2026 werden viele EU-Regelwerke zu Digitalisierung und KI scharf gestellt, es drohen Millionenstrafen, Sammelklagen und Regresse gegen das Management. Wie Unternehmen am besten mit den Risiken bei Nichtcompliance umgehen.
Eine Website aus Österreich, die Mark Zuckerberg teuer kommen könnte: Unter www.metaklage.at geht der vom früheren VKI-Mastermind Peter Kolba gegründete Verbraucherschutzverein VSV mit einer groß angelegten Sammelklage gegen den Techkonzern Meta vor. Dem Betreiber von Facebook und Instagram wird vorgeworfen, systematisch und rechtswidrig das Privatleben von Millionen Nutzern zu überwachen. Meta sammele über seine „Business Tools“, KI-gestützte Programme, auf Tausenden Websites und Apps Daten über das Surfverhalten seiner User. „Fast jeden Klick, jeden Kauf im Internet kann Meta mitlesen, selbst gegen Ihren ausdrücklichen Willen“, erklärt VSV-Obfrau Daniela Holzinger. Konsumenten können sich mit einer einfachen Registrierung unter www.meta-klage.at beteiligen. Deutschen Facebook-Usern winken 5.000 Euro Schadenersatz (abzüglich rund zehn Prozent für den beteiligten Prozessfinanzierer), auch Österreicher dürfen auf ähnliche Summen hoffen.
NEUE DIGITALE SPIELREGELN.
Dass der VSV gerade jetzt mit der Klage startet, ist die Folge neuer rechtlicher Rahmenbedingungen: In Deutschland ist die neue EU-Verbandsklagenrichtlinie in Kraft getreten, auch der VSV ist seit Dezember 2024 als qualifizierte Einrichtung für Verbandsklagen anerkannt und kann europaweit entsprechende Verfahren führen.
Die neuen EU-Vorgaben für digitales Recht sorgen aber längst nicht nur Großkonzerne wie Meta. In den vergangenen Jahren haben die EU-Gesetzgeber sehr viele Regulierungen verabschiedet, die den digitalen Bereich betreffen, sich auf das Tagesgeschäft auswirken und bei Nichtcompliance neben Sammelklagen auch Strafen ermöglichen. AI Act, Data Act, Digital Services Act, Digital Markets Act, NIS-2: All diese Vorgaben mit vielfach überlappenden Themenbereichen setzen Unternehmen unter Zugzwang.
Doch welche Regeln sind wie zu befolgen? Das können nur Experten sagen, denn das regulatorische Umfeld ändere sich ständig – es sei nicht einmal geklärt, sei, warnt Lutz Riede, Rechtsanwalt und Partner im Bereich IP, Technologie- und Digital-/Datenregulierung bei der internationalen Sozietät Freshfields in Wien. Er berät Konzerne wie VW, Hutchison Drei oder die Deutsche Bahn bei ihren Digitalisierungsprojekten und hilft Unternehmen, Problemzonen zu identifizieren und damit teure Spätfolgen zu vermeiden. Das gleicht oft einem Kampf gegen Windmühlen, sagt er: „Unternehmen müssen derzeit an mehreren Fronten kämpfen: Bei der Auslegung der neuen Regelungen in der Praxis gibt es viel Unsicherheit. Dazu kommt: Nicht jede Behörde ist schon bekannt, und auch die Behörden sind bezüglich ihrer Zuständigkeit untereinander im Clinch.“
Unternehmen müssen derzeit an mehreren Fronten kämpfen: Nicht jede Behörde ist schon bekannt, und auch die Behörden sind bezüglich ihrer Zuständigkeit untereinander im Clinch.
Freshfields zeichnet in seinem neuen „Data Law Trends Report 2026“ ein wenig erfreuliches Bild: Unternehmen müssen sich im kommenden Jahr auf eine neue Ära regulatorischer Komplexität einstellen. So gilt das One-Stop-Shop-Angebot der EU beim AI Act nur für Anbieter von KI-Modellen, für KI-Modelle ist direkt das KI-Büro der EU-Kommission für die Aufsicht zuständig. Doch für alle anderen Unternehmen gibt es dieses Angebot nicht. „Außerdem unterliegt die Überwachung der meisten Bereiche nationalen Behörden“, sagt Riede. Diese strafen vorerst noch nicht, doch das könnte die Ruhe vor dem Sturm sein: „Große Teile der neuen Regelungen werden im Sommer 2026 scharf gestellt“, so der Rechtsanwalt – mit entsprechenden Folgen. Die maximalen Strafhöhen gehen in die Millionen und orientieren sich an der Regel an einem Prozentsatz des gesamten Konzernumsatzes. Dass bei einem Verstoß nur die Reputation geschädigt wird, ist also nicht wahrscheinlich, vielmehr ist mit erheblichen finanziellen Schäden zu rechnen.
PERSÖNLICHE HAFTUNG von MANAGERN DROHT.
Werden selbst CEOs bei Verstößen persönlich zum Handkuss kommen? Laut Georg Fellner, Partner bei der auf Wirtschaftsrecht spezialisierten Kanzlei Brauneis Rechtsanwälte, ist selbst das zu befürchten. „Hohe Strafdrohungen mit Millionenbeträgen oder einem Prozentsatz des Konzernumsatzes findet man im Datenschutzrecht, im Verbraucherschutz, im Wettbewerbsrecht und in der Finanzmarktregulierung. Geschäftsführer und Vorstände österreichischer Kapitalgesellschaften tragen schon nach nationalem Recht eine erhebliche Verantwortung – und haften sowohl dem Unternehmen selbst als auch Dritten gegenüber“, erklärt er. „Mehrere neue EU-Rechtsakte wie NIS-2 schreiben nun sogar explizit eine persönliche Verantwortung der Leitungsorgane vor, sie erweitern damit den ohnehin dichten Haftungsrahmen.“
Werde gegen ein Unternehmen eine millionenschwere Geldbuße verhängt, stelle sich unweigerlich die Frage, inwieweit sich das Unternehmen beim Geschäftsführer regressieren könne, meint Fellner. „Zumindest in Fällen einer Sorgfaltswidrigkeit auf Seiten der Geschäftsführer, insbesondere bei einem Kontrollversagen, ist ein Regress naheliegend. Selbst für einen gut verdienenden Geschäftsführer wäre eine persönliche Haftung bei derart hohen Summen existenzvernichtend.“
Er nennt ein aktuelles Beispiel, bei dem ein Unternehmen Hunderttausende Euro von einem Topmanager vor Gericht erstreiten wolle. Dort gehe es zwar noch um Kartellbußgelder, Ähnliches drohe aber künftig bei Compliance-Verstößen im digitalen Recht. Auch dort sind laut Riede persönliche Folgen für das Management denkbar. „Was Unternehmen am meisten wehtut, ist aber, wenn sie Reputationsschäden erleiden oder ein Produkt oder Dienstleistung aufgrund einer einstweiligen Verfügung vom Markt nehmen müssen und deswegen um ihre Investitionen umfallen“, ergänzt er.
Der Haftungsdruck steigt, weil Gesetzgeber Aufsichtspflichten und Sorgfaltspflichten ausweiten, Aufsichtsbehörden strenger durchsetzen und Sanktionen erhöhen.
DREI BETROFFENE BEREICHE.
Wo liegen die meisten Stolpersteine? Freshfields nennt im „Data Law Trends Report“ drei Bereiche mit hohem Beratungsbedarf. Erstens müssen Unternehmen, die auf KI setzen, dabei auf umfassende Compliance achten: „Die Zeit des Experimentierens und Abtastens in Sachen KI ist vorbei. Jetzt geht es, auch was das Juristische angeht, in die konkrete Umsetzung“, so Riede. Freshfields berät derzeit viele Klienten, die vor dem Einsatz von KI-Tools eine Bestandsaufnahme erstellen und dann ihre Compliance- und Governanceprogramme entsprechend den neuen und erwarteten Richtlinien anpassen. Zweitens gibt es viele konkrete Fragen zu Verträgen mit KI-Partnern. Denn wenn ein Unternehmen KI einsetzt, kann es auf einmal rechtlich nicht als Anwender, sondern als Anbieter gelten und muss dann viel strengere Regeln befolgen. Das gilt übrigens nicht nur dann, wenn die KI bei Kundenbeziehungen zum Einsatz kommt, sondern auch dann, wenn beispielsweise Kandidaten oder Mitarbeitende durch die Personalabteilung mit KI-Tools gescreent werden. Drittens müssen die Rechtsanwälte derzeit erste Unternehmen dabei unterstützen, sich vor Behörden oder sogar vor Gericht zu verteidigen, weil Regelverstöße geortet wurden.
Vorsicht ist dabei immer besser als Nachsicht, sagt Riede: „Unternehmen, die Compliance als Wettbewerbsvorteil sehen und Musterschüler in diesem Bereich sein wollen, sind im Vorteil“, sagt er. Weniger ratsam sei die Einstellung „wait and see“ – wer Investitionen in diesem Bereich scheut, könnte das teuer bezahlen müssen. Das bestätigt auch Fellner: „Der Haftungsdruck steigt, weil Gesetzgeber Aufsichtspflichten und Sorgfaltspflichten ausweiten, Aufsichtsbehörden strenger durchsetzen und Sanktionen erhöhen. Wer hier nachlässig ist, riskiert Bußgelder in Millionenhöhe und persönliche Schadenersatzforderungen. Compliance ist ein Wettbewerbsvorteil und schützt vor rechtlichen und reputativen Schäden.“ Dafür muss das Thema digitale Compliance in der DNA des Unternehmens verankert werden, so Riede.
Das meint auch Martin Letzgus, Jurist und Experte für Compliance, Governance und Datenschutz der Managementberatung Horváth: „Unternehmen müssen bereit sein, sich ständig ändernden Anforderungen zu stellen. Das erfordert eine hohe Anpassungsfähigkeit und Flexibilität. Dazu muss vor allem Compliance und Datenschutz auch auf der Vorstandsebene ernst genommen werden.“
Unternehmen müssen bereit sein, sich ständig ändernden Anforderungen zu stellen. Das erfordert hohe Anpassungsfähigkeit und Flexibilität.
HOFFEN AUF ERLEICHTERUNGEN.
Einmal die Hausaufgaben gemacht und damit dauerhaft geschützt – diese Vorstellung ist irrig. Compliance sei eine laufende Aufgabe, so Letzgus: „Datenschutz ist im Sinne der Philosophie der EU als klarer Wettbewerbsvorteil zu sehen. Sind entsprechende Managementsysteme implementiert, müssen Unternehmen auch vor neuen Regeln keine Angst haben, im Gegenteil: Regulatorische Änderungen lassen sich leichter aufgreifen und systematisch umsetzen.“
HOFFEN AUF DIE EU.
Wobei sich das regulatorische Umfeld sogar in die von Unternehmen gewünschte Richtung ändern könnte. So betrifft das versprochene neue EU-Vereinfachungspaket der „Omnibus-Richtlinie“ auch den digitalen Bereich, Letzgus erwartet umfassende Erleichterungen und Harmonisierungen der vielen überschneidenden EU-Regelwerke. Erste Vorschläge dafür sollen am 19. November präsentiert werden. Viele hoffen, dass dabei auch der AI Act abgeschwächt oder verschoben wird. „Es wäre wünschenswert, wenn der rund 400 Seiten lange und für gewöhnliche Rechtsanwender schwer verdauliche AI Act punktuell angepasst und so leichter nutzbar würde. Auch das Zusammenspiel zwischen den Regulierungen sollte geklärt werden“, pocht auch Riede auf Erleichterungen. Denn nur mit Investitionen in Compliance allein wird die EU nicht zum Topplayer in Sachen Digitalisierung. Schließlich braucht es das Kapital nicht nur dafür, um neue Regeln genau zu befolgen, sondern in erster Linie dafür, um die digitalen Innovationen auf die Beine zu stellen.
