EU AI Act: Neue Fristen und härtere Strafen für Datenschutzverstöße

Die EU verschiebt die Compliance-Fristen für Hochrisiko-KI-Systeme, verbietet aber gleichzeitig missbräuchliche KI-Anwendungen ab Dezember 2026. Das sind die Konsequenzen für Unternehmen.

Der große Kompromiss: Verzögerung gegen schärfere Verbote

Der am 7. Mai 2026 erzielte „Omnibus"-Kompromiss zwischen EU-Parlament und Rat bringt eine zweigleisige Strategie. Während die Industrie mehr Zeit für die Umsetzung komplexer KI-Sicherheitsstandards erhält, werden schädliche Anwendungen schneller verboten.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Unternehmen jetzt konkret tun müssen. Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun?

Für eigenständige Hochrisiko-KI-Systeme – etwa in der Biometrie, kritischen Infrastruktur oder Personalauswahl – gilt nun eine Frist bis zum 2. Dezember 2027. Ursprünglich war der August 2026 vorgesehen. Noch mehr Zeit bekommen Hersteller von Produkten wie Aufzügen oder Medizingeräten: Hier müssen KI-Sicherheitskomponenten erst bis zum 2. August 2028 zertifiziert sein.

Die Industrie atmet auf. Vor allem Deutschland hatte sich für eine weitgehende Ausnahme von Industriemaschinen stark gemacht, wenn dort bereits sektorale Sicherheitsvorschriften greifen.

Doch die Schonfrist hat ihren Preis. Bereits am 2. Dezember 2026 treten Verbote für „Nudifier"-Apps und KI-generierte nicht-einvernehmliche intime Bildinhalte in Kraft. Auch die Kennzeichnungspflicht für KI-Inhalte gilt ab diesem Datum.

Rekordstrafe in den USA: GM zahlt 12,75 Millionen Dollar

Die finanziellen Risiken von Datenschutzverstößen sind drastisch gestiegen. General Motors einigte sich am 8. Mai 2026 mit der kalifornischen Justiz auf eine Zahlung von umgerechnet rund 11,8 Millionen Euro. Der Autobauer hatte zwischen 2020 und 2024 Standort- und Fahrerdaten von hunderttausenden Kunden an Datenbroker verkauft – ohne deren Wissen.

Es ist die höchste jemals verhängte Strafe nach dem California Consumer Privacy Act (CCPA). Zusätzlich darf GM fünf Jahre lang keine Fahrerdaten mehr verkaufen.

In Europa summierten sich die GDPR-Strafen seit 2018 auf über 7,1 Milliarden Euro. Allein 2025 verhängten die Aufsichtsbehörden Bußgelder in Höhe von rund 1,2 Milliarden Euro. Der deutsche Bundesbeauftragte für den Datenschutz (BfDI) verzeichnete 2025 einen Anstieg der Eingaben um 36 Prozent auf knapp 12.000 Anfragen und Beschwerden.

Ein besonders prominentes Beispiel: Vodafone musste 45 Millionen Euro zahlen – wegen Sicherheitsmängeln und unzureichender Kontrolle externer Dienstleister.

Die neue Bedrohung: Quishing und KI-Phishing

Während die Regulierungsbehörden zuschlagen, entwickeln Kriminelle ihre Methoden weiter. Microsofts aktuelle Bedrohungsanalyse zeigt: QR-Code-Phishing, sogenanntes „Quishing", ist die am schnellsten wachsende E-Mail-Bedrohung im ersten Quartal 2026. Die Angriffe stiegen zwischen Januar und März um 146 Prozent.

Die Taktik ist perfide: Statt Links enthalten die Mails QR-Codes in PDFs oder gefälschten Vertraulichkeitserklärungen. Diese Codes umgehen Multi-Faktor-Authentifizierung, indem sie „Adversary-in-the-Middle"-Techniken nutzen.

Mitte April 2026 zielte eine großangelegte Kampagne auf rund 35.000 Nutzer in 26 Ländern ab – getarnt als „Verhaltenskodex"-Dokumente. Kein Wunder also, dass fast 68 Prozent aller Sicherheitsverstöße auf menschliches Fehlverhalten zurückgehen.

Ein neuer Gratis-Report enthüllt die aktuellen Methoden der Cyberkriminellen und zeigt, wie Hacker psychologische Schwachstellen Ihrer Mitarbeiter gezielt für Quishing und Phishing ausnutzen. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus

VPN unter Beschuss: Neue Regeln für Altersverifikation

Ein weiterer Trend bereitet Datenschützern Sorgen. Der Wissenschaftliche Dienst des Europäischen Parlaments warnt in aktuellen Briefings, dass VPN-Dienste zunehmend als „Schlupfloch" für Alterskontrollen im Netz betrachtet werden. Nach der Einführung von Altersverifikationsgesetzen in Großbritannien und Utah – letzteres definierte am 6. Mai 2026 konkrete Standortpflichten – stieg die VPN-Nutzung sprunghaft an.

Für Unternehmen bedeutet das: Werkzeuge, die bisher als Standard für Mitarbeiter-Privatsphäre und Homeoffice galten, könnten künftig eingeschränkt werden.

Compliance als Vollzeitjob: 39 Prozent der IT-Arbeit für Regularien

Die Kombination aus neuen KI-Regeln, dem aktiven E-Evidence-Gesetz für grenzüberschreitende Beweissicherung und raffinierteren Phishing-Methoden belastet IT-Abteilungen massiv. Studien zeigen: IT-Fachkräfte verbringen 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben.

Für deutsche Unternehmen kommt die föderale Struktur mit Landes- und Bundesbehörden erschwerend hinzu. Ein Urteil des Verwaltungsgerichts Düsseldorf vom 21. Januar 2026 machte deutlich: Unternehmen können Daten nicht einfach löschen, um Auskunftsansprüche zu umgehen. Das Recht auf Information geht dem Wunsch nach Datensparsamkeit vor, sobald ein Antrag gestellt wurde.

Cybersecurity-Manager sind längst nicht mehr nur für Firewalls zuständig. Sie müssen Datenflüsse nach dem US-amerikanischen PADFAA-Gesetz überwachen – die FTC warnte am 9. Mai 2026 gleich 13 Datenbroker – und gleichzeitig die 30-tägigen Meldefristen der aktualisierten SEC-Regeln für kleine Firmen einhalten, die am 3. Juni 2026 in Kraft treten.

Ausblick: Der Weg bis 2028

Die EU wird den Omnibus-Kompromiss voraussichtlich bis Juli 2026 formalisieren. Der Fahrplan für die nächsten zwei Jahre steht damit fest. Die verlängerten Fristen für Hochrisiko-KI geben der Industrie Luft – aber die Dezember-Verbote für Missbrauchs-KI und die Kennzeichnungspflicht zeigen: Der Handlungsspielraum bleibt eng.

Die erfolgreichsten Unternehmen werden diejenigen sein, die Cybersicherheit und Datenschutz als einheitliche Führungsaufgabe begreifen – nicht als technische Insellösung. Mit dem Fokus auf das „Recht auf Vergessenwerden" und das „Recht auf Erklärung" bei automatisierten Entscheidungen wird der Bedarf an spezialisierten Sicherheitsmanagern, die zwischen Rechtsvorschriften und technischer Umsetzung vermitteln können, bis zum Ende des Jahrzehnts weiter steigen.

de | wirtschaft | 69298308 |