Datenschutz-Roundup Juni 2026: 5-Mio-Bußgeld, das Datengesetz mit Zähnen und der KRITIS-Endspurt

Inhalt in Kürze

• 5 Mio. € Bußgeld der französischen CNIL gegen IQVIA — die Lehre: Pseudonymisierung allein macht eine Verarbeitung nicht rechtmäßig, schon gar nicht bei Gesundheitsdaten.
• Das Datengesetz bekommt Zähne: Das deutsche Data-Act-Durchführungsgesetz (DADG) ist seit 30. Mai 2026 in Kraft — mit Bußgeldern bis 2 % des Weltumsatzes.
• KRITIS-Endspurt: Die Registrierungsfrist 17. Juli 2026 rückt näher — und erst rund 38,5 % der betroffenen Unternehmen sind fristgerecht unterwegs.
• AI Act bleibt Pflicht: Der Digital Omnibus verschiebt Hochrisiko-Fristen, aber die KI-Kompetenzpflicht (Art. 4) gilt bereits.

Anfang Juni stapeln sich die Themen, die der Mittelstand nicht ignorieren kann: ein Millionen-Bußgeld, ein neues Gesetz mit scharfen Sanktionen und eine Frist, die in wenigen Wochen abläuft. Wir sortieren die vier Entwicklungen, die wirklich zählen — und sagen Ihnen jeweils, was konkret zu tun ist.

1. 5 Mio. € gegen IQVIA: Pseudonymisierung ist kein Freifahrtschein

Die französische Datenschutzbehörde CNIL hat mit Beschluss SAN-2026-008 vom 26. Mai 2026 ein Bußgeld von 5 Millionen Euro gegen IQVIA Operations France verhängt. Das Unternehmen verarbeitet im großen Stil Gesundheits- und Verschreibungsdaten. Der Vorwurf: Die eingesetzte Pseudonymisierung reichte nicht aus, um die Verarbeitung auf eine tragfähige Rechtsgrundlage zu stellen.

Die Botschaft für jedes KMU, das mit sensiblen Daten arbeitet: Pseudonymisierung ist eine technische Schutzmaßnahme — aber sie ersetzt keine Rechtsgrundlage. Wer besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO verarbeitet (Gesundheit, Religion, Gewerkschaft, Biometrie), braucht zusätzlich eine ausdrückliche Erlaubnis.

Was KMU jetzt tun sollten: Listen Sie auf, wo in Ihrem Betrieb besondere Datenkategorien anfallen, und prüfen Sie für jede Verarbeitung die Rechtsgrundlage. Bei Unsicherheit hilft eine strukturierte Datenschutzberatung oder ein externer Datenschutzbeauftragter.

2. Das Datengesetz bekommt Zähne: DADG in Kraft

Am 30. Mai 2026 ist das Data-Act-Durchführungsgesetz (DADG) in Kraft getreten (BGBl. Nr. 157). Es setzt die EU-Datenverordnung (Data Act), die bereits seit 12. September 2025 gilt, in Deutschland durch — und gibt ihr erst die nötige Durchsetzungskraft.

Das Wichtigste in Kürze: Zentrale Aufsichtsbehörde für die Privatwirtschaft wird die Bundesnetzagentur, für personenbezogene Daten bleibt die BfDI zuständig. Nach § 15 DADG drohen Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes. Im Fokus stehen vernetzte Produkte — vom IoT-Gerät über die Maschine mit Sensorik bis zur App: Nutzer bekommen ein Recht auf Zugang zu den Daten, die sie erzeugen, und dürfen sie an Dritte weitergeben.

Was KMU jetzt tun sollten: Wer vernetzte Produkte herstellt oder einsetzt, sollte prüfen, welche Daten dabei entstehen, wem sie zustehen und ob ein Datennutzungsvertrag für nicht-personenbezogene Daten nötig ist. Datenschutz (DSGVO) und Datenwirtschaft (Data Act) greifen hier ineinander.

3. KRITIS-Endspurt: Die Frist 17. Juli — und 61,5 % sind noch nicht so weit

Das NIS2-Umsetzungsgesetz und das KRITIS-Dachgesetz weiten den Kreis der regulierten Unternehmen massiv aus — auf rund 30.000 Einrichtungen. Die zentrale Frist rückt jetzt gefährlich nah: Bis 17. Juli 2026 müssen sich betroffene Betreiber registrieren — beim BSI (IT-Sicherheit) und, neu durch das Dachgesetz, beim BBK (physischer Schutz).

Das Problem: Aktuelle Erhebungen zeigen, dass erst rund 38,5 % der betroffenen Unternehmen fristgerecht unterwegs sind. Wer jetzt nicht startet, riskiert nicht nur Bußgelder, sondern auch die persönliche Haftung der Geschäftsführung.

1. Betroffenheit klären: Fallen Sie unter NIS2 (ab 50 Mitarbeitenden / 10 Mio. € Umsatz in einem der 18 Sektoren) — oder über die Lieferkette eines betroffenen Kunden?
2. Registrieren: BSI-Registrierung (IT) und BBK-Registrierung (physischer Schutz) sind getrennte Pflichten — beide bis 17. Juli.
3. Nachweise aufbauen: Risikomanagement, Incident-Response und Lieferanten-Nachweise lassen sich nicht in einer Woche erzeugen — mit Hugo Shield strukturiert dokumentieren.

„Viele Unternehmer denken, ich bin doch zu klein — aber über die Lieferkette werden auch sie in die Pflicht genommen. Die Frist wirkt weit weg, doch die Nachweise dafür baut man nicht über Nacht auf."

Nils OehmichenDatenschutzberater bei frag.hugo

4. AI Act: Der Digital Omnibus verschiebt — die Schulungspflicht gilt schon

Auf EU-Ebene hat der Digital Omnibus einzelne Fristen des AI Act angepasst — vor allem für Hochrisiko-KI. Was dabei gern übersehen wird: Verschoben heißt nicht aufgehoben. Zwei Dinge gelten bereits:

• Die KI-Kompetenzpflicht nach Art. 4 AI Act — Mitarbeitende, die KI einsetzen, müssen dafür ausreichend geschult sein.
• Die verbotenen Praktiken nach Art. 5 (z. B. Emotionserkennung am Arbeitsplatz, Social Scoring).

Für generative KI kommen zudem Transparenz- und Kennzeichnungspflichten (Wasserzeichen) auf Anbieter und Betreiber zu.

Fazit: Aus den Schlagzeilen werden Hausaufgaben

Bußgeld, neues Gesetz, ablaufende Frist, neue KI-Pflichten — die Meldungen wirken wie Einzelfälle, haben aber denselben Kern: Verantwortung lässt sich nicht auslagern, und Fristen kommen schneller als gedacht. Die gute Nachricht: Die nötigen Schritte sind machbar, wenn man sie nicht aufschiebt.

„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, die auch im Alltag funktioniert — nicht das maximale Bürokratie-Programm."

Nils OehmichenDatenschutzberater bei frag.hugo

Häufige Fragen (FAQ)

Wie hoch war das CNIL-Bußgeld gegen IQVIA im Mai 2026?

Die französische Datenschutzbehörde CNIL verhängte mit Beschluss SAN-2026-008 vom 26. Mai 2026 ein Bußgeld von 5 Millionen Euro gegen IQVIA Operations France. Kern des Vorwurfs: Die Pseudonymisierung von Gesundheits- und Verschreibungsdaten reichte nicht aus, um die Verarbeitung rechtmäßig zu machen. Der Fall zeigt, dass Pseudonymisierung allein keine Rechtsgrundlage ersetzt — besonders bei Gesundheitsdaten nach Art. 9 DSGVO.

Was regelt das Data-Act-Durchführungsgesetz (DADG)?

Das DADG ist am 30. Mai 2026 in Kraft getreten und setzt die EU-Datenverordnung (Data Act, anwendbar seit 12. September 2025) in Deutschland durch. Zentrale Durchsetzungsbehörde für die Privatwirtschaft wird die Bundesnetzagentur, für personenbezogene Daten die BfDI. Nach § 15 DADG drohen Bußgelder von bis zu zwei Prozent des weltweiten Jahresumsatzes. Betroffen sind vor allem Hersteller und Nutzer vernetzter Produkte (IoT).

Bis wann müssen sich Unternehmen 2026 für NIS2 und KRITIS registrieren?

Stichtag ist der 17. Juli 2026. Bis dahin müssen sich betroffene Betreiber registrieren — beim BSI im Rahmen der NIS2-Umsetzung und, neu durch das KRITIS-Dachgesetz, beim BBK für den physischen Schutz. Aktuelle Erhebungen zeigen, dass nur rund 38,5 % der betroffenen Unternehmen fristgerecht unterwegs sind — bei geschätzt 30.000 betroffenen Einrichtungen ein erhebliches Risiko.

Gilt der AI Act trotz des Digital Omnibus schon für KMU?

Ja. Der Digital Omnibus der EU verschiebt einzelne Fristen für Hochrisiko-KI, hebt die Pflichten aber nicht auf. Bereits in Kraft sind die KI-Kompetenzpflicht nach Art. 4 AI Act (Mitarbeitende müssen im Umgang mit KI geschult sein) und die verbotenen Praktiken nach Art. 5. Für generative KI kommen Transparenz- und Kennzeichnungspflichten (Wasserzeichen). KMU sollten daher nicht auf verschobene Fristen warten.

Was sollten KMU nach den Entwicklungen Anfang Juni 2026 tun?

Drei Dinge: (1) Verarbeitung besonderer Datenkategorien — vor allem Gesundheitsdaten — auf eine echte Rechtsgrundlage prüfen, Pseudonymisierung allein genügt nicht. (2) NIS2-/KRITIS-Betroffenheit klären und die Registrierungsfrist 17. Juli nicht verpassen. (3) Wer KI einsetzt: KI-Richtlinie aufsetzen und Mitarbeitende nach Art. 4 AI Act schulen.