EU einigt sich: KI-Gesetz wird entschärft und verschoben

Die EU lockert die strengen KI-Regeln – Unternehmen bekommen mehr Zeit, doch der Druck auf Datenschutz wächst.

Europäische Parlament und Rat haben sich am 7. Mai 2026 auf eine grundlegende Überarbeitung des EU-KI-Gesetzes geeinigt. Die Kernpunkte: Hochriskante KI-Systeme müssen erst deutlich später zertifiziert werden, während gleichzeitig neue Transparenzpflichten und Verbote beschleunigt in Kraft treten. Der Kompromiss soll Unternehmen entlasten, die bislang unter einer Flut von Regulierungen ächzten.

Die EU-KI-Verordnung stellt neue Regeln auf, die viele Unternehmen noch nicht vollständig überblicken. Dieser kostenlose Report klärt auf, welche KI-Systeme als Hochrisiko gelten und was Verantwortliche jetzt konkret tun müssen. Welche KI-Systeme gelten als Hochrisiko?

Verschnaufpause für die Wirtschaft

Die ursprünglich für August 2026 geplanten Auflagen für eigenständige Hochrisiko-KI – etwa in kritischer Infrastruktur oder Biometrie – gelten nun erst ab Dezember 2027. Noch mehr Zeit bekommen Hersteller von eingebetteten KI-Systemen, etwa in Medizingeräten oder Fahrzeugen: Sie müssen die neuen Regeln erst ab August 2028 umsetzen.

Gleichzeitig soll „Doppelregulierung" abgebaut werden. Industrieanlagen und Produkte, die bereits sektorspezifischen Vorschriften unterliegen, werden weitgehend vom KI-Gesetz ausgenommen. Ein Schritt, der vor allem den Maschinenbau und die Automobilindustrie freuen dürfte.

Doch die Erleichterung hat ihren Preis: Die Kennzeichnungspflicht für KI-generierte Inhalte wird auf Dezember 2026 vorgezogen. Und ein kategorisches Verbot von „Nudifier"-Apps sowie KI-generiertem Kindesmissbrauchsmaterial wurde endgültig festgeschrieben.

Compliance frisst fast 40 Prozent der IT-Ressourcen

Der bürokratische Aufwand bleibt enorm. Eine Studie von Sophos unter 5.000 IT-Managern aus 17 Ländern zeigt: IT-Abteilungen verbringen im Median 39 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Eine Bitkom-Umfrage unter 603 Unternehmen ergibt ein ähnliches Bild: 44 Prozent der Firmen bewerten ihren Datenschutzaufwand als „sehr hoch" – ein Anstieg um sechs Prozentpunkte gegenüber dem Vorjahr.

Für kleine und mittlere Unternehmen wird die Verwaltung von KI-Anbietern zum juristischen Drahtseilakt. Denn die Haftung für KI-Fehler bleibt bei den Unternehmen selbst. Ein Präzedenzfall aus Österreich macht dies deutlich: Dort wurde ein KMU mit 850.000 Euro belangt, weil es ein KI-Bewerbungstool ohne gültigen Auftragsverarbeitungsvertrag (AVV) nach Artikel 28 der DSGVO einsetzte.

Neue Vertragsklauseln unvermeidbar

KI-Verträge müssen künftig spezifische Haftungsklauseln und „Human-in-the-Loop"-Mechanismen enthalten. Experten raten Unternehmen, Transaktionslimits und klare Kontrollstrukturen festzulegen, um algorithmische Fehler abzufedern. Trotz der Verzögerungen bei Hochrisiko-Einstufungen sollen die Transparenzpflichten für KI-Agenten bereits im Sommer 2026 in Kraft treten. Dann müssen Firmen offenlegen, wann Nutzer mit automatisierten Systemen interagieren.

BfDI warnt vor Trainingsdaten-Risiken

Während die EU einige Regeln lockert, schlägt die deutsche Datenschutzaufsicht Alarm. Am 6. Mai 2026 warnte die scheidende BfDI-Chefin Louisa Specht-Riemenschneider in Berlin: Das Training von KI mit Drittdaten sei rechtlich hochriskant. Die DSGVO verlange eine klare Rechtsgrundlage – und eine „Interessenabwägung" reiche oft nicht aus, wenn die explizite Einwilligung der Betroffenen fehle.

Der Jahresbericht 2025 der Behörde untermauert die wachsende Kontrolldichte: 11.824 Beschwerden und Anfragen gingen ein – ein Plus von 36 Prozent gegenüber dem Vorjahr und 52 Prozent mehr als 2023. 129 förmliche Aufsichtsmaßnahmen und 80 Vor-Ort-Kontrollen wurden durchgeführt. Ein prominentes Beispiel: die 45-Millionen-Euro-Strafe gegen Vodafone wegen mangelhafter Partnerkontrolle und Authentifizierungsprozesse.

Angesichts steigender Kontrolldichte und Millionenstrafen wird die rechtssichere Dokumentation der Datenverarbeitung zur Existenzfrage. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO zeitsparend und fehlerfrei zu erstellen. Kostenlose Muster-Vorlage jetzt herunterladen

Ein weiteres Problemfeld ist „Shadow AI": Schätzungsweise 72 Prozent der CIOs haben keinen vollständigen Überblick über die in ihren Unternehmen eingesetzten KI-Tools. Dabei nutzten 2025 bereits 25 Prozent der deutschen Firmen generative KI. Analysten gehen davon aus, dass jede fünfte Datenschutzverletzung inzwischen auf nicht autorisierte KI-Nutzung durch Mitarbeiter zurückgeht.

Medizintechnik bekommt eigenen Fahrplan

Besonders regulierte Branchen erhalten nun klare Leitplanken. Am 7. Mai 2026 veröffentlichten BfDI, Bundesnetzagentur und das hessische Digitalministerium eine neue Roadmap für KI in Medizinprodukten. Das Papier basiert auf Pilotprojekten in KI-Regulierungssandboxes und zeigt Unternehmen, wie sie die Anforderungen von KI-Gesetz und Medizinprodukteverordnung (MDR) parallel erfüllen können.

Parallel dazu geraten große Digitalplattformen unter Druck. In den Niederlanden verdoppelte ein Gericht die Zwangsgelder gegen Meta auf zehn Millionen Euro – wegen Verstößen gegen den Digital Services Act (DSA). Das Gericht sprach von „Dark Patterns", die Nutzer zwischen personalisierten und chronologischen Feeds kaum wählen ließen.

Auch grenzüberschreitend wird schärfer kontrolliert: Die irische Datenschutzkommission untersucht den Fast-Fashion-Riesen Shein wegen möglicher illegaler Übermittlung europäischer Kundendaten nach China. Die Ermittlungen folgen einer Beschwerde aus dem Frühjahr 2025. Allein im April 2026 wurden mehrere Millionenstrafen verhängt, darunter 12,5 Millionen Euro gegen Poste Italiane wegen unerlaubten Trackings über Banking-Apps.

BGH-Urteil zu privaten Chats steht bevor

Die Grenzen des Datenschutzes werden auch vor Gericht neu vermessen. Am 30. Juli 2026 verhandelt der Bundesgerichtshof einen Fall zur „Haushaltsausnahme" der DSGVO. Eine Arbeitnehmerin war gekündigt worden, nachdem private Chatnachrichten an ihren Arbeitgeber weitergeleitet wurden. Die Vorinstanzen waren sich uneins, ob dies eine geschützte Privatsphäre oder einen entschädigungspflichtigen Datenschutzverstoß darstellt. Das BGH-Urteil wird richtungsweisend für die digitale Privatsphäre am Arbeitsplatz.

Die Technikbranche reagiert derweil mit eigenen Schutzmechanismen. Ein aktueller Release Candidate von iOS führt Ende-zu-Ende-Verschlüsselung für RCS-Nachrichten zwischen verschiedenen Betriebssystemen ein. WhatsApp wiederum brachte im April 2026 eine „Advanced Chat Privacy"-Funktion, mit der Nutzer bestimmte Chats vor dem Zugriff durch KI-Integrationen schützen können.

Brüssel-Effekt bleibt globaler Maßstab

Die formelle Verabschiedung des überarbeiteten KI-Gesetzes wird noch vor August 2026 erwartet. Für globale Konzerne bleibt der „Brüssel-Effekt" die zentrale Herausforderung: Die EU setzt weiterhin den globalen Standard für KI-Sicherheit. Harmonisierte Normen wie der vorgeschlagene Qualitätsmanagement-Standard prEN 18286, der seit Ende 2025 in der Abstimmung ist, sollen Unternehmen helfen, Compliance-Kosten zu senken.

Die neuen Fristen verschaffen zwar eine Atempause. Doch der langfristige Trend zeigt klar in Richtung strengerer Durchsetzung. Die steigende Zahl von Beschwerden und die wachsenden Bußgelder – 2025 summierten sie sich auf 1,1 Milliarden Euro in 388 Fällen – machen deutlich: Die Ära der milden Datenschutzaufsicht ist vorbei. Unternehmen müssen jetzt handeln: KI-Lieferketten prüfen, Verträge nachschärfen und sicherstellen, dass alle Trainingsdaten auf einer validen Rechtsgrundlage beruhen.

de | wirtschaft | 69290191 |