Heute ist der 23.06.2026, und es gibt Neuigkeiten, die sowohl kleine und mittlere Unternehmen als auch große Konzerne in Aufregung versetzen. Rund 215.000 kleine und mittlere Unternehmen in Deutschland stehen bis Ende 2025 vor der Herausforderung, einen Nachfolger zu finden. Doch die Übertragung von Kundendaten ist dabei alles andere als ein Kinderspiel. Besonders für Einzelunternehmer wird es rechtlich knifflig, da die Datenweitergabe strengen Regulierungen unterliegt. Ein Ausrutscher im DSGVO-Verarbeitungsverzeichnis kann Unternehmen bis zu 2 % ihres Jahresumsatzes kosten – kein Pappenstiel, wie man so schön sagt!

Für die Dokumentationspflicht gibt es jedoch Hilfe in Form einer kostenlosen Excel-Vorlage. Immerhin, wer möchte schon seinen Jahresumsatz durch bürokratische Lücken gefährden? Ein weiterer Aspekt, der oft übersehen wird, ist der Unterschied zwischen einem Asset Deal und einem Share Deal. Beim Share Deal bleibt die juristische Person als Vertragspartner erhalten, während beim Asset Deal die Kundendaten auf den neuen Inhaber übergehen – und das unterliegt strengen Vorschriften. Das hat auch die Datenschutzkonferenz (DSK) erkannt und die Anforderungen in einem Beschluss vom September 2024 präzisiert. Hier gilt: Art. 6 Abs. 1 lit. b DSGVO kann für Daten aus laufenden Verträgen als Rechtsgrundlage dienen. Bei anderen Fällen greift häufig das berechtigte Interesse, wobei Kunden auch das Recht haben müssen, Widerspruch einzulegen.

Die neuen Urteile der EuGH und ihre Bedeutung

Im September 2025 fällten sowohl der Europäische Gerichtshof (EuGH) als auch das Gericht der Europäischen Union (EuG) richtungsweisende Urteile, die das Datenschutzrecht weiter schärfen. Eines der zentralen Themen war die Definition von personenbezogenen Daten. Im Fall des Einheitlichen Europäischen Abwicklungsausschusses (SRB) entschied der EuGH, dass sogar persönliche Ansichten als personenbezogene Daten gelten können. Das bedeutet, dass Unternehmen bei der Datenübermittlung besonders genau hinsehen müssen – es reicht nicht aus, Daten als anonymisiert abzutun.

Ein weiteres Urteil des EuG bestätigte die Angemessenheit des „Data Privacy Framework“ (DPF) für Datentransfers in die USA, auch wenn die Unabhängigkeit des Data Protection Review Court (DPRC) in Frage gestellt wurde. Unternehmen sollten sich also nicht nur kurzfristig auf diesen Angemessenheitsbeschluss stützen, sondern auch langfristige Fallback-Lösungen parat haben. Und auch die Frage nach Schadensersatz wurde behandelt. Der EuGH stellte klar, dass immaterielle Schäden durch unbefugte Datenübermittlung negative Gefühle umfassen. Das heißt, Unternehmen müssen nicht nur auf das Zahlen, sondern auch auf das Wohlbefinden ihrer Kunden achten – ein spitzfindiger Punkt, der nicht zu vernachlässigen ist.

Die Herausforderung der KI-Compliance

Und dann ist da noch der EU AI Act, dessen Compliance-Frist für Hochrisiko-KI-Systeme am 2. August 2026 endet. Wer glaubt, das Thema Datenschutz sei schon kompliziert, sollte sich die Anforderungen des AI Act einmal genauer ansehen. Bei Verstößen drohen Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Unternehmen sind gut beraten, ihre Systeme zu inventarisieren und Governance-Strukturen aufzubauen. Die Diskussion über die Verschiebung bestimmter Pflichten für eingebettete KI-Systeme auf August 2028 hat zwar begonnen, doch Entwarnung gibt es nicht – kurzfristige Prüfungen aktueller Hochrisiko-Anwendungen sind nach wie vor nötig.

Werbung
Hier könnte Ihr Advertorial stehen
Ein Advertorial bietet Unternehmen die Möglichkeit, ihre Botschaft direkt im redaktionellen Umfeld zu platzieren

Ein weiteres Spannungsfeld entsteht durch die Überschneidungen zwischen dem EU AI Act und der DSGVO. Beide Regelwerke adressieren unterschiedliche Aspekte, aber sie müssen Hand in Hand gehen. Während die DSGVO den Umgang mit personenbezogenen Daten regelt, legt der EU AI Act Anforderungen an KI-Systeme fest. Unternehmen, die KI-Systeme betreiben und dabei personenbezogene Daten verarbeiten, müssen beide Regelwerke vollständig umsetzen. Es ist also ratsam, eine integrierte Datenschutz- und KI-Governance zu entwickeln, um Redundanz und widersprüchliche Bewertungen zu vermeiden. Und, um es klar zu sagen: Wer gegen die Anforderungen verstößt, muss mit Sanktionen aus beiden Regelwerken rechnen.