EU AI Act: Countdown für Unternehmen läuft

Am 2. August 2026 tritt der Großteil des EU AI Act in Kraft – ein Datum, das Compliance-Abteilungen in ganz Europa auf Trab hält. Besonders betroffen sind Systeme, die automatisiert Dokumente verarbeiten oder Entscheidungen treffen. Die EU-Kommission fährt dabei zweigleisig: Während die strengen Regeln für Hochrisiko-KI auf dem Plan bleiben, soll das „Digital Omnibus"-Reformpaket bestehende Datenschutzvorgaben vereinfachen.

Die neuen EU-Vorgaben für Künstliche Intelligenz gelten bereits, doch viele Unternehmen unterschätzen die komplexen Anforderungen des AI Acts. Dieser kostenlose Leitfaden verschafft Ihrer Rechts- und IT-Abteilung den notwendigen Überblick über alle Fristen, Pflichten und Risikoklassen. EU AI Act in 5 Schritten verstehen

Hochrisiko-KI: Strengere Regeln für sensible Entscheidungen

KI-Systeme, die über Arbeitsplätze, Kreditwürdigkeit oder Versicherungsansprüche entscheiden, gelten als hochriskant. Sie müssen strenge Transparenzauflagen erfüllen, inklusive der Pflicht, KI-generierte Inhalte zu kennzeichnen. Bereits im Februar 2025 traten Verbote bestimmter KI-Praktiken in Kraft, im August 2025 folgten Regeln für allgemeine KI-Systeme.

Am 28. April 2026 kündigten die EU-Kommission und der Europäische Datenschutzausschuss (EDPB) an, gemeinsam Leitlinien zum Zusammenspiel von Wettbewerbsrecht und Datenschutz zu erarbeiten. Das Ziel: Unternehmen, die große Datenmengen verarbeiten, einen klaren Rechtsrahmen bieten – insbesondere im Spannungsfeld von Digital Markets Act (DMA) und DSGVO.

„Digital Omnibus": Weniger Bürokratie für KI-Training

Mit dem im November 2025 vorgeschlagenen Reformpaket will die EU-Kommission digitale Vorschriften harmonisieren. Kernpunkt: Unternehmen könnten KI-Modelle künftig auf Basis „berechtigter Interessen" trainieren, statt in jedem Fall eine explizite Einwilligung einholen zu müssen.

Auch der Alltag der Compliance-Teams soll einfacher werden: Die Meldefrist für Datenpannen würde von 72 auf 96 Stunden verlängert, die Meldepflicht auf Hochrisikofälle beschränkt. Zudem denkt die Kommission über die Abschaffung klassischer Cookie-Banner zugunsten zentraler Einstellungen im Browser nach. Sollten diese Änderungen bis Ende 2026 umgesetzt werden, könnten sie automatisierte Workflows grundlegend verändern.

Forschung unter der Lupe: Sechs Kriterien für echte Wissenschaft

Am 15. April 2026 veröffentlichte der EDPB die Leitlinien 1/2026 zur wissenschaftlichen Forschung unter der DSGVO. Besonders relevant für Unternehmen, die automatisierte Systeme zur Datenanalyse nutzen. Der Ausschuss führt einen Sechs-Faktoren-Test ein, um echte Forschung von kommerziellen Projekten zu unterscheiden: methodisch, ethisch, überprüfbar, unabhängig und mit gesellschaftlichem Mehrwert.

Wichtig: Auch kommerzielle Forschung ist möglich, aber nicht von strengen Standards befreit. Die unbegrenzte Speicherung personenbezogener Daten bleibt verboten – selbst für Forschungszwecke. Automatisierte Workflows müssen daher robuste Löschprotokolle und Anonymisierungsschichten enthalten. Der Bayerische Landesbeauftragte für Datenschutz betonte in einer aktuellen Veröffentlichung, dass RAG-Subsysteme (Retrieval-Augmented Generation) in KI-Projekten der öffentlichen Verwaltung auf personenbezogene Daten geprüft und nötigenfalls anonymisiert werden müssen.

Branche reagiert: Lücke zwischen KI-Nutzung und Governance

Die aktuelle Marktlage zeigt ein deutliches Missverhältnis: Laut Bitkom-Studie nutzen 41 Prozent der Unternehmen in Deutschland, Österreich und der Schweiz aktiv KI – ein sprunghafter Anstieg von 17 Prozent im Jahr 2024. Doch 64 Prozent dieser Firmen arbeiten ohne formale KI-Strategie. Die Folge: 33 Prozent der Unternehmen berichten von Kostenüberschreitungen bei KI-Projekten, verursacht durch ineffiziente Pipelines oder Abhängigkeiten von einzelnen Anbietern.

Parallel zur technologischen Nutzung müssen Unternehmen auch die rechtliche Dokumentation ihrer Systeme absichern, da fehlende Datenschutz-Folgenabschätzungen teure Bußgelder nach sich ziehen können. Nutzen Sie diese bewährten Checklisten und eine fertige Muster-Vorlage, um Ihre Compliance-Pflichten rechtssicher und effizient zu erfüllen. Rechtssichere Muster-DSFA jetzt kostenlos herunterladen

Technologieanbieter reagieren mit Governance-Tools. SAS kündigte einen „AI Navigator" für zentrales Asset-Management an, der im dritten Quartal 2026 erscheinen soll. Virtue AI brachte „PolicyGuard" auf den Markt, ein System, das interne KI-Richtlinien in durchsetzbare Laufzeitregeln übersetzt – kompatibel mit EU AI Act und DSGVO. Diese Werkzeuge sollen die Dokumentation von Verarbeitungstätigkeiten (VVT) und Datenschutz-Folgenabschätzungen (DSFA) automatisieren, die bislang menschliche Verantwortung bleiben.

Globaler Trend: Strafen steigen rasant

Während Europa auf ein zentrales KI-Regulierungsmodell setzt, bleibt die USA ein Flickenteppich aus einzelstaatlichen Datenschutzgesetzen. Alabama verabschiedete am 17. April 2026 als 22. Bundesstaat ein umfassendes Verbraucherdatenschutzgesetz, das ab Mai 2027 durchgesetzt wird. Zuvor waren bereits Gesetze in New Jersey und Iowa in Kraft getreten.

Die finanziellen Risiken wachsen weltweit: US-Strafen für Datenschutzverstöße erreichten 2025 mit 3,425 Milliarden Dollar einen Rekord – fast doppelt so viel wie im Vorjahr. In Europa drohen noch härtere Sanktionen: Der AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vor. Ein Bericht des Center for Information Policy Leadership (CIPL) vom 28. April 2026 zeigt eine 70-prozentige Übereinstimmung zwischen DSGVO und dem Global Cross-Border Privacy Rules (CBPR)-System – ein Hinweis, dass globale Zertifizierungsprogramme bald eine größere Rolle bei grenzüberschreitenden Datenströmen spielen könnten.

Ausblick: Was Unternehmen 2026 erwartet

Die verbleibenden Monate bis August stehen im Zeichen der finalen technischen Vorbereitungen. Zwar scheiterte kürzlich ein Deal im EU-Parlament, bestimmte Teile des Gesetzes zu verschieben – insbesondere für industrielle KI in Maschinen. Doch der 2. August bleibt der entscheidende Stichtag für Compliance-Verantwortliche.

Über 2026 hinaus warten weitere regulatorische Meilensteine: Bis Jahresende müssen EU-Mitgliedstaaten digitale Identitätsbündnisse bereitstellen. Der Cyber Resilience Act tritt am 11. Dezember 2027 in Kraft und bringt zusätzliche Sicherheitsanforderungen für digitale Produkte. In Deutschland empfahl eine Expertenkommission kürzlich einen 300-Milliarden-Euro-Investitionsfonds für heimische KI-Infrastruktur – mit dem Ziel „digitaler Souveränität". Für Unternehmen bedeutet das: Der Weg führt von reaktiver Compliance hin zu „verantwortungsvoller KI by Design".

de | wirtschaft | 69261124 |