EU AI Act: Neue Regeln für Künstliche Intelligenz treten in Kraft

Die Europäische Kommission hat am Donnerstag die lang erwarteten Leitlinien zur Einstufung von Hochrisiko-KI-Systemen veröffentlicht. Der Zeitpunkt ist kein Zufall: Am heutigen Sonntag jährt sich die Einführung der Datenschutz-Grundverordnung (DSGVO) zum zehnten Mal. Während die Regulierungslawine weiterrollt, kämpfen viele Unternehmen mit der wachsenden Komplexität der Vorschriften.

Viele Firmen unterschätzen die neuen Anforderungen des AI Acts – ein kostenloser Leitfaden zeigt, was jetzt zu tun ist, um die gesetzlichen Auflagen rechtssicher zu erfüllen. Achtung: Diese EU-KI-Pflichten gelten bereits seit August 2024

Die vier Risikostufen der Künstlichen Intelligenz

Die neuen EU-Richtlinien teilen KI-Systeme in vier Risikokategorien ein. Systeme mit unannehmbarem Risiko – etwa Emotionserkennung am Arbeitsplatz – sind ab sofort verboten. Für Hochrisiko-Anwendungen wie KI in der Personalauswahl oder kritischer Infrastruktur gelten strenge Auflagen und Dokumentationspflichten. Bei Systemen mit minimalem Risiko, etwa einfachen Spam-Filtern, ändert sich nichts.

Der Countdown läuft: Bereits am 2. August 2026 tritt die Kennzeichnungspflicht für KI-generierte Inhalte in Kraft. Nach Artikel 50 des AI Act müssen Texte, Bilder und Videos, die von Künstlicher Intelligenz erstellt wurden, deutlich als solche markiert werden. Ausnahmen gibt es nur für redaktionelle Inhalte mit menschlicher Endverantwortung. Deepfakes benötigen stets einen expliziten Hinweis auf die Manipulation.

Die Strafen sind happig: Bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Jahresumsatzes drohen bei Verstößen.

Deutsche Souveränität: 250 Millionen für eine KI-Cloud

Die Bundesregierung reagiert auf die verschärfte Regulierung mit einem eigenen Projekt. Ein Konsortium aus T-Systems, SVA und SAP soll eine souveräne KI-Cloud für 250 Millionen Euro entwickeln. Der Schritt erfolgt vor dem Hintergrund unterschiedlicher internationaler Strategien: Während die EU auf einen strengen Rechtsrahmen setzt, hat die US-Regierung ihre KI-Verordnung nach Gesprächen zwischen Politik und Tech-Konzernen gestoppt.

Gerichte ziehen rote Linien: KI, Urheberrecht und Haftung

Die deutsche Justiz hat im Frühjahr mehrere wegweisende Urteile gefällt, die das Verhältnis von Digitaltechnik, Urheberrecht und Unternehmenshaftung neu definieren.

Das Oberlandesgericht Düsseldorf entschied am 2. April: KI-generierte Bilder genießen keinen automatischen Urheberrechtsschutz – es sei denn, es liegt ein massiver menschlicher Eingriff in den Schaffensprozess vor. Im konkreten Fall ging es um eine Comic-Darstellung, die auf einem Unterwasserfoto basierte. Das Gericht sah keine Urheberrechtsverletzung, weil sich die KI-Version ästhetisch deutlich vom Original unterschied.

Am selben Tag stellte das Verwaltungsgericht Düsseldorf klar: Eine TLS-Verschlüsselung reicht für die Übermittlung personenbezogener Daten per E-Mail grundsätzlich aus. Eine durchgängige Ende-zu-Ende-Verschlüsselung ist nach Artikel 32 DSGVO nicht zwingend erforderlich. Unternehmen müssen jedoch individuelle Risikobewertungen durchführen. Die Frist von einem Monat für Auskünfte nach Artikel 15 bleibt dagegen unverhandelbar.

Noch weiter geht ein Urteil des OLG Dresden: Geschäftsführer einer GmbH können persönlich und gesamtschuldnerisch für DSGVO-Verstöße haften. Das Gericht stuft den Geschäftsführer als „Verantwortlichen" im Sinne der Verordnung ein – ein Präzedenzfall mit erheblichen Folgen für D&O-Versicherungen.

Da Geschäftsführer nun zunehmend persönlich für Datenschutzverstöße haften, bietet dieser kostenlose Ratgeber eine unverzichtbare Checkliste für eine rechtssichere Organisation im Unternehmen. So sichern kluge Unternehmer ihre Firma vor DSGVO-Abmahnungen ab

Die Compliance-Lücke: Unternehmen überfordert

Trotz zehn Jahren DSGVO klafft eine massive Lücke zwischen Rechtslage und Realität. Eine Bitkom-Studie vom 22. Mai zeigt: 81 Prozent der deutschen Unternehmen empfinden die DSGVO als erhebliche Belastung – ein deutlicher Anstieg. 69 Prozent berichten, dass Datenschutzauflagen das Training von KI-Modellen aktiv behindern.

Die Folgen sind messbar: Laut einer Zoi-Studie unter 500 IT-Führungskräften testen zwar 76 Prozent der Großunternehmen KI-Agenten, aber nur 19 Prozent haben sie in Kernprozesse integriert. Hauptgründe: komplexe IT-Infrastruktur und fehlendes Fachwissen. Immerhin 75 Prozent der großen Firmen haben eine schriftliche KI-Strategie – aber nur ein Drittel davon mit messbaren Zielen.

Cyberattacken als Weckruf

Die Dringlichkeit robuster Sicherheitsmaßnahmen zeigt ein aktueller Fall: Am 14. April traf ein Cyberangriff den Abrechnungsdienstleister Unimed. Die Daten von 120.000 Patienten – darunter sensible Diagnosen und Bankinformationen – wurden kompromittiert. Das Unternehmen beliefert 95 Prozent der deutschen Universitätskliniken. Allein in Freiburg waren 54.000 Datensätze betroffen, in Köln 30.000.

Der Vorfall unterstreicht die Risiken der NIS-2-Richtlinie, deren Registrierungsfrist am 6. März ablief. Von den rund 29.500 betroffenen Unternehmen hatten sich nur 11.000 fristgerecht registriert.

Milliardenmarkt und Infrastrukturkonflikte

Die wirtschaftlichen Dimensionen sind gewaltig: NVIDIA meldete für das erste Quartal 2026 einen Umsatz von 81,6 Milliarden US-Dollar – ein Plus von 85 Prozent, getrieben durch das Rechenzentrumsgeschäft. In China dagegen brachen die Erlöse um 16,4 Prozent ein, bedingt durch Exportbeschränkungen für High-End-Hardware.

In Deutschland stockt derweil der Infrastrukturausbau. In Maintal bei Frankfurt stoppte ein geplantes Milliarden-Rechenzentrum von Edgeconnex nach lokalen Protesten gegen ein geplantes Gaskraftwerk. Die Verzögerung trifft die Bundesregierung zu einem ungünstigen Zeitpunkt – sie will die KI-Rechenleistung innerhalb von vier Jahren vervierfachen.

Ausblick: Was kommt auf Unternehmen zu?

Die zweite Jahreshälfte 2026 wird regulatorisch nicht ruhiger. Die Bundesregierung bereitet ein Beschäftigtendatenschutzgesetz vor, das bis Ende Juni vorgelegt werden soll. Es soll den Umgang mit Mitarbeiterdaten in der digitalisierten Arbeitswelt konkretisieren.

Zudem müssen sich Unternehmen auf die zweite Stufe von NIS-2 einstellen. Sie betrifft Firmen mit mehr als 50 Mitarbeitern oder zehn Millionen Euro Jahresumsatz. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des globalen Umsatzes.

Bis zur Einführung der EU-Brieftasche (EUDI-Wallet) 2027 bleibt der Fokus der zweiten Jahreshälfte auf dem Übergang zu den KI-Kennzeichnungspflichten – und der ewigen Herausforderung, Innovation mit einem zehn Jahre alten Datenschutzrahmen in Einklang zu bringen.

de | wirtschaft | 69413058 |