EU AI Act: Neue Fristen und verschärfte Compliance-Regeln

Die EU verschiebt zentrale KI-Fristen, verschärft aber die Regeln für Wasserzeichen und verbotene Apps.

In einer Reihe von politischen Entscheidungen zwischen dem 7. und 10. Mai 2026 haben die europäischen Gesetzgeber den „Digital Omnibus on AI" auf den Weg gebracht. Die Einigung bringt grundlegende Änderungen für die Regulierung Künstlicher Intelligenz mit sich – und das in einem Umfeld wachsender Cyberbedrohungen. Parallel dazu veröffentlichen die Datenschutzbehörden neue Instrumente, um Unternehmen durch den regulatorischen Dschungel zu lotsen.

Die neuen EU-Vorgaben zum AI Act treten schrittweise in Kraft und stellen Unternehmen vor komplexe Dokumentationspflichten. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen und Risikoklassen, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. EU AI Act in 5 Schritten verstehen

Verspätete Pflichten für Hochrisiko-KI

Die politische Einigung vom 7. Mai 2026 verschiebt die Compliance-Deadlines für Hochrisiko-KI-Systeme (HRAI) deutlich nach hinten. Ursprünglich für August 2026 vorgesehen, müssen eigenständige Hochrisiko-Systeme nun erst bis zum 2. Dezember 2027 die neuen Auflagen erfüllen. Für KI-Systeme, die in Produkte integriert sind, gilt sogar eine Frist bis zum 2. August 2028.

Die Verlängerung soll Unternehmen mehr Zeit geben, ihre Systeme an die strengen Sicherheits- und Transparenzanforderungen anzupassen. Eine der wichtigsten Änderungen: Die Definition von „Sicherheitskomponenten" wurde enger gefasst. Zudem gibt es Ausnahmen für industrielle KI-Systeme, die bereits unter die EU-Maschinenverordnung fallen.

Trotz der Verzögerungen bleibt die Registrierungspflicht ein zentraler Bestandteil. Die formellen Gesetzesänderungen werden bis August 2026 erwartet, der Digital Omnibus selbst soll im Juli 2026 offiziell verabschiedet werden.

Wasserzeichenpflicht kommt früher

Für bestimmte Hochrisiko-Anwendungen gelten deutlich kürzere Fristen. Das Verbot von sogenannten „Nudifier-Apps" und die verpflichtende Wasserzeichenkennzeichnung von KI-generierten Inhalten (Artikel 50 Absatz 2) treten bereits am 2. Dezember 2026 in Kraft. Diese Beschleunigung spiegelt die wachsende Sorge um die Authentizität digitaler Medien wider.

Um Innovationen zu fördern, müssen die Mitgliedstaaten bis zum 2. August 2027 nationale KI-Reallabore (Sandboxes) einrichten.

Cyberangriffe auf Bildung und Lieferketten

Die Gesetzesänderungen kommen zu einer Zeit massiver Cyberangriffe. Anfang Mai 2026 erschütterte der sogenannte „Canvas-Angriff" die Bildungslandschaft. Die Hackergruppe ShinyHunters erbeutete rund 275 Millionen Datensätze von 9.000 Bildungseinrichtungen – darunter Elite-Universitäten wie Harvard, MIT und die University of Chicago.

Ein weiterer Alarmruf kam am 8. Mai 2026 von Trellix, dem aus der Fusion von McAfee und FireEye hervorgegangenen Sicherheitsunternehmen. Unbekannte Täter verschafften sich Zugriff auf die Quellcode-Repositories des Unternehmens. Zwar gibt es bislang keine Hinweise auf einen Missbrauch, doch Trellix hat externe Forensiker eingeschaltet und Strafanzeige erstattet.

Technische Schwachstellen wie CVE-2026-0300 (Palo Alto PAN-OS, CVSS-Score 9,3) und eine Zero-Day-Lücke in Ivanti-Systemen (CVE-2026-6973) zeigen die Verwundbarkeit der Unternehmensinfrastruktur. Die durchschnittlichen Kosten eines Datenlecks sind laut Branchenberichten auf über 4 Millionen US-Dollar gestiegen – ein Treiber für die verstärkte Nutzung KI-gestützter Sicherheitsprotokolle.

Neue Compliance-Werkzeuge: DPIA und Europrivacy

Der Europäische Datenschutzbeauftragte (EDSB) veröffentlichte am 8. Mai 2026 eine neue Vorlage für Datenschutz-Folgenabschätzungen (DPIA). Diese ist zwingend erforderlich bei der systematischen Bewertung natürlicher Personen durch automatisierte Verarbeitung, bei der massenhaften Verarbeitung besonderer Datenkategorien oder der Überwachung öffentlich zugänglicher Bereiche.

Eine gültige DPIA muss enthalten:
- Eine detaillierte Beschreibung der Verarbeitungsvorgänge
- Eine Bewertung von Notwendigkeit und Verhältnismäßigkeit
- Eine gründliche Risikoanalyse
- Vorgeschlagene Abhil-femaßnahmen

Bleibt nach diesen Maßnahmen ein hohes Restrisiko, müssen Unternehmen die Behörden gemäß Artikel 40 DSGVO konsultieren.

Da die Behörden bei automatisierter Datenverarbeitung verstärkt auf korrekte Folgenabschätzungen achten, riskieren Unternehmen bei Fehlern Bußgelder von bis zu 2 % des Jahresumsatzes. Nutzen Sie diese kostenlose Muster-Vorlage und Checklisten, um Ihre DSFA rechtssicher und individuell angepasst zu erstellen. Rechtssichere Datenschutzfolgenabschätzung jetzt herunterladen

Parallel dazu genehmigte der Europäische Datenschutzausschuss (EDSA) mit Stellungnahme 15/2026 das Europrivacy-Zertifikat als offizielles europäisches Datenschutzsiegel für internationale Datentransfers. Das Zertifikat bietet einen rechtmäßigen Mechanismus für die Datenübermittlung in Drittländer – entbindet den ursprünglichen Datenexporteur jedoch nicht von seiner Hauptverantwortung.

Globaler Regulierungstrend und wirtschaftlicher Druck

Die europäische Regulierungswelle findet ihre Entsprechung in den USA. Acht Bundesstaaten führen 2025 neue Datenschutzgesetze ein, darunter Delaware, Iowa, Nebraska, New Hampshire, New Jersey und Tennessee. Besonders streng ist das Gesetz in Maryland (seit Oktober 2025), das Werbung an Jugendliche verbietet, Geofencing einschränkt und KI-Risikobewertungen vorschreibt. Mehr als 15 weitere Staaten prüfen ähnliche Gesetze für 2026.

Die finanziellen Folgen der Nichteinhaltung sind in der EU deutlich spürbar: Seit Einführung der DSGVO 2018 wurden 7,1 Milliarden Euro an Bußgeldern verhängt, davon 1,2 Milliarden allein 2025. Im ersten Quartal 2026 kamen 68 Millionen Euro hinzu – darunter 27 Millionen gegen Free Mobile und 16 Millionen gegen Reddit.

Paradox: Trotz steigender Regulierungsdichte plant die baden-württembergische Landesregierung eine 40-prozentige Kürzung der Stellen beim Landesbeauftragten für Datenschutz (LfDI). Befürworter argumentieren mit einer Aufgabenbündelung auf Bundesebene, Kritiker warnen vor einem Verstoß gegen die DSGVO-Pflicht zur angemessenen Ressourcenausstattung.

Ausblick: Tech-Souveränität als Leitmotiv

Die EU setzt ihren Kurs in Richtung „Tech-Souveränität" fort. Ein entsprechendes Maßnahmenpaket ist für den 27. Mai 2026 angekündigt. Mit der formellen Verabschiedung des Digital Omnibus im Juli 2026 steht der rechtliche Rahmen für die kommenden Jahre fest.

Angesichts der Dezember-Frist für Wasserzeichen und Content-Beschränkungen werden Unternehmen voraussichtlich verstärkt auf Passkeys und passwortlose Authentifizierung setzen. Für multinationale Konzerne bleibt die Harmonisierung ihrer KI-Governance-Strukturen die zentrale Herausforderung – zwischen den Anforderungen des EU AI Act und dem wachsenden Flickenteppich US-amerikanischer Landesgesetze.

de | wirtschaft | 69300919 |