitpunkt und Kontext: Die Verstöße fielen in die DSGVO-Einführungsphase zwischen dem 25. Mai 2018 und dem 5. März 2019 — einer Phase, in der auch die Aufsichtsbehörden mit der neuen Rechtslage rangen. Das Unternehmen hatte externe Prüfer und IT-Spezialisten beauftragt, kooperierte mit der Behörde, und ein Missbrauch der gespeicherten Daten war nicht nachweisbar.

Wichtig:

Die Reduzierung ändert nichts an der zentralen Botschaft: Ein Löschkonzept und ein sauberes Verarbeitungsverzeichnis sind keine Kür. Wer heute — sieben Jahre nach DSGVO-Start — noch Alt-Datenberge ohne Rechtsgrundlage vorhält, kann sich auf die „Einführungsphase" nicht mehr berufen. Prüfen Sie im Zweifel, welche personenbezogenen Daten in Ihren Archivsystemen liegen und ob sie überhaupt noch dort sein dürfen.

Was KMU jetzt tun sollten: Nehmen Sie das Urteil als Anlass, Ihr Datenschutzmanagement einmal quer durchzugehen — insbesondere Löschfristen, Aufbewahrungspflichten und die Rechtsgrundlagen für Altdaten. Wer diese Hausaufgabe macht, hat auch bei einer künftigen behördlichen Prüfung entlastende Argumente in der Hand.

2. NIS2: BSI setzt Nachfrist bis 31. Juli 2026 — Tausende Firmen fehlen noch

Die gesetzliche Frist für die NIS2-Registrierung beim Bundesamt für Sicherheit in der Informationstechnik (BSI) lief am 6. März 2026 ab. Das Ergebnis war ernüchternd: Von den geschätzt 29.500 in Deutschland betroffenen Unternehmen hatten bis Ende Mai erst rund 18.500 die Registrierung abgeschlossen. Das BSI hat deshalb — auf Bitten der Wirtschaftsverbände — eine Nachfrist bis zum 31. Juli 2026 eingeräumt. Es ist die letzte gute Gelegenheit, die Registrierung ohne Bußgeld nachzuholen.

Was passiert bei Untätigkeit? Allein die versäumte Registrierung kann mit einem Bußgeld bis zu 500.000 Euro geahndet werden. Wer darüber hinaus die zehn Risikomanagement-Kernpflichten nicht umsetzt, riskiert bei „wichtigen Einrichtungen” bis zu 7 Mio. € oder 1,4 % des weltweiten Jahresumsatzes, bei „besonders wichtigen Einrichtungen” bis zu 10 Mio. € oder 2 %. Und: § 38 BSIG sieht die persönliche Haftung der Geschäftsführung vor.

900.000 €
reduziertes Bußgeld Deutsche Wohnen
31.07.
NIS2-Nachfrist BSI 2026
~18.500
von ~29.500 registriert
02.12.2027
neue AI-Act-Frist Hochrisiko
  1. Betroffenheit prüfen: Fallen Sie ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz unter einen der 18 NIS2-Sektoren — oder werden Sie über die Lieferkette in die Pflicht gezogen?
  2. Registrieren: Nutzen Sie das BSI-Meldeportal (seit 6. Januar 2026 aktiv) und schließen Sie die Registrierung bis 31. Juli 2026 ab. Für die Registrierung selbst reichen Stammdaten, Ansprechperson und Sektor-Einordnung.
  3. Nachweise strukturieren: Risikoanalyse, Sicherheitskonzept, Incident-Response, Lieferanten-Nachweise — diese zehn Kernpflichten baut niemand in einer Woche auf. Mit Hugo Shield lassen sich Nachweise, Lieferketten-Bewertungen und Incident-Meldungen strukturiert dokumentieren.

„Es trifft auch die kleineren Unternehmen — viele merken erst spät, dass NIS2 über die Lieferkette auch auf sie durchschlägt."

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Was KMU jetzt tun sollten: Die Nachfrist ist ein Geschenk — kein Grund zur Entspannung. Wer bis Ende Juli nicht registriert ist, muss damit rechnen, dass das BSI ab August in die Ahndung geht. Klären Sie die Betroffenheit spätestens in der Woche 27, dann bleibt Zeit für die eigentliche Meldung.

3. EuGH C-484/24: DSGVO-Verstoß ist kein automatisches Beweisverbot

Am 18. Juni 2026 hat der Europäische Gerichtshof in der Rechtssache C-484/24 eine für die deutsche Zivilprozesspraxis wichtige Klarstellung getroffen: Ein Verstoß gegen die DSGVO bei der Datenerhebung führt nicht automatisch zu einem Beweisverwertungsverbot. Die gerichtliche Verarbeitung der Daten ist eigenständig zu bewerten — der Grundsatz der Datenminimierung muss dabei gewahrt bleiben.

Für Unternehmen ist die Botschaft doppeldeutig. Die gute Seite: Wer im Streit vor Zivilgerichten Beweismittel vorlegt, verliert diese nicht schon deshalb, weil sich später ein prozeduraler DSGVO-Verstoß bei der Erhebung findet. Die weniger gute Seite: Diese Klarstellung entwertet den DSGVO-Verstoß nicht — sie sortiert nur den Zivilprozess vom Aufsichtsverfahren. Bußgelder der Datenschutzbehörden und Schadensersatzansprüche nach Art. 82 DSGVO bleiben unverändert bestehen.

Praktisch heißt das: Wer bislang gehofft hat, ein prozeduraler Fehler bei der Videoüberwachung oder der Auskunftserteilung könne den Gegner im Zivilverfahren „entwaffnen”, muss umdenken. Umgekehrt: Wer beklagt wird, kann seine Beweise weiter nutzen — muss aber im Aufsichtsverfahren mit Konsequenzen rechnen.

Was KMU jetzt tun sollten: Verlassen Sie sich in Rechtsstreitigkeiten nicht auf „Beweisverbot durch DSGVO”. Prüfen Sie stattdessen mit Ihrem Datenschutzbeauftragten und dem Anwalt getrennt: Ist die Datenerhebung rechtmäßig? Und: Ist die Beweisführung im konkreten Prozess verhältnismäßig?

4. AI Act: Digital Omnibus final — Hochrisiko wird verschoben, Grundpflichten nicht

Der EU-Rat hat am 29. Juni 2026 den Digital Omnibus final beschlossen (nach der Zustimmung des Europäischen Parlaments am 16. Juni 2026). Das Gesetzespaket verschiebt die Anwendungsfristen für Hochrisiko-KI-Systeme:

  • Standalone-Hochrisiko-KI: neue Frist 2. Dezember 2027 (statt 2. August 2026).
  • Hochrisiko-KI, die in Produkte eingebettet ist: neue Frist 2. August 2028.

Was viele Unternehmen aber unterschätzen: An zwei entscheidenden Stellen wird nichts verschoben.

  1. Die KI-Kompetenzpflicht nach Art. 4 AI Act gilt seit dem 2. Februar 2025. Wer KI im Betrieb einsetzt — vom Copilot bis zum Chatbot — muss sicherstellen, dass die betroffenen Mitarbeitenden angemessen geschult sind.
  2. Die Verbote nach Art. 5 AI Act (unter anderem Social Scoring, biometrische Kategorisierung mit sensitiven Merkmalen, teilweise Emotionserkennung am Arbeitsplatz) sind ebenfalls seit Februar 2025 gültig.
  3. Die GPAI-Regeln (General-Purpose AI) wirken seit 2. August 2025. Das betrifft nicht nur die großen Anbieter, sondern die Frage, wie Sie ChatGPT, Gemini, Claude & Co. rechtssicher in Ihrem Betrieb einsetzen.
Tipp:

Wer 2026 KI im Unternehmen einführt, berührt gleich drei Regelwerke: DSGVO (Rechtsgrundlage, Auftragsverarbeitung), NIS2 (IT-Sicherheit, Lieferkette) und AI Act (Kompetenz, Transparenz, Zweckbindung). Eine KI-Richtlinie deckt alle drei Ebenen in einem Aufwasch ab und ist der einfachste Weg, die Art.-4-Pflicht dokumentiert zu erfüllen.

Was KMU jetzt tun sollten: Nutzen Sie die verschobene Hochrisiko-Frist nicht als Freibrief. Wenn Sie generative KI einsetzen, dokumentieren Sie die KI-Kompetenz Ihrer Mitarbeitenden nachweisbar — und schaffen Sie eine schriftliche KI-Richtlinie, die Einsatzzwecke, Freigaben und Grenzen regelt.

Fazit: Zwischen Reduzierung und Realität

Der Juli 2026 zeigt in vier Meldungen dieselbe Bewegung: Regulierung wird nachjustiert, aber nicht zurückgenommen. Ein Rekord-Bußgeld schrumpft — die materielle Pflicht zur Datenminimierung bleibt. Eine Registrierungsfrist wird verlängert — die Betroffenheit von 29.500 Unternehmen bleibt. Ein DSGVO-Verstoß wird prozessual entkoppelt — die aufsichtsrechtliche Sanktion bleibt. Der AI Act wird verschoben — die KI-Kompetenzpflicht bleibt.

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, die auch im Alltag funktioniert — nicht das maximale Bürokratie-Programm."

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo
Das Wichtigste: Registrieren Sie sich bis zum 31. Juli beim BSI, wenn Sie NIS2-betroffen sind. Prüfen Sie Löschfristen und Verarbeitungsverzeichnis in Anlehnung an die Deutsche-Wohnen-Kriterien. Und wenn Sie KI einsetzen: Nutzen Sie die verlängerte Hochrisiko-Frist nicht als Ruhepause — Art. 4 AI Act gilt schon.

Welche der vier Themen betreffen Ihr Unternehmen?

Wir klären in 15 Minuten, wo Sie stehen — NIS2-Registrierung, DSGVO-Löschkonzept, KI-Richtlinie oder alles auf einmal — und was konkret bis Ende Juli zu tun ist.

Kostenlose Erstberatung →

Häufige Fragen (FAQ)

Wie hoch ist das Deutsche-Wohnen-Bußgeld nach dem LG-Berlin-Urteil vom 9. Juni 2026?

Das Landgericht Berlin hat mit Urteil vom 9. Juni 2026 das ursprüngliche Rekord-Bußgeld von 14,5 Millionen Euro auf 900.000 Euro reduziert. Die Kammer erkannte an, dass die Verstöße gegen Art. 5(1)(c), 5(1)(e) und Art. 6(1) DSGVO in die DSGVO-Einführungsphase (Mai 2018 bis März 2019) fielen und das Unternehmen externe Prüfer eingeschaltet hatte. Der Fall zeigt: Bußgelder werden gerichtlich geprüft — Verstöße gegen Datensparsamkeit und Speicherbegrenzung bleiben aber auch nach Reduzierung teuer.

Bis wann müssen sich Unternehmen 2026 unter NIS2 beim BSI registrieren?

Die gesetzliche Frist lief am 6. März 2026 ab. Weil bis Ende Mai erst rund 18.500 der geschätzt 29.500 betroffenen Unternehmen registriert waren, hat das BSI eine Nachfrist bis zum 31. Juli 2026 gesetzt. Wer diese verpasst, riskiert Bußgelder von bis zu 500.000 Euro allein für die versäumte Registrierung — bei schweren Verstößen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Was hat der EuGH am 18. Juni 2026 zum DSGVO-Beweisverbot entschieden?

Mit Urteil in der Rechtssache C-484/24 hat der EuGH klargestellt: Ein DSGVO-Verstoß bei der Datenerhebung führt nicht automatisch zu einem Beweisverwertungsverbot im Zivilprozess. Die gerichtliche Verarbeitung der Daten ist eigenständig zu bewerten, wobei der Grundsatz der Datenminimierung gewahrt bleiben muss. Für Unternehmen heißt das: Ein DSGVO-Verstoß entwertet Beweismittel nicht per se — aber Bußgelder und Schadensersatz nach Art. 82 DSGVO bleiben davon unberührt.

Sind die AI-Act-Pflichten mit dem Digital Omnibus jetzt aufgeschoben?

Nur teilweise. Der Rat der EU hat am 29. Juni 2026 den Digital Omnibus final angenommen und die Fristen für Hochrisiko-KI-Systeme auf den 2. Dezember 2027 (standalone) bzw. 2. August 2028 (eingebettet) verschoben. Nicht verschoben sind: Die KI-Kompetenzpflicht nach Art. 4 AI Act (seit 2. Februar 2025 gültig), die Verbote nach Art. 5 und die GPAI-Regeln, die seit August 2025 wirken.

Was sollten KMU nach den Entwicklungen im Juni und Juli 2026 tun?

Drei Prioritäten: (1) NIS2-Betroffenheit klären und Registrierung beim BSI bis zum 31. Juli 2026 nachholen — die Nachfrist ist die letzte Chance vor Bußgeldern. (2) Verarbeitungsverzeichnis und Löschkonzept prüfen — die Deutsche-Wohnen-Entscheidung zeigt, dass Art. 5(1)(c) und (e) DSGVO im Fokus der Behörden bleiben. (3) KI-Kompetenzpflicht nach Art. 4 AI Act ernst nehmen: Sie gilt trotz Digital Omnibus schon jetzt für jeden, der KI im Betrieb einsetzt.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular