EU-Datenschutz: Omnibus-Paket verschärft KI-Regeln drastisch

Während die EU am 7. Mai 2026 ein Omnibus-Paket zur Reform des AI Acts verabschiedete, kündigte Baden-Württemberg nur zwei Tage später drastische Personalkürzungen bei der Datenschutzaufsicht an. Gleichzeitig drohen mittelständischen Unternehmen die ersten empfindlichen Bußgelder wegen fehlender Whistleblower-Systeme.

Omnibus-Paket: Neue Strafen und Wasserzeichen-Pflicht

Das am 7. Mai 2026 beschlossene Omnibus-Paket soll den AI Act praxistauglicher machen – und gleichzeitig die Zügel anziehen. Für industrielle Anwendungen entfallen künftig Doppelprüfungen, doch die Transparenzpflichten werden massiv ausgeweitet.

Die neuen EU-Regeln stellen Unternehmen vor komplexe Herausforderungen bei der Risikodokumentation und Kennzeichnung. Dieser kostenlose Umsetzungsleitfaden zum AI Act hilft Ihnen, alle Fristen und Pflichten rechtzeitig im Blick zu behalten. Kostenlosen Leitfaden zur KI-Verordnung herunterladen

Die Strafen haben es in sich: Unternehmen, die ihre Transparenzpflichten verletzen, zahlen bis zu 15 Millionen Euro oder drei Prozent ihres globalen Umsatzes. Bei schweren Verstößen gegen die Kernprinzipien des AI Acts drohen sogar 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.

Der Zeitplan bleibt ambitioniert. Während verbotene KI-Praktiken bereits seit Februar 2025 geahndet werden und Transparenzregeln für risikoarme Systeme seit August 2025 gelten, müssen Hochrisiko-Systeme bis zum 2. August 2026 die strengen Auflagen erfüllen. Ab Dezember 2026 kommt eine weitere Hürde: KI-generierte Inhalte müssen dann mit Wasserzeichen gekennzeichnet werden.

Seit Einführung der DSGVO 2018 haben die Aufsichtsbehörden bereits 7,1 Milliarden Euro an Bußgeldern verhängt. Der AI Act dürfte diese Entwicklung noch beschleunigen.

Baden-Württemberg: 40 Prozent weniger Datenschützer

Ausgerechnet jetzt baut das Land seine Kontrollkapazitäten drastisch ab. Die neue CDU-Grüne-Koalition unter Beteiligung von Cem Özdemir kündigte am 9. Mai 2026 an, die Stellen beim Landesbeauftragten für den Datenschutz (LfDI) um 40 Prozent zu kürzen. Die Begründung: Effizienzsteigerung und Haushaltskonsolidierung.

Kritiker warnen vor einem Kontrollverlust. Längere Bearbeitungszeiten für Bürgerbeschwerden und eine schwächere Unternehmensaufsicht seien programmiert – ausgerechnet in Zeiten zunehmender digitaler Bedrohungen.

Dass die Probleme nicht nur theoretischer Natur sind, zeigt ein Fall aus Hannover. Die Stadtverwaltung kaufte Microsoft 365 Education-Lizenzen für 324.000 Euro – ohne ausreichende datenschutzrechtliche Grundlage. Weder eine Auftragsverarbeitungsvereinbarung noch eine Datenschutz-Folgenabschätzung lagen vor. Das System musste abgeschaltet werden. Der Vorfall entfacht die Batte über mangelnde Alternativen zu Cloud-Diensten und die wachsende Abhängigkeit von US-Anbietern neu.

Unternehmen schlecht auf „Agentic AI" vorbereitet

Die Wirtschaft hinkt der Regulierung hinterher. Eine aktuelle Red Hat-Studie unter 500 europäischen IT-Entscheidern – davon 100 in Deutschland – kommt zu alarmierenden Ergebnissen: Nur 30 Prozent der deutschen Unternehmen glauben, reife Governance-Strukturen für „Agentic AI" zu besitzen. Immerhin 57 Prozent haben eine Ausstiegsstrategie für KI-Anbieter entwickelt.

Bemerkenswert: 72 Prozent der Befragten fordern, Open-Source-Prinzipien gesetzlich zu verankern. Die Hoffnung: Transparenz durch offene Codes, die niemandem allein gehören.

Die Risiken unzureichender Governance werden durch eine flut automatisierter Cyberangriffe unterstrichen. Die Erfolgsrate selbstreplizierender KI-Agenten bei Hacking-Aufgaben stieg laut Palisade Research von sechs Prozent (2024) auf 81 Prozent (2025) . Diese Agenten können durch Replikationsketten Ländergrenzen überschreiten. Experten empfehlen Zero-Trust-Architekturen und Netzwerksegmentierung.

Phishing-Angriff trifft 100.000 Schweizer Kunden

Ein aktueller Vorfall zeigt die realen Konsequenzen: Der Schweizer SaaS-Anbieter Bexio informierte am 10. Mai 2026 seine über 100.000 Kunden über einen Phishing-Angriff. Die Täter hatten IBANs auf Rechnungen manipuliert. Das Unternehmen führte daraufhin die Zwei-Faktor-Authentifizierung für alle Nutzer ein.

Das Berliner Landgericht hatte bereits am 22. April 2026 ein wegweisendes Urteil gefällt: Die Apobank muss für über 200.000 Euro Schadenersatz aus einem Phishing-Fall haften. Ein Präzedenzfall, der die Hürden für Unternehmenshaftung deutlich erhöht.

Whistleblower-Schutz: Erste Bußgelder für Mittelstand

Der „Frühling 2026" markiert eine Zäsur für den Hinweisgeberschutz. Nach Ablauf einer zweijährigen Übergangsfrist drohen mittelständischen Unternehmen mit mehr als 50 Mitarbeitern die ersten Strafen nach § 40 HinSchG. Bußgelder bis zu 50.000 Euro sind fällig, wenn interne Meldekanäle fehlen.

Da die Übergangsfristen für den Whistleblower-Schutz abgelaufen sind, riskieren viele Betriebe nun hohe Bußgelder bei Fehlern in der Umsetzung. Dieser kostenlose Praxisleitfaden zeigt Ihnen Schritt für Schritt, wie Sie interne Meldestellen rechtssicher und DSGVO-konform organisieren. Gratis-Leitfaden zum Hinweisgeberschutzgesetz anfordern

Das Bundesjustizministerium hat mit Prüfungen begonnen. Besonders brisant: Geschäftsführer haften persönlich. Der AI Act wird diese Berichtspflichten ab dem zweiten Quartal 2026 weiter ausdehnen.

WhatsApp unter Druck: VLOP-Status und Millionen-Streit

Auch die großen Plattformen spüren den regulatorischen Druck. Seit dem 26. Januar 2026 gilt WhatsApp Channels als „sehr große Online-Plattform" (VLOP) nach dem Digital Services Act. Die Compliance-Frist läuft Mitte Mai 2026 ab.

Parallel dazu kämpft WhatsApp vor Gericht: Der Europäische Gerichtshof entschied am 10. Februar 2026, dass der Dienst das Recht hat, gegen bindende Anordnungen des Europäischen Datenschutzausschusses (EDSA) vorzugehen. Es geht um eine 225-Millionen-Euro-Strafe aus Irland.

Ausblick: Wettlauf gegen die Zeit

Der 2. August 2026 rückt näher – dann müssen Hochrisiko-KI-Systeme die neuen Anforderungen erfüllen. Die EU-Kommission erklärte den Digital Markets Act bei ihrer ersten Überprüfung am 28. April 2026 zwar für „fit for purpose" , doch Kritiker bemängeln die langsame Durchsetzung, besonders bei Cloud-Diensten und KI.

Die kommenden Monate werden zeigen, ob die Personalkürzungen in Baden-Württemberg eine „Whistleblower-Lücke" reißen – oder ob die zunehmende Automatisierung der Cyberabwehr Unternehmen in die Lage versetzt, Risiken mit weniger Personal zu managen. Eines zeichnet sich bereits ab: Der Trend zur digitalen Souveränität gewinnt an Fahrt. Immer mehr Organisationen setzen auf europäische Cloud-Partnerschaften und Open-Source-Modelle, um die Kontrolle über ihre Daten zu behalten.

de | wirtschaft | 69308934 |