EU AI Act: Neue Datenschutzregeln für Künstliche Intelligenz

Der Europäische Datenschutzausschuss (EDPB) hat Mitte April einen standardisierten Fragebogen für Datenschutz-Folgenabschätzungen (DPIA) veröffentlicht. Dieser Schritt soll Firmen helfen, die strengen Anforderungen des neuen KI-Gesetzes zu erfüllen. Branchenbeobachter registrieren weltweit einen Anstieg von Datenschutzbeschwerden und hohen Vergleichszahlungen.

Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist. Dieser Umsetzungsleitfaden verschafft Ihnen den Überblick über Risikoklassen und Fristen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Neue Regeln für KI-Training und Datennutzung

Die Regulierungslandschaft für Künstliche Intelligenz durchläuft derzeit eine grundlegende Neuausrichtung. Kernstück ist das Digital-Omnibus-Paket, das die EU-Kommission Ende 2025 vorschlug. Es soll mehrere große Verordnungen harmonisieren – darunter die DSGVO, das KI-Gesetz und das Datengesetz.

Besonders brisant: Die geplante Änderung der Rechtsgrundlage für KI-Training. Künftig könnten Unternehmen KI-Systeme auf Basis „berechtigter Interessen“ trainieren, statt von jedem Betroffenen eine explizite Einwilligung einzuholen. Gleichzeitig sollen Cookies vom Opt-in zum Opt-out wechseln und die Meldefrist für Datenschutzverstöße von 72 auf 96 Stunden verlängert werden.

Technologieanbieter reagieren bereits. OpenAI veröffentlichte am 22. April einen neuen Datenschutz filter für mehr Nutzerkontrolle. Microsoft startete am 24. April seinen „Agent Mode“ – Unternehmensplattformen setzen zunehmend auf lokale Dokumentenverarbeitung. Laut aktuellen Umfragen priorisieren 90 Prozent der Unternehmen im DACH-Raum digitale Souveränität in ihrer IT-Strategie.

Vorbereitung auf das KI-Gesetz

Der European AI Act tritt am 2. August 2026 vollständig in Kraft. Das Gesetz führt ein abgestuftes Risikosystem ein – mit drastischen Strafen bei Verstößen. Unternehmen drohen Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent ihres weltweiten Jahresumsatzes.

Der EDPB-Fragebogen (Version 1.0) ist bis zum 9. Juni 2026 in öffentlicher Konsultation. Er soll eine einheitliche Methode zur Risikobewertung von KI-Datenverarbeitung etablieren. Der Druck steigt: Europäische Datenschutzbehörden verhängten 2025 Bußgelder in Höhe von 1,145 Milliarden Euro. Für 2026 prognostizieren Experten allein für DSGVO-Verstöße Strafen von 68 Millionen Euro in den ersten Monaten – vor allem wegen KI-bezogener Beschwerden.

Eine fehlende Datenschutz-Folgenabschätzung kann Unternehmen gerade im KI-Kontext teuer zu stehen kommen. Mit dieser kostenlosen Muster-Vorlage und den passenden Checklisten sichern Sie Ihren Betrieb rechtssicher gegen drohende Bußgelder ab. Rechtssichere DSFA in wenigen Schritten erstellen

Arbeitsplatz und Mitarbeiterüberwachung

Auch der Datenschutz am Arbeitsplatz steht auf dem Prüfstand. Am 26. April erweiterte die Schweizer Validato AG ihr Screening-Modell für den DACH-Raum. Die strukturierten Identitäts-, Qualifikations- und Integritätschecks bleiben DSGVO-konform, indem sie Daten innerhalb des EWR oder der Schweiz verarbeiten.

Parallel verbessern Mobilfunk-Anbieter die Transparenz. Google führte im April neue Privatsphäre-Indikatoren für Android ein – ähnlich den Funktionen bei Apple. Grüne oder orange Punkte zeigen an, wann Kamera oder Mikrofon aktiv sind.

Doch Sicherheitsforscher warnen: Diese Maßnahmen sind nicht narrensicher. Berichte zeigen, dass bestimmte Spyware diese Indikatoren unterdrücken kann. Akademische Studien belegen zudem, dass nur 13,6 Prozent der Nutzer diese Marker bei simulierten „Overlay-Angriffen“ korrekt identifizierten.

Transatlantischer Regulierungs-Wettlauf

Während die EU auf das KI-Gesetz setzt, verfolgen die USA einen eigenen Kurs. Am 21. April brachte Abgeordnete Joyce den SECURE Data Act (H.R. 8413) ein. Das Gesetz soll einen bundesweiten Datenschutzstandard schaffen und rund zwei Dutzend Einzelstaatsgesetze ersetzen.

Unterstützt wird der Vorstoß von Kleinunternehmen und der Werbewirtschaft. Der US-Digitalwerbemarkt erreichte 2025 ein Volumen von 294,6 Milliarden Dollar – ein Plus von fast 14 Prozent. Kritiker bemängeln jedoch das Fehlen eines individuellen Klagerechts.

Parallel prüft der Oberste Gerichtshof die Verfassungsmäßigkeit von Geofencing-Durchsuchungen. Auslöser ist ein Fall in Virginia, bei dem Ermittler Massendatenabfragen bei Google nutzten. Das Urteil entscheidet, ob solche weitreichenden Datenzugriffe gegen den Vierten Verfassungszusatz verstoßen.

Die Kosten digitaler Unsicherheit

Der Vorstoß für strengere Regeln ist auch eine Reaktion auf steigende Cyberkriminalität. Der Bitkom-Verband beziffert die jährlichen Schäden für die deutsche Wirtschaft auf 200 bis 290 Milliarden Euro. Hinzu kommen interne Defizite: 41 Prozent der deutschen Unternehmen nutzen KI – aber 64 Prozent davon ohne formale Strategie.

Die rechtlichen Risiken zeigen sich in massiven Sammelklagen. Google einigte sich auf einen Vergleich von 135 Millionen Dollar wegen heimlicher Datensammlung bei Android-Geräten. Betroffen sind rund 100 Millionen Nutzer. Die abschließende Anhörung ist für den 23. Juni 2026 angesetzt.

In Nigeria erzielten Regulierer einen anderen Deal: Meta verzichtete auf eine 32,8-Millionen-Dollar-Strafe, verpflichtete sich aber zum Bau eines Rechenzentrums in Lagos bis zum ersten Quartal 2027. Kritiker sprechen von „regulatory capture“ – dem Aufweichen von Datenschutzstandards gegen wirtschaftliche Zugeständnisse.

Ausblick

Die zweite Jahreshälfte 2026 steht im Zeichen des Countdowns zum AI Act im August. Unternehmen sollten die Konsultationsphase für den EDPB-Fragebogen nutzen, um ihre Compliance-Strukturen zu schärfen. Die Entwicklung des US-Gesetzes und die Entscheidungen des Obersten Gerichtshofs werden zeigen, wie stark die Regulierungen zwischen Nordamerika und Europa auseinanderdriften.

Der trend der Regulierer geht weg von strikten Verboten hin zu beherrschbaren Rahmenbedingungen für „berechtigte Interessen“ – vorausgesetzt, Transparenz und Sicherheitsmaßnahmen wie die geplante EU Digital Identity Wallet (bis Ende 2026) werden erfolgreich umgesetzt.

de | boerse | 69246738 |