Niederlande setzt EU-KI-Verordnung mit zentraler Aufsicht um

Ein am Montag gestartetes Konsultationsverfahren legt die Aufsichtsstruktur fest und macht die Datenschutzbehörde zur zentralen Kontrollinstanz. Der Vorstoß fällt mitten in eine europäische Debatte zwischen Regulierung und Wettbewerbsfähigkeit.

Datenschutzbehörde wird zur KI-Aufseherin

Die neuen EU-Regeln für künstliche Intelligenz stellen Unternehmen vor komplexe Herausforderungen bei der Umsetzung. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen des AI Acts. EU AI Act in 5 Schritten verstehen

Unter dem Entwurf soll die Autoriteit Persoonsgegevens (AP) zur allgemeinen Aufsichtsbehörde für KI-Anwendungen in allen Sektoren ohne eigene Fachaufsicht werden. Für diese erweiterte Rolle wird die Behörde einen eigenen KI-Kommissar ernennen. Die AP koordiniert ihre Arbeit mit der Inspektion für digitale Infrastruktur (RDI). Bestehende Branchenaufsichten behalten ihre Zuständigkeit für KI in ihren Domänen – ein hybrides Modell, das Fachwissen und eine einheitliche Anlaufstelle kombinieren soll.

Die Internetkonsultation zum Gesetzentwurf läuft bis zum 1. Juni 2026. Unternehmen, Juristen und Verbände können so Einfluss nehmen, wie die Niederlande die komplexe KI-Verordnung handhaben, die seit August 2024 in Kraft ist.

Deutsche Industrie warnt vor Investitionsabfluss

Der niederländische Schritt erfolgt unter massivem Druck der Industrie in der EU. Zur Eröffnung der Hannover Messe forderte Bundeskanzler Friedrich Merz am Montag eine Lockerung der KI-Verordnung für industrielle Anwendungen. Die aktuellen Regeln seien ein „enges Korsett“ für Innovation, so Merz. Die schiere Vielfalt der heutigen KI-Nutzung sei bei der Ausarbeitung nicht absehbar gewesen.

Großkonzerne schlagen in die gleiche Kerbe. Siemens-Chef Roland Busch kündigte zwar eine Milliardensumme für industrielle KI an, warnte aber: Ein erheblicher Teil dieser Investitionen könne in die USA oder China abfließen, falls die EU-Regulierung nicht reformiert werde. Busch kritisierte, dass KI- und Data Act Industriedaten mit denselben restriktiven Maßstäben behandelten wie personenbezogene Daten – ein „unsinniger“ Ansatz im Geschäftsumfeld. Verbände wie ZVEI, VDMA und BDI unterstützen die Forderung nach strukturellen Reformen.

Zertifizierung erleichtert globale Datenströme

Während die Niederlande ihr Aufsichtsgerüst bauen, schafft die europäische Datenschutzbehörde EDPB neue Werkzeuge für den internationalen Datentransfer. Am Montag billigte sie zwei wichtige Entscheidungen zum Europrivacy-Zertifizierungsschema. Dieses steht nun auch Unternehmen außerhalb Europas zur Verfügung, um GDPR-Konformität nachzuweisen. Eine spezielle Version der Kriterien gilt zudem als offizieller Mechanismus für Datentransfers nach Artikel 46 der DSGVO.

Das soll multinationalen Konzernen, auch jenen mit KI-Systemen, mehr Rechtssicherheit bei grenzüberschreitenden Datenflüssen geben. Im Finanzsektor warnt die Bank of England indes vor neuen Risiken. Zwar stelle generative KI noch keine systemische Gefahr dar, dies könne sich aber schnell ändern. Die Bank analysiert Szenarien, in denen KI-Agenten „Herdenverhalten“ an Märkten auslösen und die Volatilität erhöhen könnten. In der EU werden die Vorgaben für Hochrisiko-KI voraussichtlich ab dem 2. August 2026 voll durchsetzbar.

Neben rechtlichen Hürden nehmen auch die gezielten Angriffe auf kleine und mittelständische Unternehmen durch Cyberkriminelle stetig zu. Erfahren Sie in diesem kostenlosen E-Book, wie Sie Ihre IT-Sicherheit stärken und gleichzeitig neue gesetzliche Anforderungen erfüllen. Gratis-Ratgeber für proaktive IT-Sicherheit sichern

Cybersicherheit wird zur Top-Priorität

Die niederländische Umsetzung findet vor dem Hintergrund wachsender Cybersicherheits-Herausforderungen statt. Ein am Montag veröffentlichter KPMG-Bericht identifiziert die Absicherung von KI-Systemen als Top-Priorität für CISOs. Die Verwaltung „nicht-menschlicher Identitäten“ – die in vielen Unternehmen bereits menschliche Nutzer zahlenmäßig übertrumpfen – wird zur kritischen Aufgabe.

Marktanalysten von Gartner prognostizieren, dass die Ausgaben für Governance-, Risiko- und Compliance-Plattformen (GRC) bis 2026 um 50 % steigen werden. Fast 77 % der globalen C-Suite sehen Compliance inzwischen als fundamentalen Beitrag zu Geschäftszielen, nicht mehr als bloße Bürde. Gleichzeitig setzen einige europäische Organisationen auf digitale Souveränität. Benjamin Schilz, CEO der Kommunikationsplattform Wire, bestätigte, dass seine sicheren Tools bereits US-Anwendungen im Deutschen Bundestag und Bundesministerien ersetzt hätten.

Blaupause für Europa unter Spannung

Der Abschluss der niederländischen Konsultation im Juni markiert einen Meilenstein. Der weitere Weg bleibt jedoch komplex. Während die Niederlande auf ein zentralisiertes Koordinierungsmodell setzen, mehren sich in Europa die Rufe nach Flexibilität.

Die EU-Kommission hatte Ende 2025 ein „Digital Omnibus“-Paket vorgeschlagen, das unter anderem Meldepflichten bei Datenschutzverletzungen lockern wollte. Die niederländische Regierung lehnte diese Absenkung der Standards Anfang April deutlich ab. Sie könnte also für eine rigorosere Auslegung digitaler Rechte eintreten – auch bei der Integration industrieller Belange.

Mit der Frist für Hochrisiko-KI im August rückt die Wirksamkeit des niederländischen Aufsichtsmodells in den Fokus. Die Arbeit des neuen KI-Kommissars und die Koordination mit der RDI werden genau beobachtet. Sie könnten zur Blaupause für andere EU-Staaten werden, die den Spagat zwischen strenger Regulierung und den Erfordernissen einer dynamischen Digitalwirtschaft meistern müssen.

de | boerse | 69223077 |