KI-Recht & Compliance
DSGVO-Bußgelder und KI: Was Unternehmen aus echten Fällen lernen
Millionenstrafen gegen KI-Anbieter machen Schlagzeilen — aber was bedeuten sie für Unternehmen, die KI nur einsetzen? Eine nüchterne Analyse echter Fälle und der Muster dahinter.

Schlagzeilen über Millionenstrafen gegen KI-Anbieter verunsichern — zu Recht als Warnsignal, aber oft falsch interpretiert. Denn die meisten Unternehmen sind nicht Anbieter, sondern Anwender von KI. Ein Blick auf die realen Fälle zeigt, worauf es dabei ankommt.
Die realen Fälle
Am prominentesten sind drei Fallgruppen:
Clearview AI — gleich mehrere europäische Behörden verhängten je 20 Mio. €: Italien (2022), Frankreich (17.10.2022) und Griechenland (13.07.2022). Der Vorwurf: massenhaftes Sammeln von Gesichtsbildern und Umwandlung in biometrische Daten ohne Rechtsgrundlage — ein klarer Verstoß gegen Art. 9 DSGVO (besondere Kategorien).
Replika / Luka Inc. — die italienische Garante verhängte im April 2025 5 Mio. € gegen den Anbieter des KI-Chatbots — wegen fehlender Rechtsgrundlage, mangelnder Transparenz und fehlender Altersverifikation.
OpenAI — die Garante verhängte Ende 2024 15 Mio. € gegen OpenAI. Wichtig: Dieses Bußgeld wurde im März 2026 von einem Gericht in Rom wieder aufgehoben — allerdings aus rein prozessualen Gründen (Zuständigkeit), nicht wegen der inhaltlichen Rechtmäßigkeit.
Der OpenAI-Fall ist ein gutes Beispiel für sauberes Lesen von Schlagzeilen: „Strafe aufgehoben“ heißt hier nicht „alles war rechtens“, sondern nur, dass die falsche Behörde entschieden hatte. Die materiellen Datenschutzfragen bleiben offen.
Die wiederkehrenden Muster
So unterschiedlich die Fälle, so ähnlich die Ursachen. In nahezu jedem Fall stand am Anfang eine fehlende Rechtsgrundlage nach Art. 6 DSGVO. Dazu kommen wiederkehrend: die Verarbeitung besonderer Kategorien ohne Erlaubnis (Art. 9), Verstöße gegen die Transparenzpflichten (Art. 12–14), verletzte Betroffenenrechte und fehlender Minderjährigenschutz. Der Bußgeldrahmen ist ernst: Bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes — je nachdem, was höher ist (Art. 83 DSGVO).
Was Anwender daraus lernen
Die entscheidende Erkenntnis: Wer personenbezogene Daten in ein öffentliches KI-Tool eingibt, verlagert genau die Risiken, an denen die Anbieter scheiterten, auf sich selbst. Fünf Konsequenzen:
Rechtsgrundlage zuerst — vor jeder KI-Nutzung mit Personenbezug die Grundlage klären (Einwilligung, Vertrag, berechtigtes Interesse).
Keine personenbezogenen Daten in öffentliche Tools — das ist der häufigste vermeidbare Fehler; siehe ChatGPT & Datenschutz.
Auftragsverarbeitungsvertrag (Art. 28) — mit jedem Anbieter, der personenbezogene Daten verarbeitet.
EU-Hosting — reduziert Transfer- und Zugriffsrisiken; siehe Datensouveränität.
DSGVO und KI-Verordnung zusammendenken — beide gelten kumulativ, wie unser Beitrag zur KI-Verordnung zeigt.
Wer KI auf einer DSGVO-konformen Plattform mit EU-Hosting, AVV und klarer Governance einsetzt, muss diese Bußgeld-Muster nicht fürchten — die Risikoquellen sind dort strukturell ausgeschlossen.
Fazit
Die realen KI-Bußgelder trafen bisher Anbieter mit fragwürdigem Datenumgang — nicht Unternehmen, die KI verantwortungsvoll nutzen. Die Lehre ist keine Angst vor KI, sondern ein sauberes Fundament: Rechtsgrundlage, kein Personenbezug in offenen Tools, EU-Hosting. Den vollständigen Rahmen gibt unser Leitfaden zu DSGVO-konformer KI für Unternehmen.
Quellen
DSGVO-konforme KI aus einem echten deutschen Rechenzentrum
Kasimir läuft auf eigener Infrastruktur in Deutschland — kein Umweg über US-Anbieter, keine CLOUD-Act-Reichweite.


