EU AI Act: Neue Fristen und schärfere Regeln für Künstliche Intelligenz

Nach einer vorläufigen Einigung zum „Digital Omnibus" am 7. Mai 2026 erhalten Unternehmen nun mehr Zeit für die Umsetzung von Hochrisiko-Systemen – während gleichzeitig Verbote für bestimmte KI-Inhalte in Kraft treten.

Angesichts der neuen EU-Fristen stehen viele Unternehmen vor der Herausforderung, ihre Systeme rechtzeitig anzupassen. Dieser kostenlose Umsetzungsleitfaden bietet einen kompakten Überblick über alle Anforderungen, Pflichten und Risikoklassen des EU AI Acts. Jetzt kostenlosen KI-Leitfaden herunterladen

Verlängerte Übergangsfristen für Hochrisiko-KI

Der neue Fahrplan bringt deutliche Verschiebungen für die sensibelsten KI-Anwendungen. Eigenständige Hochrisiko-Systeme nach Anhang III müssen erst bis zum 2. Dezember 2027 vollständig konform sein. Für Hochrisiko-KI, die in regulierte Produkte nach Anhang I integriert ist, gilt sogar eine Frist bis zum 2. August 2028.

Die Industrie atmet auf – die verlängerten Fristen sollen ausreichend Zeit für technische Dokumentationen und Risikomanagement-Systeme schaffen.

Doch nicht alle Regeln wurden entschärft. Ein neues Verbot für KI-generierte nicht-einvernehmliche intime Bilder und Kindesmissbrauchsmaterial (CSAM) tritt bereits am 2. Dezember 2026 in Kraft. Branchenbeobachter sehen darin eine der schnellsten Maßnahmen des gesamten Regelwerks, gezielt gegen sogenannte „Nudification"-Apps.

Die Kennzeichnungspflicht für KI-generierte Inhalte folgt mit einer viermonatigen Übergangsfrist – ebenfalls ab dem 2. Dezember 2026.

Der TÜV-Verband begrüßte die verlängerten Fristen und das Verbot sexualisierter Deepfakes, äußerte jedoch Bedenken zum sogenannten „Sektor-Ausstieg" für Maschinen. Künftig soll die Maschinenverordnung Vorrang haben, wenn KI in Industrieanlagen eingesetzt wird. Kritiker warnen vor regulatorischer Zersplitterung und Rechtsunsicherheit für Hersteller.

Transparenzpflichten rücken näher

Während die Hochrisiko-Fristen nach hinten wanderten, kommen die Transparenzpflichten aus Artikel 50 des KI-Gesetzes schnell näher. Bereits am 2. August 2026 müssen Anforderungen für Chatbots und KI-generierte Inhalte erfüllt sein. Die EU-Kommission veröffentlichte kürzlich Entwürfe für Leitlinien, die diese Pflichten konkretisieren sollen.

Ein zentraler Streitpunkt in den Omnibus-Verhandlungen war die Verarbeitung personenbezogener Daten zur Erkennung von Verzerrungen (Bias). Die endgültige Einigung stellte den „strengen Notwendigkeits"-Standard wieder her. Entwickler dürfen sensible Datenkategorien verarbeiten, um algorithmische Verzerrungen zu identifizieren – aber nur, wenn dies für die Sicherheit und Fairness des Systems unerlässlich ist.

Diese Entwicklung fällt zusammen mit grundlegenden Veränderungen bei den Tech-Giganten. Google wechselte am 2. April 2026 in die Rolle eines Datenverarbeiters nach Artikel 28 der DSGVO. Nur wenige Wochen später, auf der Google Cloud Next 2026 am 22. April, stellte der Konzern sein „Cloud Fraud Defense"-System vor – eine Neuauflage von reCAPTCHA.

Doch die neue Sicherheitsmaßnahme steht in der Kritik: Sie setzt auf die Play Integrity API, die datenschutzorientierte Android-Distributionen wie GrapheneOS und CalyxOS faktisch aussperrt. Datenschutzbewusstes Verhalten wird so mit einer Sicherheitsbedrohung gleichgesetzt – ein fragwürdiger Ansatz.

Ende-zu-Ende-Verschlüsselung unter Druck

Die Sicherheitslandschaft für Kommunikationsplattformen verändert sich grundlegend. Meta deaktivierte am 8. Mai 2026 die optionale Ende-zu-Ende-Verschlüsselung (E2EE) für Instagram-Direktnachrichten. Das Unternehmen begründete den Schritt mit geringer Nutzerakzeptanz – doch der Zeitpunkt ist kein Zufall. Der Druck von Strafverfolgungsbehörden und Kinderschutzorganisationen, darunter prominente Klagen in New Mexico, war zuletzt massiv gestiegen.

Instagram-Nachrichten werden künftig nur noch durch Transport Layer Security (TLS) geschützt. Die Technik sichert Daten während der Übertragung, erlaubt dem Plattformbetreiber aber weiterhin Zugriff auf den Klartext – etwa zur Inhaltsmoderation.

Aktuelle Gerichtsurteile aus Deutschland untermauern diesen risikobasierten Ansatz bei der Verschlüsselung. Das Verwaltungsgericht Düsseldorf entschied am 2. April 2026: TLS-Verschlüsselung reicht für E-Mails mit geringem Risiko aus – etwa wenn nur der Name des Empfängers preisgegeben wird. Ein genereller Rechtsanspruch auf E2EE für Alltagskorrespondenz bestehe nicht, so das Gericht unter Verweis auf Artikel 32 DSGVO.

Ganz anders das Oberlandesgericht Schleswig: In einem Urteil vom 18. Dezember 2024 verlangte es E2EE für eine Rechnung über 15.000 Euro – wegen des hohen finanziellen Risikos.

Die Botschaft für Unternehmen ist klar: Alltagskommunikation mag mit TLS ausreichen, sensible oder wertvolle Daten verlangen nach dem robusten Schutz der Ende-zu-Ende-Verschlüsselung.

Rekordstrafe und internationale Datenrisiken

Die finanziellen Folgen mangelhafter Datensicherheit haben neue Dimensionen erreicht. Mitte Mai 2026 verhängten die Datenschutzbehörden Finnlands, der Niederlande und Norwegens eine Rekordstrafe von 100 Millionen Euro gegen MLU B.V. (Yango). Grund waren unerlaubte Datenübermittlungen nach Russland.

Der Fall zeigt: Europäische Aufsichtsbehörden legen bei internationalen Datentransfers extrem strenge Maßstäbe an – besonders bei Staaten mit schwächeren Datenschutzstandards.

In den USA zahlte General Motors einen Vergleich von 12,75 Millionen Dollar nach Vorwürfen des unerlaubten Verkaufs von Fahrerdaten. Beide Fälle unterstreichen einen globalen Trend zur strengeren Haftung für unternehmerische Datenpraktiken.

Allein in Deutschland überstieg der wirtschaftliche Schaden durch Cyberkriminalität 2025 die 200-Milliarden-Euro-Marke – ein alarmierender Wert, der die Dringlichkeit robuster Sicherheitsstrategien unterstreicht.

Europäische Alternativen im Aufwind

Viele Unternehmen setzen angesichts dieser Entwicklungen verstärkt auf souveräne europäische Software. Mit dem Ende des Lebenszyklus von LibreOffice 25.8 am 12. Juni 2026 und dem letzten Update (Version 25.8.7) vom 12. Mai 2026 wird der Wechsel auf neuere Versionen oder lokale Alternativen empfohlen.

Lösungen wie ONLYOFFICE Workspace (Update auf Version 12.8.0 am 10. Mai 2026) und die für Juli 2026 angekündigte Toplink Office Suite positionieren sich als DSGVO-konforme Alternativen zu den dominierenden Cloud-Produktivitätsplattformen.

Analyse: Der Balanceakt der KI-Regulierung

Die aktuelle Regulierungslage spiegelt einen schwierigen Spagat wider: Innovation fördern und gleichzeitig öffentliche Sicherheit gewährleisten. Die Verschiebung der Hochrisiko-Fristen zeigt: Die europäischen Gesetzgeber haben die technischen Hürden der Industrie erkannt.

Doch der sofortige Fokus auf Transparenz und das Verbot von Deepfakes macht deutlich: „Begrenzte Risiken" und gesellschaftliche Schäden haben Vorrang vor den langfristigen strukturellen Anforderungen industrieller KI.

Für Unternehmen entsteht daraus eine zweigeteilte Compliance-Herausforderung. Kurzfristig müssen sie ihren Einsatz von Chatbots und generativen Tools prüfen, um die Transparenzfrist im August 2026 einzuhalten. Langfristig gilt es, eine zersplitterte Landschaft zu navigieren, in der Maschinen anderen Cybersicherheitsregeln folgen als softwarebasierte KI.

Der Rückzug der Verschlüsselung auf großen Social-Media-Plattformen verkelompliziert die Lage zusätzlich. „Sicherheit" wird zunehmend als die Fähigkeit von Behörden definiert, Inhalte zu überwachen – nicht als der absolute Schutz der Privatsphäre der Nutzer.

Ausblick: Was kommt als Nächstes?

Der Sommer 2026 bringt weitere wegweisende Entwicklungen. Google plant die Einführung von „Gemini Intelligence" für High-End-Mobilgeräte – und wirft damit neue Fragen zum Datenschutz lokaler KI-Modelle auf.

Die deutsche Verbraucher Initiative veranstaltet am 21. Mai 2026 ein öffentliches Forum zu den rechtlichen Grenzen von Online-Äußerungen und Hassrede – ein Spiegel der anhaltenden gesellschaftlichen Debatte über digitale Verantwortung.

Unternehmen müssen zudem ihre internen Meldesysteme im Blick behalten. Die Umsetzung des Hinweisgeberschutzgesetzes (HinSchG) bleibt prioritär. Anbieter wie deveca und öffentliche Einrichtungen wie die Klinik Saarbrücken zeigen: Verschlüsselte, anonyme Meldeportale sind der Standard.

Neben der KI-Compliance müssen Unternehmen seit Juli 2023 auch die Anforderungen des Hinweisgeberschutzgesetzes erfüllen. Dieser Praxisleitfaden zeigt Schritt für Schritt, wie Sie interne Meldestellen rechtssicher organisieren und teure Bußgelder vermeiden. Gratis-Ratgeber zum HinSchG sichern

Die erste Welle der KI-Transparenzrichtlinien wird in gut zwei Jahren durchsetzbar. Und die Hochrisiko-Anforderungen stehen 2027 vor der Tür. Das Zeitfenster für strukturelle Cybersicherheitsreformen in Unternehmen schließt sich – wer jetzt nicht handelt, riskiert nicht nur Strafen, sondern auch das Vertrauen seiner Kunden.

de | wirtschaft | 69336038 |