EU AI Act: Fristen verschoben, Bußgelder explodieren

Ein „Digital-Omnibus-Deal" vom 7. Mai 2026 verschiebt zentrale Compliance-Fristen für Hochrisiko-KI-Systeme – doch die Durchsetzung wird parallel verschärft.

Neue Fristen, alte Verbote

Das im Frühjahr 2026 ausgehandelte Paket hat den ursprünglichen Zeitplan des EU AI Act (Verordnung 2024/1689) kräftig durcheinandergewirbelt. Statt wie geplant im August 2026 müssen Hochrisiko-KI-Systeme nun erst bis zum 2. Dezember 2027 die strengen Auflagen erfüllen. Noch mehr Zeit bekommen Hersteller von KI in regulierten Produkten wie Medizingeräten oder Maschinen: Sie müssen erst am 2. August 2028 liefern.

Doch nicht alle Regeln wurden aufgeweicht. Die Verbote bestimmter KI-Praktiken – etwa Social Scoring oder manipulative Systeme – gelten bereits seit Februar 2025. Und die Transparenzpflichten für generative KI bleiben auf Kurs: Ab dem 2. August 2026 müssen KI-generierte Inhalte zwingend gekennzeichnet werden. Wer sich nicht dran hält, riskiert Strafen von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes.

Der TÜV-Verband hatte bereits am 18. März 2026 vor einer Verwässerung des Gesetzes gewarnt. Geschäftsführer Bühler warnte davor, Hochrisiko-KI in der Medizintechnik oder im Maschinenbau aus der allgemeinen Regulierung herauszulösen. „Das würde zu einem regulatorischen Flickenteppich führen", so Bühler. Die Sorge: Europas Rolle als globaler Vorreiter bei KI-Standards könnte Schaden nehmen.

Während die Fristen für manche Systeme nach hinten wandern, zeigen die Datenschutzbehörden unter dem bestehenden Rechtsrahmen volle Härte. Im Mai 2026 verhängten die Behörden eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V., den Betreiber des Yango-Dienstes. Grund: Datenübermittlungen nach Russland – einer der bislang schwerwiegendsten Fälle grenzüberschreitender Durchsetzung.

Angesichts der rasant steigenden Bedrohungen durch Cyberkriminalität müssen Unternehmen ihre IT-Sicherheit heute proaktiv stärken. Dieser kostenlose Ratgeber zeigt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohes Budget erfüllen. Gratis-E-Book zum Schutz vor Cyberangriffen herunterladen

Rekordstrafen und grenzüberschreitende Datenkonflikte

Die Welle erfasst nicht nur Start-ups. Im ersten Quartal 2026 verhängte die italienische Regulierungsbehörde Garante eine Strafe von umgerechnet rund 52 Millionen Euro gegen Intesa Sanpaolo – wegen unrechtmäßiger Verarbeitung von etwa 2,4 Millionen Kundendatensätzen. In Frankreich brummte die CNIL Iliad SA 42 Millionen Euro auf, nachdem ein Cyberangriff 2024 die Daten von 24 Millionen Kunden kompromittiert hatte.

In den USA verhängten Aufsichtsbehörden wie die SEC und FinCEN im ersten Quartal 2026 Strafen von umgerechnet rund 250 Millionen Euro. Darunter: eine 74-Millionen-Euro-Strafe gegen Canaccord Genuity wegen jahrelanger Verstöße gegen das Bankgeheimnisgesetz. Die SEC hat zudem ein scharfes Auge auf „AI Washing" geworfen – also irreführende Behauptungen über KI-Fähigkeiten gegenüber Investoren.

Cyberbedrohungen und neue Haftungsrisiken

Die Schnittstelle von KI und Cybersicherheit wird zum Brennpunktthema für deutsche Unternehmen. Das Bundeskriminalamt (BKA) verzeichnete 2025 insgesamt 333.922 Fälle von Cyberkriminalität – mit einem Gesamtschaden von geschätzt 202,4 Milliarden Euro. Laut Bitkom waren 81 Prozent der deutschen Unternehmen 2025 von Cyberangriffen betroffen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt fest: 88 Prozent aller Cybercrime-Opfer erleiden direkte finanzielle Verluste.

Neue Angriffsformen machen zusätzlich Sorgen. Im ersten Quartal 2026 stiegen die Fälle von „Quishing" – Phishing über gefälschte QR-Codes – um 150 Prozent auf rund 18 Millionen gemeldete Vorfälle. Analysten rechnen bis Ende 2026 mit globalen Schäden durch mobile Cyberkriminalität von rund 442 Milliarden Euro.

Eine neue Produkthaftungsrichtlinie aus Ende 2024 verändert zudem die Spielregeln für KI-Schäden. Sie erleichtert Verbrauchern und Unternehmen den Nachweis, dass ein KI-System den Schaden verursacht hat. In Deutschland wurde die Bundesnetzagentur als zentrale Aufsichtsbehörde für KI-Compliance benannt.

Globale Regulierungswelle und Whistleblower-Schutz

Auch außerhalb Europas zieht die Regulierung an. Der US-Bundesstaat Colorado hat mit dem Gesetz SB-26-189 ein KI-Transparenzgesetz verabschiedet, das am 12. August 2026 in Kraft tritt. Illinois plant sogar acht separate Gesetze zur Regulierung verschiedener KI-Aspekte. Marktforscher gehen davon aus, dass 84 Prozent der US-Manager erhebliche Auswirkungen auf ihre Geschäfte erwarten.

In Deutschland sorgte ein Urteil des Bundesarbeitsgerichts (BAG) vom 4. Dezember 2025 für Klarheit beim Whistleblower-Schutz. Das Gericht entschied: Ein in der Probezeit entlassener Whistleblower genießt keinen besonderen Kündigungsschutz, wenn die Kündigungsentscheidung bereits vor der Meldung eines Compliance-Verstoßes getroffen wurde. Schutz nach Paragraf 36 des Hinweisgeberschutzgesetzes setzt einen klaren Kausalzusammenhang zwischen Meldung und Kündigung voraus.

Die rechtssichere Umsetzung des Hinweisgeberschutzgesetzes ist für Unternehmen und Kommunen unerlässlich, um folgenschwere Datenschutzfehler zu vermeiden. Ein kostenloser Praxisleitfaden zeigt Schritt für Schritt, wie Sie interne Meldestellen gesetzeskonform organisieren. Praxisleitfaden zum HinSchG jetzt kostenlos sichern

International schlägt OpenAI die Schaffung einer globalen KI-Regulierungsbehörde vor. Gleichzeitig hat sich die US-Sicherheitsbehörde CAISI (früher US AI Safety Institute) aus einigen freiwilligen Testvereinbarungen mit Google, Microsoft und xAI zurückgezogen. Hintergrund: Google-Berichte deuten darauf hin, dass Angreifer Methoden zur Umgehung von KI-Sicherheitsvorkehrungen zunehmend industrialisieren.

Analyse: Zweigleisige Regulierung

Die Fristverschiebung für Hochrisiko-KI spiegelt die schiere Komplexität der Umsetzung wider. Die EU erkennt an, dass Industrie und Aufsichtsbehörden mehr Zeit für den Aufbau von Zertifizierungs- und Prüfstrukturen brauchen. Doch die Debatte um mögliche Ausnahmen – wie vom TÜV-Verband kritisiert – zeigt: Der Gesetzgebungsprozess bleibt anfällig für sektorale Lobbyinteressen.

Die Rekordstrafen des Frühjahrs 2026 machen deutlich: Während KI-spezifische Fristen wandern, bleibt der Datenschutz ein Hochrisikobereich für Unternehmen. Die 100-Millionen-Strafe gegen MLU B.V. ist eine klare Warnung: Datentransfers in als risikoreich eingestufte Länder wie Russland werden mit beispielloser Härte verfolgt. Unternehmen agieren faktisch auf zwei Gleisen: Sie müssen sich auf künftige KI-Prüfungen vorbereiten und gleichzeitig ihre bestehenden GDPR- und Cybersicherheitsprotokolle verschärfen.

Ausblick: Die August-Frist rückt näher

Für die meisten Unternehmen wird die zweite Jahreshälfte 2026 im Zeichen der Transparenzpflichten ab August stehen. Wer generative KI einsetzt, muss robuste Kennzeichnungs- und Offenlegungssysteme implementieren – oder riskiert die 15-Millionen-Euro-Strafe. Branchenkenner erwarten einen Boom externer Prüfdienste und automatisierter Compliance-Tools.

Die NIS-2-Richtlinie, die schätzungsweise 30.000 deutsche Unternehmen betrifft, wird KI-Sicherheit und allgemeine Cybersicherheitspolitik weiter zusammenführen. Angesichts wachsender technischer Fähigkeiten globaler Akteure – etwa durch den Start des Rassvet-Satellitennetzwerks – steigt der Druck auf europäische Firmen, ihre KI-Modelle gegen externe Einflüsse zu wappnen. Die Zeit bis zur neuen Hochrisiko-Frist 2027 wird entscheiden: Wer jetzt nicht von der Theorie in die Praxis kommt, wird es schwer haben.

de | wirtschaft | 69353045 |