EU-KI-Regulierung: Countdown zum Stichtag läuft

Nach dem Scheitern der Brüsseler Verhandlungen zum „Digital Omnibus“-Paket stehen Unternehmen vor einem harten Einschnitt. Die geplanten Erleichterungen für industrielle und medizinische KI-Systeme sind vom Tisch. Damit bleiben die Fristen des EU AI Act unverändert – und der Druck auf die Wirtschaft wächst.

Die neuen EU-Vorgaben für Künstliche Intelligenz treten bereits in Kraft und fordern von Unternehmen schnelle Anpassungen bei Risikomanagement und Dokumentation. Dieser kostenlose Leitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Pflichten und Risikoklassen des EU AI Acts. EU AI Act in 5 Schritten verstehen

Brüsseler Stillstand und deutsche Alleingänge

Die trilog-Verhandlungen zum „Digital Omnibus“-Paket endeten Mitte April 2026 nach einer zwölfstündigen Marathonsitzung ohne Ergebnis. Dabei hatte die EU-Kommission das Reformpaket ursprünglich im November 2025 vorgeschlagen, um verschiedene Digitalregulierungen zu harmonisieren. Besonders umstritten: die Frage, ob Hochrisiko-KI-Systeme von strengen Auflagen befreit werden sollten.

Während Brüssel noch ringt, zieht Deutschland voran. Der Bundestag verabschiedete bereits am 11. Februar 2026 das KI-Management- und Implementierungsgesetz (KI-MIG). Es bestimmt die Bundesnetzagentur (BNetzA) zur zentralen Aufsichtsbehörde für KI-Anwendungen. Die Behörde weitet parallel ihre Zuständigkeiten aus – ihr Digital Services Coordinator verzeichnete 2025 über 3.300 Beschwerden nach dem Digital Services Act, ein deutlicher Anstieg zum Vorjahr.

Das Ausbleiben einer legislativen „Weichzeichnung“ durch das Omnibus-Paket zwingt Unternehmen nun zur Konzentration auf den 2. August 2026. Dann treten die meisten Bestimmungen für Hochrisiko-KI-Systeme in Kraft. Die Strafen sind happig: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes drohen bei Verstößen.

Vom Excel-Sheet zur System-Governance

Die Zeit der manuellen Compliance-Verwaltung ist vorbei, darin sind sich Branchenanalysten einig. Gefordert ist eine plattformbasierte, systemische Steuerung. Besonders im Fokus: das „Shadow AI“-Phänomen. Rund 74 Prozent der IT-Entscheider sehen die unautorisierte Nutzung von KI-Tools in ihren Organisationen als erhebliches Risiko.

Ein positives Beispiel kommt aus Hamburg: Im Oktober 2025 gab der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) grünes Licht für das KI-System „LLMoin“. Der Text- und Übersetzungsassistent für die öffentliche Verwaltung trifft keine automatisierten Entscheidungen im Sinne des Artikels 22 DSGVO und eignet sich für Daten mit normalen Schutzanforderungen.

Gerichte ziehen rote Linien

Die europäischen Gerichte präzisieren zunehmend die Grenzen von Auskunftsrechten. Der Europäische Gerichtshof (EuGH) entschied im März 2026: Datenzugriffsanfragen können abgelehnt werden, wenn sie exzessiv oder missbräuchlich sind.

Der Bundesgerichtshof (BGH) legte am 24. Februar 2026 nach: Das Auskunftsrecht nach Artikel 15 DSGVO geht nicht automatisch auf Dritte über, wenn eine Forderung abgetreten wird. Unternehmen müssen die Berechtigung jedes Dritten prüfen, der Daten anfordert.

Ein weiteres Signal setzte das Kammergericht Berlin am 30. April 2026. Es wies eine Sammelklage gegen den Betreiber der Plattform X ab. Ein niederländischer Verein hatte pauschale Schadensersatzforderungen wegen angeblicher Datenschutzverstöße geltend gemacht. Die Richter: unzulässig – Schadensersatzansprüche müssten individuell bewertet werden. Das Urteil ist noch nicht rechtskräftig.

Manager haften persönlich

Die Kosten für Verstöße erreichen historische Höhen. Seit Einführung der DSGVO summierten sich die Bußgelder auf über 7,1 Milliarden Euro, allein 2025 kamen rund 1,2 Milliarden Euro dazu. Ein prominentes Beispiel: die 45-Millionen-Euro-Strafe gegen Vodafone aus dem Jahr 2025, die von Aufsehern als Versagen des Managements gewertet wurde.

Verschärft wird die Lage durch die NIS2-Richtlinie. Das deutsche NIS2-Umsetzungsgesetz, seit dem 6. Dezember 2025 in Kraft, verankert die persönliche Haftung von Vorständen bei Cybersicherheits- und Datenschutzverstößen. Datenschutz wird damit zum Chefthema – und laut Studien aus dem Jahr 2025 auch zum Wettbewerbsvorteil: Jeder investierte Euro in Datenschutzmaßnahmen bringt 1,60 Euro Rendite.

Hauptursache für Prüfungsversäumnisse bleibt die fragmentierte IT-Architektur. 61 Prozent der Unternehmen kämpfen mit unvollständigen Audit-Logs, die eine transparente Dokumentation nach DSGVO, EU AI Act und Digital Operational Resilience Act (DORA) erschweren.

Wer die komplexen Anforderungen der KI-Verordnung ignoriert, riskiert nicht nur die Handlungsfähigkeit des Unternehmens, sondern auch empfindliche Strafen. Sichern Sie sich jetzt den kostenlosen Umsetzungsleitfaden zum EU AI Act, um alle relevanten Übergangsfristen und Dokumentationspflichten rechtzeitig zu erfüllen. Umsetzungsleitfaden zum EU AI Act kostenlos herunterladen

Ausblick: Nächste Runde im Mai

Der nächste Termin für die EU-Digitalpolitik ist der 13. Mai 2026. Dann könnte eine neue Verhandlungsrunde zum Digital Omnibus starten. Ob die vorgeschlagenen Änderungen noch eine Chance haben, ist offen.

International verschärft sich die Gangart ebenfalls: Chinas Cyberspace Administration startete eine viermonatige Kampagne gegen „Chaos“ in KI-Anwendungen, mit Registrierungspflichten für große Modelle und Pflichtkennzeichnung von KI-Inhalten. In Großbritannien konsultiert das Information Commissioner’s Office (ICO) bis zum 29. Mai 2026 über eine Neufassung der Leitlinien zu automatisierten Entscheidungen.

Für europäische Unternehmen zählt jedoch nur eines: der 2. August 2026. Mit dem Scheitern der April-Verhandlungen ist der Druck, robuste KI-Governance-Strukturen aufzubauen, auf einen kritischen Punkt gestiegen. Die Botschaft an die Vorstände: Audit-Logs konsolidieren, ethische Leitlinien festlegen und die persönliche Haftung ernst nehmen.

de | wirtschaft | 69269665 |